实验防火墙基本配置

实验七交换机基本配置

一、实验目的

（1）使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理，行能根据需要进行简单网络的规划和设计。

实验设备与器材

熟悉交换机开机界面；

（2）掌握Quidway S系列中低端交换机几种常用配置方法；

（3）掌握Quidway S系列中低端交换机基本配置命令。

二、实验环境

Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。

交换机，标准Console配置线。

三、实验内容

学习使用Quidway R2611模块化路由器的访问控制列表（ACL）进行防火墙实验。

预备知识

1、防火墙

防火墙作为Internet访问控制的基本技术，其主要作用是监视和过滤通过它的数据包，根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃，以拒绝非法用户访问网络并保障合法用户正常工作。

2、包过滤技术

一般情况下，包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包，先获取包头信息，包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等，然后与设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。

3、访问控制列表

路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（Access Control List）定义的。

访问控制列表是由permit | deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类，这些规则应用到路由器接口上，路由器根据这些规则判断哪些数据包可以接收，哪些数据包需要拒绝。

访问控制列表(Access Control List )的作用

访问控制列表可以用于防火墙；

访问控制列表可用于Qos（Quality of Service），对数据流量进行控制；

访问控制列表还可以用于地址转换；

在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。

一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）

ACL示意图

ACL的分类

按照访问控制列表的用途，可以分为四类：

●基本的访问控制列表（basic acl）

●高级的访问控制列表（advanced acl）

●基于接口的访问控制列表（interface-based acl）

●基于MAC的访问控制列表（mac-based acl）

访问控制列表的使用用途是依靠数字的范围来指定的，1000～1999是基于接口的访问控制列表，2000～2999范围的数字型访问控制列表是基本的访问控制列表，3000～3999范围的数字型访问控制列表是高级的访问控制列表，4000～4999范围的数字型访问控制列表是基于MAC地址访问控制列表。

4、防火墙的配置项目

防火墙的配置包括：

允许/禁止防火墙

配置标准访问控制列表

配置扩展访问控制列表

配置在接口上应用访问控制列表的规则

设置防火墙的缺省过滤方式

设置特殊时间段

指定日志主机

允许/禁止防火墙

在报文过滤时，应先打开防火墙功能，这样才能使其它配置生效。

请在系统视图下进行下列配置。

表1 允许/禁止防火墙

操作命令

启动防火墙firewall enable

禁止防火墙firewall disable

缺省情况下，防火墙处于“启动”状态。

配置标准访问控制列表

标准访问控制列表序号可取值1～99之间的整数。首先应使用acl命令进入到ACL配置视图并配置访问控制列表的匹配顺序，然后再使用rule命令配置具体的访问规则。若不配置匹配顺序的话，按照auto方式进行。

请在系统视图（acl命令）和ACL视图（rule命令）下进行下列配置。

表2 配置标准访问控制列表

操作命令

进入ACL视图并配置访问控制列表的匹配顺序acl acl-number [ match-order config | auto ]

配置标准访问列表规则rule { normal| special}{ permit| deny} [source

source-addr source-wildcard | any ]

删除特定的访问列表规则undo rule { rule-id | normal | special} 删除访问列表undo acl {acl-number| all }

内起作用，使用special时用户需另外设定特殊时间段。具有同一序号的多条规则按照“深度优先原则”进行匹配。

缺省情况下，为normal时间段。

配置扩展访问控制列表

扩展访问控制列表可取值100～199之间的整数。首先应使用acl命令进入到ACL配置视图并配置访问控制列表的匹配顺序，然后再使用rule命令配置具体的访问规则。若不配置匹配顺序的话，按照auto方式进行。

请在系统视图（acl命令）和ACL视图（rule命令）下进行下列配置。

表3 配置扩展访问控制列表

从表2和表3中的rule配置命令的参数中可以看出标准列表仅能对source数据源作规则设置，而扩展控制列表则还可以对destination目的地址进行规则设置。

特殊时间段内起作用，使用special时用户需另外设定特殊时间段。具有同一序号的多条规则按照“深度优先原则”进行匹配。

缺省情况下，为normal时间段。

设置防火墙的缺省过滤方式

防火墙的缺省过滤方式是指：当访问规则中没有找到一个合适的匹配规则来判定用户数据包是否可以通过的时候，将根据用户设置的防火墙的缺省过滤方式来决定究竟允许还是禁止报文通过。

请在系统视图下进行下列配置。

表4 设置防火墙缺省过滤方式

缺省情况下，防火墙的缺省过滤方式为允许报文通过。

配置在接口上应用访问控制列表的规则

若要实现接口对报文的过滤功能，就必须先将相应访问控制列表规则应用到接口上。用户可在一个接口上对接收和发送两个方向的报文分别定义不同的访问控制规则。

请在接口视图下进行下列配置。

表5 配置接口上应用访问控制列表的规则

缺省情况下，接口上未定义过滤报文的规则。

在一个接口的一个方向上（inbound或outbound方向），最多可以应用20条访问规则。即在firewall packet-filter inbound方向上可应用20条规则；在firewall packet-filter outbound方向上也可应用20条规则。