網(wǎng)絡(luò)安全第一次實驗

1、實驗11 防火墻的連接串口連接telnet連接Web界面連接23123445678910華3 f100基礎(chǔ)命令dis cu 顯示當(dāng)前配置信息普通視圖中save，保存當(dāng)前配置系統(tǒng)配置視圖中quit，當(dāng)前視圖退出 進入接口視圖，配置ip命令行中敲？，可以顯示各種命令的用法112 防火墻中ACL的使用需求：假設(shè)防火墻IP地址為，實驗機器的IP為，現(xiàn)要封IP為的ping數(shù)據(jù)包。防火墻為了過濾數(shù)據(jù)包，需要配置一系列的規(guī)則，以決定什么樣的數(shù)據(jù)包能夠通過，這些規(guī)則就是通過訪問控制列表ACL（Access Control List）定義的。 12按照訪問控制列表的用途，可以分為四類：基本的訪問控制列表（bas

2、ic acl）高級的訪問控制列表（advanced acl）基于接口的訪問控制列表（interface-based acl）基于MAC的訪問控制列表（mac-based acl）訪問控制列表的使用用途是依靠數(shù)字的范圍來指定的，10001999是基于接口的訪問控制列表，20002999范圍的訪問控制列表是基本的訪問控制列表，30003999范圍的訪問控制列表是高級的訪問控制列表，40004999范圍的訪問控制列表是基于MAC地址訪問控制列表。13可以使用如下命令創(chuàng)建一個訪問控制列表：acl number acl-number match-order config | auto match-ord

3、er config：指定匹配該規(guī)則時按用戶的配置順序。match-order auto：指定匹配該規(guī)則時系統(tǒng)自動排序，即按“深度優(yōu)先”的順序。使用如下的命令刪除一個或所有的訪問控制列表：undo acl number acl-number | all 例如sys進入配置視圖acl number 3000 進入了ACL視圖之后，就可以配置ACL的規(guī)則了 14創(chuàng)建1個訪問控制列表15可以使用如下的命令定義一個基本訪問控制列表的規(guī)則：rule rule-id permit | deny source sour-addr sour-wildcard | any time-range time-name

4、 logging fragment vpn-instance vpn-instance-name rule-id：可選參數(shù)，ACL規(guī)則編號，范圍為065534permit：允許符合條件的數(shù)據(jù)包。deny：丟棄符合條件的數(shù)據(jù)包。source：可選參數(shù)，指定ACL規(guī)則的源地址信息。如果不指定，表示報文的任何源地址都匹配。sour-addr：數(shù)據(jù)包的源地址，點分十進制表示。sour-wildcard：源地址通配符，點分十進制表示。any：表示所有源地址，作用與源地址是，通配符是55相同?？梢允褂萌缦旅顒h除一個基本訪問控制列表的規(guī)則：undo rule rule-id source time-ran

5、ge logging fragment vpn-instance 16可以使用如下的命令定義一個高級訪問控制列表規(guī)則：rule rule-id permit | deny protocol source sour-addr sour-wildcard | any destination dest-addr dest-wildcard | any soucre-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-message | icmp-type icmp-code dscp dscp

6、established precedence precedence tos tos time-range time-name logging fragment vpn-instance vpn-instance-name protocol：用名字或數(shù)字表示的IP承載的協(xié)議類型。數(shù)字范圍為1255；名稱取值范圍為：gre、icmp、igmp、ip、ipinip、ospf、tcp、udp。 destination：可選參數(shù)，指定ACL規(guī)則的目的地址信息。如果不配置，表示報文的任何目的地址都匹配。 17icmp-type：可選參數(shù)，指定ICMP報文的類型和消息碼信息，僅僅在報文協(xié)議是ICMP的情況下

7、有效。如果不配置，表示任何ICMP類型的報文都匹配。icmp-type：ICMP包可以依據(jù)ICMP的消息類型進行過濾。取值為0255的數(shù)字。icmp-code：依據(jù)ICMP的消息類型進行過濾的ICMP包也可以依據(jù)消息碼進行過濾。取值為0255的數(shù)字。icmp-message：ICMP包可以依據(jù)ICMP消息類型名稱或ICMP消息類型和碼的名稱進行過濾。source-port：可選參數(shù)，指定UDP或者TCP報文的源端口信息，僅僅在規(guī)則指定的協(xié)議號是TCP或者UDP有效。如果不指定，表示TCP/UDP報文的任何源端口信息都匹配。destination-port：可選參數(shù)，指定UDP或者TCP報文的目

8、的端口信息，僅僅在規(guī)則指定的協(xié)議號是TCP或者UDP有效。如果不指定，表示TCP/UDP報文的任何目的端口信息都匹配。operator：可選參數(shù)。比較源或者目的地址的端口號的操作符，名字及意義如下：lt（小于），gt（大于），eq（等于），neq（不等于），range（在范圍內(nèi)）。只有range需要兩個端口號做操作數(shù)，其他的只需要一個端口號做操作數(shù)。port1，port2：可選參數(shù)。TCP或UDP的端口號，用名稱或數(shù)字表示，數(shù)字的取值范圍為065535。logging：可選參數(shù)，是否對符合條件的數(shù)據(jù)包做日志。日志內(nèi)容包括訪問控制列表規(guī)則的序號，數(shù)據(jù)包允許或被丟棄，IP承載的上層協(xié)議類型，源/目

9、的地址，源/目的端口號，數(shù)據(jù)包的數(shù)目。目前支持此選項的業(yè)務(wù)只有包過濾防火墻（在接口下被firewall packet-filter命令引用）。 18進入訪問控制列表視圖添加規(guī)則19進入某端口視圖添加該過濾規(guī)則20實驗結(jié)果表明icmp包過不了，telnet可以21ACL對分片報文的支持 傳統(tǒng)的包過濾并不處理所有IP報文分片，而是只對第一個（首片）分片報文進行匹配處理，后續(xù)分片一律放行。這樣，網(wǎng)絡(luò)攻擊者可能構(gòu)造后續(xù)的分片報文進行流量攻擊，就帶來了安全隱患。在ACL的規(guī)則配置項中，通過關(guān)鍵字fragment來標識該ACL規(guī)則僅對非首片分片報文有效，而對非分片報文和首片分片報文則忽略此規(guī)則。而不包含此

10、關(guān)鍵字的配置規(guī)則項對所有報文均有效。H3C-acl-basic-2000 rule deny source 55 fragmentH3C-acl-basic-2000 rule permit source 55H3C-acl-adv-3001 rule permit ip destination 0 fragmentH3C-acl-adv-3001 rule deny ip destination 0上述規(guī)則項中，所有項對非首片分片報文均有效；第一，三項對非分片和首片分片報文是被忽略的，僅僅對非首片分片報文有效。22注意的問題不同的系統(tǒng)版本命令配置可能有差異防火墻和路由器命令配置可能有差異但基本類似23學(xué)生實踐環(huán)節(jié)實驗1PC機聯(lián)通防火墻登錄防火墻，設(shè)置Ethernet0/0 IP地址，設(shè)置PC機IP地址，互相ping通防火墻PCEthernet 0/0/24/2424學(xué)生實踐環(huán)節(jié)實驗2ACL應(yīng)用要求PC機ping不通防火墻，防火墻可ping通PC機PC機可telnet防火墻，PC機不可ftp到防火墻防火墻PCEthernet 0/0/24/2425學(xué)生實踐環(huán)節(jié)實驗3網(wǎng)絡(luò)聯(lián)通實驗PC A 和PC B要互相PING通防火墻A為白名單模式，防火墻B為黑名單模式PC