【正文】 院畢業(yè)論文 第 4 章 OSPF 配置 12 如此配置完成后，所有的端口都可以相互 PING 通。也可以用防火墻將企業(yè)網(wǎng)中比較敏感的網(wǎng)段與相對(duì)開(kāi) 放的網(wǎng)段隔離開(kāi)來(lái)，從而達(dá)到即使該訪問(wèn)是來(lái)自局域網(wǎng)內(nèi)部，也必須經(jīng)過(guò)防火墻的過(guò)濾的效果。網(wǎng)絡(luò)層防火墻主要是用來(lái)獲取協(xié)議號(hào)、源地址、目的地址和目的端口等等數(shù)據(jù)包的包頭信息；或者選擇直接獲取包頭的一段數(shù)據(jù)。 浙江大學(xué)城市學(xué)院畢業(yè)論文 第 5 章 防火墻 14 2. 包過(guò)濾（ Packet Filter）：是指對(duì)每個(gè)數(shù)據(jù)包都將會(huì)完全按照用戶所定義的規(guī)則來(lái)比較進(jìn)入的數(shù)據(jù)包的源地址、目的地址是否符合所定義的規(guī)則。讓所有的外部網(wǎng)絡(luò)主機(jī)與內(nèi)部網(wǎng)絡(luò)之間的相互訪問(wèn)都必須通過(guò)使用代理服務(wù)器來(lái)實(shí)現(xiàn)。 包過(guò)濾（對(duì) IP 數(shù)據(jù)包）所選取用來(lái)判斷的元素如下圖所示（圖中 IP 所承載的上層協(xié)議為 TCP）。 網(wǎng)絡(luò)設(shè)備的包過(guò)濾的特性 1. 基于訪問(wèn)控制列表（ ACL）：訪問(wèn)控制列表的運(yùn)用面很廣，它不僅僅可以應(yīng)用在包過(guò)濾中，還可應(yīng)用在如地址轉(zhuǎn)換和 IPSec 等其它需要對(duì)數(shù)據(jù)流進(jìn)行分類的特性中的應(yīng)用中。 3. 可以具體到接口的輸入及輸出方向：可以在連接 WAN 的接口的輸出方向上應(yīng)用某條包過(guò)濾規(guī)則，也可以在該接口的輸入方向上應(yīng)用其它的包過(guò)濾規(guī)則。 浙江大學(xué)城市學(xué)院畢業(yè)論文 第 6 章 ACL 配置 16 第 6 章 ACL 配置 訪問(wèn)控制列表 簡(jiǎn)單的來(lái)說(shuō)就是需要配置一些過(guò)濾數(shù)據(jù)包的規(guī)則，規(guī)定什么樣的數(shù)據(jù)包可以通過(guò)，什么樣的數(shù)據(jù)包不能通過(guò)。 對(duì)于“ protocol”參數(shù)的不同，該命令又有以下形式： 1. “ protocol”為 ICMP 時(shí)的命令格式如下： rule { normal | special }{ permit | deny } icmp [source sourceaddr sourcewildcard | any ] [ destination destaddr dest wildcard | any ] [icmptype icmptype icmpcode] [logging] 浙江大學(xué)城市學(xué)院畢業(yè)論文 第 6 章 ACL 配置 17 2. “ protocol”為 IGMP、 IP、 GRE、 OSPF 時(shí)的命令格式如下： rule { normal | special }{ permit | deny } { ip | ospf | igmp | gre } [source sourceaddr sourcewildcard | any ] [ destination destaddr dest wildcard | any ] [logging] 3. “ protocol”為 TCP 或 UDP 時(shí)的命令格式如下： rule { normal | special }{ permit | deny } { tcp | udp } [source sourceaddr sourcewildcard | any ] [sourceport operator port1 [ port2 ] ] [ destination destaddr dest wildcard | any ] [destinationport operator port1 [ port2 ] ] [logging] 只有 TCP 和 UDP 協(xié)議需要指定端口范圍，支持的 操作符及其語(yǔ)法如下表： 表 擴(kuò)展訪問(wèn)列表的操作符 operator 的意義 用戶通過(guò)配置防火墻添加適當(dāng)?shù)脑L問(wèn)規(guī)則，就可利用包過(guò)濾來(lái)對(duì)通過(guò)路由器的 IP 包進(jìn)行檢查，從而過(guò)濾掉用戶不希望通過(guò)路由器的包，起到網(wǎng)絡(luò)安全的作用。 [RBacl3004]rule permit tcp source any destination destinationport greaterthan 1024 [RBacl3004]quit [RB]interface E0 [RBE0]firewall packetfilter 3003 inbound [RBEO]quit [RB]interface S1 [RBS1]fire packetfilter 3004 inbound [RBs1]quit 浙江大學(xué)城市學(xué)院畢業(yè)論文 第 6 章 ACL 配置 20 配置路由器 RC: [RC]firewall enable [RC]timerange enable [RC]firewall default permit [RC]settr 17:00 17:05 [RC]acl 3006 [RCacl3006]rule normal permit icmp source destination icmptype echo [RCacl3006]rule normal permit icmp source destination icmptype echoreply [RCacl3006]rule normal permit icmp source destination icmptype echoreply [RCacl3006]rule normal permit icmp source destination icmptype echo [RCacl3006]rule normal deny tcp source destination destinationport equal tel [RCacl3006]rule normal deny tcp source destination destinationport equal tel [RCacl3006]rule special deny icmp source destination icmptype echo [RCacl3006]rule special deny icmp source destination icmptype echoreply [RCacl3006]rule special deny icmp source destination icmptype echo [RCacl3006]rule special deny icmp source destination icmptype echoreply [RCacl3006]quit [RC]interface s0 [RCSerial0]fire packetfilter 3006 inbound 配置路由器 RD: [RD]firewall enable [RD]timerange enable 浙江大學(xué)城市學(xué)院畢業(yè)論文 第 6 章 ACL 配置 21 [RD]firewall default permit [RD]settr 18:00 23:59 [RD]acl 3005 [RDacl3005]rule deny ip source destination any 在普通時(shí)段禁止訪問(wèn)內(nèi)部網(wǎng) [RDacl3005]rule special permit ip source destination 在特殊時(shí)段可以訪問(wèn) PCE 將一些常用病毒入侵的端口禁用，防止病毒入侵 [RDacl3005]rule deny udp source any destination any destinationport eq 135 [RDacl3005]rule deny udp source any destination any destinationport eq 137 [RDacl3005]rule deny udp source any destination any destinationport eq 138 [RDacl3005]rule deny udp source any destination any destinationport eq 445 [RDacl3005]rule deny udp source any destination any destinationport eq 1434 [RDacl3005]rule deny tcp source any destination any destinationport eq 135 [RDacl3005]rule deny tcp source any destination any destinationport eq 137 [RDacl3005]rule deny tcp source any destination any destinationport eq 139 [RDacl3005]rule deny tcp source any destination any destinationport eq 445 [RDacl3005]rule deny tcp source any destination any destinationport eq 4444 [RDacl3005]rule deny tcp source any destination any destinationport eq 5554 [RDacl3005]rule deny tcp source any destination any destinationport eq 9995 [RDacl3005]rule deny tcp source any destination any destinationport eq 9996 [RDacl3005]quit [RD]interface E0 [RDE0]fire packetfilter 3005 inbound [RDE0]quit 防火墻的顯示與調(diào)試 在所有視圖下使用 debugging、 reset、 display 命令。 另外， ACL 過(guò)濾的僅僅只是第三層和第四層包頭中的部分信息，因而無(wú)法識(shí)別到具體的人和到應(yīng)用內(nèi)部的權(quán)限級(jí)別等；所以雖然 ACL 實(shí)現(xiàn)訪問(wèn)控制的形式靈活、用途廣泛，但同時(shí)也有其局限性，因此，要達(dá)到更高級(jí)更復(fù)雜更有效的權(quán)限控制目的，還需要和系統(tǒng)級(jí)及應(yīng)用級(jí)的訪問(wèn)權(quán)限控制結(jié)合使用。 表 III ICMP 報(bào)文類型的助記符 助記符 意義 echo echoreply fragmentneedDFset hostredirect hosttosredirect hostunreachable informationreply informationrequest redirect tosredirect unreachable parameterproblem portunreachable protocolunreachable reassemblytimeout sourcequench sourceroutefailed timestampreply timestamprequest ttlexceeded Type=8, Code=0 Type=0, Code=0 Type=3, Code=4 Type=5, Code=1 Type=5, Code=3 Type=3, Code=1 Type=16,Code=0 Type=15,Code=0 Type=5, Code=0 Type=5, Code=2 Type=3, Code=0 Type=12,Code=0 Type=3, Code=3 Type=3, Code=2 Type=11,Code=1 Type=4, Code=0 Type=3, Code=5 Type=14,Code=0 Type=13,Code=0 Type=11,Code=0 浙江大學(xué)城市學(xué)院畢業(yè)論文 致謝 29 致謝 本項(xiàng)畢業(yè)設(shè)計(jì)是在我的指導(dǎo)老師陳國(guó)宏老師的親切關(guān)懷與細(xì)心指導(dǎo)下完成的。畢竟“經(jīng)師易得，人師難求”，希望借此機(jī)會(huì)向陳國(guó)宏老師表示最衷心的感謝！ 此外，本文最終得以順利完成，也是與我班與我同組的同學(xué)的幫助分不開(kāi)的，平日里大家一起討論，一起實(shí)踐，碰到問(wèn)題一起解決，提出了一系列可行性的建議，他們是任自翔同學(xué)和張培楠同學(xué)，在此向他們表示深深的感謝！ 最后要感謝的是我的父母，他們讓我在漫長(zhǎng)的人生旅途中使心靈有了虔敬的歸依，而且也為我能夠順利的完成畢業(yè)設(shè)計(jì)提供了巨大的支持與幫助。值得一提的是，陳國(guó)宏老師宅心仁厚，閑靜少言，不慕榮利，對(duì)學(xué)生認(rèn)真負(fù)責(zé)，給予了諸多建設(shè)性建議，并在百忙之中三閱其稿。 Its Applications， 20xx， 7(4)： 224230． 浙江大學(xué)城市學(xué)院畢業(yè)論文 附錄 26 附錄 在指定 portnumber 時(shí)，對(duì)于部分常見(jiàn)的端口