1、 PAGE30 / NUMPAGES37 基于路由器的網絡安全研究和實現摘要 在這篇論文中，介紹了計算機的網絡安全與防火墻的技術，主要討論防火墻的概念和分類，詳細說明了防火墻技術中的包過濾功能。還介紹了AAA配置技術、OSPF配置技術和ACL訪問控制列表。詳細介紹與講解了通過ACL訪問控制列表來實現了一個基本的軟件防火墻。最后描述對互聯網的簡單防火墻技術的發展趨勢。 關鍵詞 網絡安全，防火墻，包過濾，ACLResearch and implementation of network security based on routerAbstractIn this paper , the comp

2、uter network security and the techniques of firewalls were mainly discussed, Focuses on the concept of a firewall, a detailed description of the packet filtering in the firewall technology.It also introduced the configuration Technology of AAA OSPF and Access Control Listtec , Introduced and explain

3、ed in detail to achieve a basic software firewall by ACL. Finally described the trend of development of the firewalls techniques in Internet briefly.Key Wordsnetwork security，firewalls，Packet filtering，ACL目錄 TOC o 1-3 h z u HYPERLINK l _Toc357433392第1章緒論 PAGEREF _Toc357433392 h 1HYPERLINK l _Toc3574

4、333931.1選題的背景和意義 PAGEREF _Toc357433393 h 1HYPERLINK l _Toc3574333941.1.1國外的研究現狀 PAGEREF _Toc357433394 h 1HYPERLINK l _Toc3574333951.1.2發展趨勢 PAGEREF _Toc357433395 h 2HYPERLINK l _Toc3574333961.2研究的基本容 PAGEREF _Toc357433396 h 2HYPERLINK l _Toc357433397第2章配置基本網絡環境 PAGEREF _Toc357433397 h 4HYPERLINK l _

5、Toc3574333982.1配置基本網絡環境 PAGEREF _Toc357433398 h 4HYPERLINK l _Toc3574333992.1.1構建小型模擬局域網 PAGEREF _Toc357433399 h 5HYPERLINK l _Toc357433400第3章 AAA配置 PAGEREF _Toc357433400 h 6HYPERLINK l _Toc3574334013.1 AAA簡介 PAGEREF _Toc357433401 h 6HYPERLINK l _Toc3574334023.1.1什么是AAA PAGEREF _Toc357433402 h 6HYPE

6、RLINK l _Toc3574334033.2簡單基本的AAA配置 PAGEREF _Toc357433403 h 6HYPERLINK l _Toc3574334043.2.1組網需求 PAGEREF _Toc357433404 h 6HYPERLINK l _Toc3574334053.2.2配置步驟 PAGEREF _Toc357433405 h 7HYPERLINK l _Toc357433406第4章 OSPF配置 PAGEREF _Toc357433406 h 8HYPERLINK l _Toc3574334074.1 OSPF簡介 PAGEREF _Toc357433407 h

7、 8HYPERLINK l _Toc3574334084.1.1 OSPF的主要特性 PAGEREF _Toc357433408 h 8HYPERLINK l _Toc3574334094.1.2 OSPF協議路由計算的過程 PAGEREF _Toc357433409 h 8HYPERLINK l _Toc3574334104.2 OSPF的配置 PAGEREF _Toc357433410 h 9HYPERLINK l _Toc3574334114.2.1配置步驟 PAGEREF _Toc357433411 h 10HYPERLINK l _Toc357433412第5章防火墻 PAGEREF

8、 _Toc357433412 h 13HYPERLINK l _Toc3574334135.1防火墻簡介 PAGEREF _Toc357433413 h 13HYPERLINK l _Toc3574334145.1.1什么是防火墻 PAGEREF _Toc357433414 h 13HYPERLINK l _Toc3574334155.1.2防火墻的分類 PAGEREF _Toc357433415 h 13HYPERLINK l _Toc3574334165.2 包過濾 PAGEREF _Toc357433416 h 14HYPERLINK l _Toc3574334175.2.1包過濾可實現

9、的功能 PAGEREF _Toc357433417 h 14HYPERLINK l _Toc3574334185.2.2網絡設備的包過濾的特性 PAGEREF _Toc357433418 h 15HYPERLINK l _Toc357433419第6章 ACL配置 PAGEREF _Toc357433419 h 16HYPERLINK l _Toc3574334206.1訪問控制列表 PAGEREF _Toc357433420 h 16HYPERLINK l _Toc3574334216.1.1標準訪問控制列表 PAGEREF _Toc357433421 h 16HYPERLINK l _To

10、c3574334226.1.2擴展訪問控制列表 PAGEREF _Toc357433422 h 16HYPERLINK l _Toc3574334236.2防火墻的配置 PAGEREF _Toc357433423 h 17HYPERLINK l _Toc3574334246.2.1配置步驟 PAGEREF _Toc357433424 h 18HYPERLINK l _Toc3574334256.2.2防火墻的顯示與調試 PAGEREF _Toc357433425 h 22HYPERLINK l _Toc357433426結論 PAGEREF _Toc357433426 h 23HYPERLIN

11、K l _Toc357433427參考文獻 PAGEREF _Toc357433427 h 24HYPERLINK l _Toc357433428附錄 PAGEREF _Toc357433428 h 26HYPERLINK l _Toc357433429致 PAGEREF _Toc357433429 h 29圖目錄 TOC h z t 圖標題 c HYPERLINK l _Toc357433430圖2.1 設備配置圖 PAGEREF _Toc357433430 h 5HYPERLINK l _Toc357433431圖5.1 包過濾示意圖 PAGEREF _Toc357433431 h 14表

12、目錄 TOC h z t 表標題 cHYPERLINK l _Toc357433432表2.1 設備配置信息 PAGEREF _Toc357433432 h 4HYPERLINK l _Toc357433433表6.1擴展訪問列表的操作符operator的意義 PAGEREF _Toc357433433 h 17HYPERLINK l _Toc357433434表6.2防火墻的顯示和調試 PAGEREF _Toc357433434 h 22HYPERLINK l _Toc357433435表I防火墻的顯示和調試（TCP） PAGEREF _Toc357433435 h 26HYPERLINK

13、l _Toc357433436表II防火墻的顯示和調試（UDP） PAGEREF _Toc357433436 h 27HYPERLINK l _Toc357433437表III ICMP報文類型的助記符 PAGEREF _Toc357433437 h 28第1章 緒論1.1選題的背景和意義隨著網絡應用的日益普與，尤其是在一些敏感場合（如電子商務）的應用，因此網絡安全成為日益迫切的需求之一；路由器作為部網絡與外部網絡之間通訊的關鍵，完全有必要提供充分而又可靠的安全保護功能。本課題的目的就是設計一種基于路由器的網絡安全解決方案，從安全性、處理速度等方面對其進行可用性評估。1.1.1國外的研究現狀現

14、今網絡多都使用TCP/IP協議，但是因此TCP/IP協議本身存在缺陷，從而導致了網絡的不安全。雖然TCP/IP協議具有許多特點，如支持多種應用協議、互聯能力強、網絡技術獨立、等等；但是由于TCP/IP協議在定制時，并沒有考慮到安全方面的主要因素，因此協議中還是有很多的安全問題存在。主要有：1. TCP/IP協議數據流在使用FTP、 和Telnet傳輸時，用戶的賬號以與口令非常容易被竊聽、修改和偽造。2作為網絡節點的唯一標識，源地址是通過利用IP地址對TCP/IP協議進行欺騙，因為IP地址不是完全固定的；因此，攻擊者可以通過直接修改節點的IP地址冒充某個可信節點的%-地址來進行攻擊。3為了測試目

15、的設置一個選項IP Soure routing，源路由一般情況下選擇欺騙IP數據包；從而使攻擊者可以利用這一選項，直接指明出一條路由方式來進行偽裝、欺騙，然后進行不正當方式的連接。1.1.2發展趨勢網絡安全不只是一個單純的技術間題，同時也是一個非常關鍵的管理問題。對計算機系統的安全事件進行收集、記錄、分析、判斷，然后采取對應的安全措施來進行處理的一個過程被稱為安全審計。其基本的功能分別為：對用戶、操作命令、文件操作等審計對象進行選擇；對文件系統完整性進行定期的檢測；設置選擇逐出系統；保護數據的安全與審計日志等。成立專門負責計算機網絡信息安全的行政管理機構，從而審查和訂制計算機網絡的信息安全措施

16、。確認安全措施實施的方針、政策以與原則；具體組織、協調、監督、檢查信息安全措施的執行。來自計算機網絡信息系統部的危害當中，很多是人為造成的對信息安全的危害。由于思想上的松懈和安全意識偏弱，從而給了攻擊者可乘之機。因此，加強單位人員的思想教育，培養單位人員的責任感也是保護網絡安全不可或缺的一個重要環節。 計算機網絡安全發展至今，儼然已成為了一個橫跨通信技術、網絡技術、安全技術、計算機技術、密碼學等等多種門科技術的綜合性學科。因此計算機網絡安全的發展在向高端技術發展的同時會朝著全方位化、縱深化、專業化的方向發展，隨著各種新興技術的不斷發展和出現，網絡安全將會由單一的技術向各種技術融合的方向發展。基

17、于路由器的大多數主要安全技術通常都是相輔相成的，為了系統安全性的提高，必須通過各種安全機制協調工作。當今，由于信息化的高速發展，加強路由器安全機制和安全協議，改進新的算法研究將會成為保證網絡安全的高效性的唯一選擇。1.2研究的基本容隨著Internet的飛速發展，全國每個中小型企業和事業單位都在建設局域網并連入了互聯網，所以信息網絡安全就必須同時跟上發展的腳步，成為我們最需要著重關心的問題之一。我們可以采取在普通路由器中添加安全模塊，從技術上加強路由器的安全性；或者借助管理手段，從管理上加強對路由器的安全性等多種手段來保證基于路由器的網絡環境下的安全性。網絡安全與防火墻關系密不可分，網絡防火墻

18、的構建需要明確安全策略，安全而又全面的分析和業務的需求分析將決定一個組織全局的安全策略，因此我們需要仔細并且正確的設置網絡安全策略，從而使這個計算機網絡防火墻發揮它最大的作用。 其中，明確定義哪些數據包允許或禁止通過并使用網絡服務，以與這些服務的詳細使用規則，同時網絡防火墻安全策略中的每一條規定都應該在實際應用時得到實現；這些都屬于網絡防火墻的安全策略。本文就著重介紹與說明在路由器下通過訪問控制列表（ACL）方法實現安全策略，構建出一個小型、簡易、安全有合理的計算機網絡的防火墻體系結構，從而實現具體的網絡防火墻功能，并對其實現和具體應用進行詳細的敘述。第2章 配置基本網絡環境2.1配置基本網絡

19、環境（1）按照表2.1所示容，正確填寫計算機（PA、PB、PC、PD）與路由器（RA、RB、RC、RD）的網絡連接參數表2. SEQ 表 * ARABIC s 1 1 設備配置信息設備名稱配置參數設備名稱配置參數路由器（RA）S0IP地址：子網掩碼：路由器(RB)S0IP地址：子網掩碼：S1IP地址：子網掩碼：S1IP地址：子網掩碼：Eth0IP地址：子網掩碼：Eth0IP地址：子網掩碼：路由器(RC)S0IP地址：子網掩碼：路由器（RD）S0IP地址：子網掩碼：S1IP地址：子網掩碼：S1IP地址：子網掩碼：Eth0IP地址：子網掩碼：Eth0IP地址：子網掩碼：計算機（PC-A）IP地址：

20、子網掩碼：默認網關：計算機（PC-B）IP地址：子網掩碼：默認網關：計算機（PC-C）IP地址：子網掩碼：默認網關：計算機(PC-D)IP地址：子網掩碼：默認網關：計算機（PC-E）IP地址：子網掩碼：默認網關：計算機（PC-F）IP地址：子網掩碼：默認網關：計算機（PC-G）IP地址：子網掩碼：默認網關：計算機（PC-H）IP地址：子網掩碼：默認網關：2.1.1構建小型模擬局域網設備連接如圖2.1所示構建出一個小型模擬局域網（由路由器、交換機、PC組成）。圖2.1 設備配置圖第3章 AAA配置3.1 AAA簡介3.1.1什么是AAA用來對認證、授權和計費這三種安全功能進行配置的一個框架，被稱

21、為：Authentication，Authorization and Accounting ，即認證、授權和計費，一般情況下縮寫為AAA即可，簡稱：“三A認證”；它是對網絡安全進行管理的認證方式之一，對所有類型LOGIN用戶進行本地認證、授權、計費。在這里，網絡安全主要指的是訪問控制，其中包括了：（1）規定了哪些用戶可以訪問指定網絡服務器（2）具有訪問權限的用戶組分別可以得到哪些服務，可以做些什么（3）對正在使用該網絡資源的用戶組進行計費功能AAA可完成下列服務：（1）認證：判斷認證用戶是否可以獲得訪問權限（2）授權：被授權的用戶組可以使用哪些服務。（3）計費：記錄用戶組使用網絡資源的具體情況

22、。3.2簡單基本的AAA配置3.2.1組網需求對所有類型login用戶進行本地認證，但不要求計費。3.2.2配置步驟# 使能AAARouter aaa-enable# 配置Login用戶Router local-user ftp service-type ftp password simple ftp Router local-user admin service-type administrator ssh password cipher adminRouter local-user operator service-type operator ssh password simple ope

23、ratorRouter local-user guest service-type guest ssh password simple guest# 配置對login用戶進行認證Router aaa authentication-scheme login default local Router login-method authentication-mode con defaultRouter login-method authentication-mode async defaultRouter login-method authentication-mode hwtty defaultR

24、outer login-method authentication-mode pad defaultRouter login-method authentication-mode telnet defaultRouter login-method authentication-mode ssh default# 配置對FTP用戶進行認證Router login-method authentication-mode ftp default# 配置對login用戶不計費Router undo login-method accounting-mode login conRouter undo log

25、in-method accounting-mode login asyncRouter undo login-method accounting-mode login hwttyRouter undo login-method accounting-mode login padRouter undo login-method accounting-mode login telnetRouter undo login-method accounting-mode login ssh四臺路由器均要進行一樣的AAA配置，指令一樣，不作重復。第4章 OSPF配置4.1 OSPF簡介由IETF組織研發的

26、一個基于鏈路狀態下的自治系統部路由協議被稱為：開放最短路由優先協議（Open Shortest Path First），簡稱OSPF，目前普遍使用的是版本2（RFC1583）。4.1.1 OSPF的主要特性1.適應圍支持最多幾千臺路由器的各種大、中、小規模的網絡。2.快速收斂在網絡的拓撲結構發生變化后立即發送并更新報文并在自治系統中達到同步。3.無自環用最短路徑樹算法計算路由，保證了不會生成自環路由。4.區域劃分為了減少占用帶寬，自治系統的網絡被劃分成的區域傳送的路由信息被抽象。5.等值路由到同一目的地址的多條等值路由。6.路由分級當同時使用不同等級的路由時，按區域路由、區域間路由、第一類外部

27、路由和第二類外部路由這個優先順序分級。7.支持驗證支持基于接口的報文驗證，保障了路由計算的安全性、穩定性。8.組播發送在有組播發送能力的鏈路層上，基于組播地址進行接收、發送報文。在達到了廣播作用的同時又最大程度地減少了對其它網絡設備的干擾。4.1.2 OSPF協議路由計算的過程OSPF協議路由的計算過程可簡單描述如下： 1. 描述整個自治系統拓撲結構的鏈路狀態數據庫（簡稱LSDB）是由每一臺支持OSPF協議的路由器維護著；他們都會根據周圍的網絡拓撲結構來生成鏈路狀態并且發布Link State Advertising（LSA），然后再將LSA發送給網絡中其它路由器。這樣，每臺路由器都將會收到來

28、自其它路由器的 LSA，然后將所有的 LSA 放在一起組成了一個相對完整的鏈路狀態數據庫。2. 對路由器周圍網絡拓撲結構的具體描述被稱為LSA，而對整個網絡的拓撲結構的一種描述則被成為LSDB。自然而然，自治系統的各個路由器都將得到完全一樣的網絡拓撲圖是因為路由器會將LSDB轉換成一帶有權值的真實反映整個網絡拓撲結構的有向圖。3. 使用SPF算法的每臺路由器都會計算出一棵到自治系統中各個節點的路由的樹，這是一棵以自己為根的最短路徑樹，這棵樹給出了通過廣播外部路由的路由器來記錄關于整個自治系統的額外信息。另外，為了建立多個鄰接（Adjacent）關系，使處于廣播網和NBMA網中的每臺路由器都可以

29、將存儲在本地的路由信息廣播到整個自治系統中去，則會出現多次傳遞任意一臺路由器的路由變化的情況，因而浪費了寶貴的帶寬資源。為了解決這個難題，OSPF因此定義了“指定路由器”（Designated Router），簡稱為DR；為了大大減少各路由器之間鄰居關系的數量，DR接收所有路由器發送出來的路由信息，然后再由它將該網絡的鏈路狀態廣播出去。 OSPF支持IP子網和外部路由信息的標記接收，它支持基于接口的報文驗證以保證路由計算的安全性；并使用IP組播方式發送和接收報文。4.2 OSPF的配置必須先啟動OSPF、使能OSPF網絡后，才能在各項配置任務中配置其它與協議相關的功能特性，而OSPF是否使能將

30、不會影響在接口下配置的與協議相關的參數。關閉OSPF的同時原來在接口下配置的與協議相關的參數也同時失效。4.2.1配置步驟1. 配置路由器RARAinterface S0RA-Serial0ip address RA-Serial0interface S1RA-Serial1ip address RA-Serial1interface eth0RA-Ethernet0ip address RA-Ethernet0quitRAospf enableRA-ospfinterface s0RA-Serial0ospf enable area 0RA-Serial0interface s1RA-Ser

31、ial1ospf enable area 0RA-Serial1quitRAinterface e0RA-Ethernet0ospf enable area 02. 配置路由器RBRBinterface S0RB-Serial0ip address RB-Serial0interface S1RB-Serial1ip address RB-Serial1quitRBospf enableRB-ospfinterface s0RB-Serial0ospf enable area 0RB-Serial0interface s1RB-Serial1ospf enable area 0RB-Seria

32、l1quitRBinterface eth0RB-Ethernet0ip address RB-Ethernet0ospf enable area 0RB-Ethernet0quit3. 配置路由器RCRCinterface S0RC-Serial0ip address RC-Serial0interface S1RC-Serial1ip address RC-Serial1quitRCospf enableRC-ospfinterface s0RC-Serial0ospf enable area 0RC-Serial0interface s1RC-Serial1ospf enable are

33、a 0RC-Serial1quitRCinterface eth0RC-Ethernet0ip address RC-Ethernet0ospf enable area 0RC-Ethernet0quit4. 配置路由器RDRDinterface S0RD-Serial0ip address RD-Serial0interface S1RD-Serial1ip address RD-Serial1interface eth0RD-Ethernet0ip address RD-Ethernet0quitRDospf enableRD-ospfinterface s0RD-Serial0ospf

34、enable area 0RD-Serial0interface s1RD-Serial1ospf enable area 0RD-Serial1interface e0RD-Ethernet0ospf enable area 0RD-Ethernet0quit如此配置完成后，所有的端口都可以相互PING通。如圖2.1 構建的小型局域網就完成了。第5章 防火墻5.1防火墻簡介5.1.1什么是防火墻防火墻作為Internet訪問控制的基本技術，其主要作用是監視和過濾通過它的數據包，拒絕非法用戶訪問網絡并保障合法用戶正常工作，根據自身所配置的訪問控制策略決定該包應當被轉發還是應當被拋棄。為了阻止未

35、經認證或者未經授權的用戶訪問保護部網絡或數據，防止來自外網的惡意攻擊，一般將防火墻設置在外部網和部網的連接處。也可以用防火墻將企業網中比較敏感的網段與相對開放的網段隔離開來，從而達到即使該訪問是來自局域網部，也必須經過防火墻的過濾的效果。 防火墻可通過監測、限制、更改跨越防火墻的數據流來保護部網絡的安全性，盡可能地對外部屏蔽網絡部的信息、結構和運行狀況。現在的許多防火墻同時甚至還可以對用戶進行身份鑒別，對信息進行安全加密處理等等。5.1.2防火墻的分類防火墻一般被分為網絡層防火墻和應用層防火墻兩種類型。網絡層防火墻主要是用來獲取協議號、源地址、目的地址和目的端口等等數據包的信息；或者選擇直接獲

36、取的一段數據。而選擇對整個信息流進行系統的分析則是應用層防火墻。常見的防火墻有以下幾類：1.應用網關（Application Gateway）：檢驗通過此網關的所有數據包中的位于應用層的數據。比如FTP網關，連接中傳輸的所有FTP數據包都必須經過此FTP網關。2.包過濾（Packet Filter）：是指對每個數據包都將會完全按照用戶所定義的規則來比較進入的數據包的源地址、目的地址是否符合所定義的規則。如用戶規定禁止端口是25或者大于等于1024的數據包通過，則只要端口符合該條件，該數據包便被禁止通過此防火墻。3.代理（Proxy）：通常情況下指的是地址代理。它的機制是將網主機的IP地址和端口

37、替換為路由器或者服務器的IP地址和端口。讓所有的外部網絡主機與部網絡之間的相互訪問都必須通過使用代理服務器來實現。這樣，就可以控制外部網絡中的主機對部網絡中具有重要資源的機器的訪問。5.2 包過濾一般情況下，包過濾是指對路由器需要轉發的數據包，先獲取信息中所承載的上層IP協議中的協議號、數據包的源地址、目的地址、源端口號和目的端口號等，然后與設定的規則進行比較，比較后的結果對數據包進行轉發或者丟棄。因此只要用戶所配置的規則比較符合實際的應用，那么在這一層就可以過濾掉許多帶有安全隱患的未知數據包。包過濾（對IP數據包）所選取用來判斷的元素如下圖所示（圖中IP所承載的上層協議為TCP）。圖5.1

38、包過濾示意圖5.2.1包過濾可實現的功能1. 不讓任何人從外界使用Telnet登錄。2. 讓每個人經由SMTP（Simple Message Transfer Protocol，簡單傳輸協議）向我們發送電子。3. 使得某臺機器可以通過NNTP（Network News Transfer Protocol，網絡新聞傳輸協議）向我們發送新聞，而其它機器都不具備此項服務等等。5.2.2網絡設備的包過濾的特性1. 基于訪問控制列表（ACL）：訪問控制列表的運用面很廣，它不僅僅可以應用在包過濾中，還可應用在如地址轉換和IPSec等其它需要對數據流進行分類的特性中的應用中。1.1支持標準與擴展訪問控制列表

39、：可以是只設定一個簡單的地址圍的標準訪問控制列表；也可以使用具體到協議、源地址圍、目的地址圍、源端口圍、目的端口圍以與優先級與服務類型等等的擴展訪問控制列表功能。1.2. 支持時間段：可以使訪問控制列表在完全自定義的特定的時間段起作用，比如可設置每周一的8:00至20:00此訪問控制列表起作用。2. 支持訪問控制列表的自動排序：為了簡化配置的復雜程度，方便對于訪問控制列表的配置與維護，可以選擇是否針對某一類的訪問控制列表進行自動排序。 3. 可以具體到接口的輸入與輸出方向：可以在連接WAN的接口的輸出方向上應用某條包過濾規則，也可以在該接口的輸入方向上應用其它的包過濾規則。4. 支持基于接口進

40、行過濾：可以在一個接口的某個方向上設定禁止或允許轉發來自某個接口的報文。5. 支持對符合條件的報文做日志：可記錄報文的相關信息，并提供機制保證在有大量一樣觸發日志的情況下不會消耗過多的資源。本文主要使用包過濾功能（ACL訪問控制列表）實現基本的防火墻功能，下面將著重介紹ACL訪問控制列表的配置。第6章 ACL配置6.1訪問控制列表簡單的來說就是需要配置一些過濾數據包的規則，規定什么樣的數據包可以通過，什么樣的數據包不能通過。訪問控制列表可分為標準訪問控制列表和擴展訪問控制列表。6.1.1標準訪問控制列表acl acl-number match-order config | auto rule

41、normal | special permit | deny source source-addr source-wildcard | any 6.1.2擴展訪問控制列表acl acl-number match-order config | auto rule normal | special permit | deny pro-number source source-addr source-wildcard | any source-port operator port1 port2 destination dest-addr dest- wildcard | any destinatio

42、n-port operator port1 port2 icmp-type icmp-type icmp-code logging其中“protocol-number”用名字或數字表示的IP承載的協議類型。數字圍為0255；名字取值圍為：icmp、igmp、ip、tcp、udp、gre、ospf。對于“protocol”參數的不同，該命令又有以下形式：1.“protocol”為ICMP時的命令格式如下：rule normal | special permit | deny icmp source source-addr source-wildcard | any destination des

43、t-addr dest- wildcard | any icmp-type icmp-type icmp-code logging2. “protocol”為IGMP、IP、GRE、OSPF時的命令格式如下： rule normal | special permit | deny ip | ospf | igmp | gre source source-addr source-wildcard | any destination dest-addr dest- wildcard | any logging3.“protocol”為TCP或UDP時的命令格式如下：rule normal | sp

44、ecial permit | deny tcp | udp source source-addr source-wildcard | any source-port operator port1 port2 destination dest-addr dest- wildcard | any destination-port operator port1 port2 logging只有TCP和UDP協議需要指定端口圍，支持的操作符與其語法如下表：表6.1擴展訪問列表的操作符operator的意義操作符與語法意義equal port-number等于端口號port-numbergreater-t

45、han port-number大于端口號port-numberless-than port-number小于端口號port-numbernot-equal port-number不等于端口號port-numberrange port-number1 port-number2介于端口號port-number1 和 port-number2之間用戶通過配置防火墻添加適當的訪問規則，就可利用包過濾來對通過路由器的IP包進行檢查，從而過濾掉用戶不希望通過路由器的包，起到網絡安全的作用。6.2防火墻的配置防火墻的配置包括：1.允許/禁止防火墻2.配置標準訪問控制列表3.配置擴展訪問控制列表4.配置在接口

46、上應用訪問控制列表的規則5.設置防火墻的缺省過濾方式6.設置特殊時間段6.2.1配置步驟配置路由器RA：RAfirewall enable 啟用防火墻功能RAtimerange enable 啟用時間段功能RAfirewall default permit 設置防火墻缺省過濾方式RAsettr 08:00 18:00 *設定工作時間段*RAacl 3001 創建ACL規則編號3001RA-acl-3001rule special deny tcp source any destination any destination-port greater-than 1024RAacl 3002RA-

47、acl-3002rule permit ip source destination 55 在下班時間允許PC-A 訪問網段202.0.3.*RA-acl-3002rule permit tcp source any destination any destination-port eq smtp 在下班時間允許發送RA-acl-3002rule special deny ip source destination 55 在上班時間禁止PC-A訪問網段202.0.3.*RA-acl-3002rule special permit ip source destination 7 0 在上班時間允許

48、PC-A 只能訪問百度RA-acl-3002rule special deny tcp source destination any destination-port eq smtp 在上班時間禁止PC-A對外發送RA-acl-3002rule special deny tcp source destination any destination-port eq 在上班時間禁止PC-B 使用www服務RA-acl-3002rule special deny tcp source destination any destination-port eq smtp 在上班時間禁止PC-B對外發送RA

49、-acl-3002rule special permit tcp source destination any destination-port eq ftp 在上班時間允許PC-B使用ftp服務RA-acl-3002rule special permit tcp source destination any destination equal telnet 在上班時間允許PC-C使用telnet功能RA-acl-3002quitRAinterface s0RA-s0firewall packet-filter 3001 inbound 將規則3001作用于從接口S0進入的包RA-s0quit

50、RAinterface e0RA-E0firewall packet-filter 3002 inbound 將規則3002作用于從接口Ethernet0進入的包配置路由器RB:RBfirewall enableRBfirewall default permitRBacl 3003禁止所有包通過RB-acl-3003rule deny ip source any destination any 配置規則允許特定主機訪問外部網，允許部服務器訪問外部網。RB-acl-3003rule permit ip source destination any RB-acl-3003rule permit i

51、p source destination anyRB-acl-3003rule permit ip source destination anyRB-acl-3003rule permit ip source destination anyRBacl 3004配置規則允許特定用戶從外部網訪問部特定服務器。RB-acl-3004rule permit ip source destination 55 RB-acl-3004rule deny ip source destination 55配置規則允許特定用戶從外部網取得數據（只允許端口大于1024的包）。RB-acl-3004rule perm

52、it tcp source any destination destination-port greater-than 1024 RB-acl-3004quitRBinterface E0RB-E0firewall packet-filter 3003 inboundRB-EOquitRBinterface S1RB-S1fire packet-filter 3004 inboundRB-s1quit配置路由器RC:RCfirewall enableRCtimerange enableRCfirewall default permitRCsettr 17:00 17:05 RCacl 3006

53、RC-acl-3006rule normal permit icmp source destination icmp-type echoRC-acl-3006rule normal permit icmp source destination icmp-type echo-replyRC-acl-3006rule normal permit icmp source destination icmp-type echo-replyRC-acl-3006rule normal permit icmp source destination icmp-type echoRC-acl-3006rule

54、normal deny tcp source destination destination-port equal telnetRC-acl-3006rule normal deny tcp source destination destination-port equal telnetRC-acl-3006rule special deny icmp source destination icmp-type echoRC-acl-3006rule special deny icmp source destination icmp-type echo-replyRC-acl-3006rule

55、special deny icmp source destination icmp-type echoRC-acl-3006rule special deny icmp source destination icmp-type echo-replyRC-acl-3006quitRCinterface s0RC-Serial0fire packet-filter 3006 inbound配置路由器RD:RDfirewall enableRDtimerange enableRDfirewall default permitRDsettr 18:00 23:59RDacl 3005RD-acl-30

56、05rule deny ip source destination any 在普通時段禁止訪問部網RD-acl-3005rule special permit ip source destination 在特殊時段可以訪問PC-E將一些常用病毒入侵的端口禁用，防止病毒入侵RD-acl-3005rule deny udp source any destination any destination-port eq 135RD-acl-3005rule deny udp source any destination any destination-port eq 137RD-acl-3005rul

57、e deny udp source any destination any destination-port eq 138RD-acl-3005rule deny udp source any destination any destination-port eq 445RD-acl-3005rule deny udp source any destination any destination-port eq 1434RD-acl-3005rule deny tcp source any destination any destination-port eq 135RD-acl-3005ru

58、le deny tcp source any destination any destination-port eq 137RD-acl-3005rule deny tcp source any destination any destination-port eq 139RD-acl-3005rule deny tcp source any destination any destination-port eq 445RD-acl-3005rule deny tcp source any destination any destination-port eq 4444RD-acl-3005r

59、ule deny tcp source any destination any destination-port eq 5554RD-acl-3005rule deny tcp source any destination any destination-port eq 9995RD-acl-3005rule deny tcp source any destination any destination-port eq 9996RD-acl-3005quitRDinterface E0RD-E0fire packet-filter 3005 inboundRD-E0quit6.2.2防火墻的顯

60、示與調試在所有視圖下使用debugging、reset、display命令。表6.2防火墻的顯示和調試操作命令顯示包過濾規則與在接口上的應用display acl all | acl-number | interface type number 顯示防火墻狀態display firewall顯示當前時間段的圍display timerange顯示當前時間是否在特殊時間段之display isintr清除訪問規則計數器reset acl counters acl-number 打開防火墻包過濾調試信息開關debugging filter all | icmp | tcp | udp結論本文介紹了