【正文】 從課題的選擇到成果的最終完成，陳國宏老師始終都給予了細心的指導(dǎo)和不懈的支持。 浙江大學(xué)城市學(xué)院畢業(yè)論文 第 6 章 ACL 配置 22 表 防火墻的顯示和調(diào)試 操作 命令 顯示包過濾規(guī)則及在接口上的應(yīng)用 display acl [ all | aclnumber | interface type number ] 顯示防火墻狀態(tài) display firewall 顯示當(dāng)前時間段的范圍 display timerange 顯示當(dāng)前時間是否在特殊時間段之內(nèi) display isintr 清除訪問規(guī)則計數(shù)器 reset acl counters [ aclnumber ] 打開防火墻包過濾調(diào)試信息開關(guān) debugging filter { all | icmp | tcp | udp} 浙江大學(xué)城市學(xué)院畢業(yè)論文 結(jié)論 23 結(jié)論 本文介紹了 AAA 認證、 OSPF 協(xié)議以及防火墻配置的基本概念、工作原理，及其在基于路由器下的網(wǎng)絡(luò)安全的具體應(yīng)用，詳細并且著重介紹了訪問控制列表 (ACL)的工作原理和實際用途，并得出了結(jié)論：訪問控制列表是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，在路由器的接口上合理適當(dāng)?shù)嘏渲迷L問控制列表后，可以對入站接口、出站接口及通過路由器中繼的數(shù)據(jù)包進行安全檢測，過濾數(shù)據(jù)包，以保障網(wǎng)絡(luò)安全。 訪問控制列表可分為標準訪問控制列表和擴展訪問控制列表。 ．支持標準及擴展訪問控制列表：可以是只設(shè)定一個簡單的地址范圍的標準訪問控制列表；也可以使用具體到協(xié)議、源地址范圍、目的地址范圍、源端口范圍、目的端口范圍以及優(yōu)先級與服務(wù)類型等等的擴展訪問控制列表功能。這樣，就可以控制外部網(wǎng)絡(luò)中的主機對內(nèi)部網(wǎng)絡(luò)中具有重要資源的機器的訪問。而選擇對整個信息流進行系統(tǒng)的分析則 是應(yīng)用層防火墻。如圖 構(gòu)建的小型局域網(wǎng)就完成了。自然而然，自治系統(tǒng)內(nèi)的各個路由器都將得到完全相同的網(wǎng)絡(luò)拓撲圖是因為路由器會將 LSDB 轉(zhuǎn)換成一張帶有權(quán)值的真實反映整個網(wǎng)絡(luò)拓撲結(jié)構(gòu)的有向圖 。 5. 等值路由 —— 到同一目的地址的多條等值路由。 （ 3）計費：記錄用戶組使用網(wǎng)絡(luò)資源的具體情況。 研究的基本內(nèi)容 隨著 Inter 的飛速發(fā)展，全國每個中小型企業(yè)和事業(yè)單位都在建設(shè)局域網(wǎng)并連入了互聯(lián)網(wǎng)，所以信息網(wǎng)絡(luò)安全就必須同時跟上發(fā)展的腳步，成為我們最需要著重關(guān)心的問題之一。確認安全措施實施的方針、政策以及原則；具體組織、協(xié)調(diào)、監(jiān)督、檢查信息安全措施的執(zhí)行。雖然 TCP/IP 協(xié)議具有許多特點，如支持多種應(yīng)用協(xié)議、互聯(lián)能力強、網(wǎng)絡(luò)技術(shù)獨立、等等；但是由于 TCP/IP 協(xié)議在定制時，并沒有考慮到安全方面的主要因素，因此協(xié)議中還是有很多的安全問題存在。 浙江大學(xué)城市學(xué)院畢業(yè)論文 摘要 I 基于路由器的網(wǎng)絡(luò)安全研究和實現(xiàn) 【摘要】 在這篇論文中，介紹了計算機的網(wǎng)絡(luò)安全與防火墻的技術(shù)，主要討論防火墻的概念和分類，詳細說明了防火墻技術(shù)中的包過濾功能。主要有： 1. TCP/IP 協(xié)議數(shù)據(jù)流在使用 FTP、 Http 和 Tel 傳輸時，用戶的賬號以及口令非常容易被竊聽、修改和偽造。 來自計算機網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部的危害當(dāng)中，很多是人為造成 的對信息安全的危害。 我們可以采取在普通路由器中添加安全模塊，從技術(shù)上加強路由器的安全性；或者借助管理手段，從管理上加強對路由器的安全性等多種手段來保證基于路由浙江大學(xué)城市學(xué)院畢業(yè)論文 第 1 章 緒論 3 器的網(wǎng)絡(luò)環(huán)境 下的安全性。 簡單基本的 AAA 配置 組網(wǎng)需求 對所有類型 login 用戶進行本地認證，但不要求計費。 6. 路由分級 —— 當(dāng)同時使用不同等級的路由時，按區(qū)域內(nèi)路由、區(qū)域間路由、第一類外部路由和第二類外部路由這個優(yōu)先順序分級。 3. 使用 SPF 算法的每臺路由器都會計算出一棵到自治系統(tǒng)中各個節(jié)點的路由的樹，這是一棵以自己為根的最短路徑樹，這棵樹給出了通過廣播外部路由的路由器來記錄關(guān)于整個自治系統(tǒng)的額外信息。 浙江大學(xué)城市學(xué)院畢業(yè)論文 第 5 章 防火墻 13 第 5 章 防火墻 防火墻簡介 什么是防火墻 防火墻作為 Inter 訪問控制的基本技術(shù)，其主要作用是監(jiān)視和過濾通過它的數(shù)據(jù)包，拒絕非法用戶訪問網(wǎng)絡(luò)并保障合法用戶正常工作，根據(jù)自身所配置的訪問控制策略決定該包應(yīng)當(dāng)被轉(zhuǎn)發(fā)還是應(yīng)當(dāng)被拋棄。 常見的防火墻有以下幾類： 1. 應(yīng)用網(wǎng)關(guān)（ Application Gateway）：檢驗通過此網(wǎng)關(guān)的所有數(shù)據(jù)包中的位于應(yīng)用層的數(shù)據(jù)。 包過濾 一般情況下，包過濾是指對路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息中所承載的上層 IP 協(xié)議中的協(xié)議號、數(shù)據(jù)包的源地址、目的地址、源端口號和目的端口號等，然后與設(shè)定的規(guī)則進行比較，比較后的結(jié)果對數(shù)據(jù)包進行轉(zhuǎn)發(fā)或者丟棄。 . 支持時間段：可以使訪問控制列表在完全自定義的特定的 時間段內(nèi)起作用，比如可設(shè)置每周一的 8:00 至 20:00 此訪問控制列表起作用。 標準訪問控制列表 acl aclnumber [ matchorder config | auto ] rule { normal | special }{ permit | deny } [source sourceaddr sourcewildcard | any ] 擴展訪問控制列表 acl aclnumber [ matchorder config | auto ] rule { normal | special }{ permit | deny } pronumber [source sourceaddr sourcewildcard | any ] [sourceport operator port1 [ port2 ] ] [ destination destaddr dest wildcard | any ] [destinationport operator port1 [ port2 ] ] [icmptype icmptype icmpcode] [logging] 其中“ protocolnumber”用名字或數(shù)字表示的 IP 承載的協(xié)議類型。 并且，它涉及的技術(shù)也包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種技 術(shù)手段。值得一提的是，陳國宏老師宅心仁厚，閑靜少言，不慕榮利，對學(xué)生認真負責(zé)，給予了諸多建設(shè)性建議，并在百忙之中三閱其稿。 表 III ICMP 報文類型的助記符 助記符 意義 echo echoreply fragmentneedDFset hostredirect hosttosredirect hostunreachable informationreply informationrequest redirect tosredirect unreachable parameterproblem portunreachable protocolunreachable reassemblytimeout sourcequench sourceroutefailed timestampreply timestamprequest ttlexceeded Type=8, Code=0 Type=0, Code=0 Type=3, Code=4 Type=5, Code=1 Type=5, Code=3 Type=3, Code=1 Type=16,Code=0 Type=15,Code=0 Type=5, Code=0 Type=5, Code=2 Type=3, Code=0 Type=12,Code=0 Type=3, Code=3 Type=3, Code=2 Type=11,Code=1 Type=4, Code=0 Type=3, Code=5 Type=14,Code=0 Type=13,Code=0 Type=11,Code=0 浙江大學(xué)城市學(xué)院畢業(yè)論文 致謝 29 致謝 本項畢業(yè)設(shè)計是在我的指導(dǎo)老師陳國宏老師的親切關(guān)懷與細心指導(dǎo)下完成的。 [RBacl3004]rule permit tcp source any destination destinationport greaterthan 1024 [RBacl3004]quit [RB]interface E0 [RBE0]firewall packetfilter 3003 inbound [RBEO]quit [RB]interface S1 [RBS1]fire packetfilter 3004 inbound [RBs1]quit 浙江大學(xué)城市學(xué)院畢業(yè)論文 第 6 章 ACL 配置 20 配置路由器 RC: [RC]firewall enable [RC]timerange enable [RC]firewall default permit [RC]settr 17:00 17:05 [RC]acl 3006 [RCacl3006]rule normal permit icmp source destination icmptype echo [RCacl3006]rule normal permit icmp source destination icmptype echoreply [RCacl3006]rule normal permit icmp source destination icmptype echoreply [RCacl3006]rule normal permit icmp source destination icmptype echo [RCacl3006]rule normal deny tcp source destination destinationport equal tel [RCacl3006]rule normal deny tcp source destination destinationport equal tel [RCacl3006]rule special deny icmp source destination icmptype echo [RCacl3006]rule special deny icmp source destination icmptype echoreply [RCacl3006]rule special deny icmp source destination icmptype echo [RCacl3006]rule special deny icmp source destination icmptype echoreply [RCacl3006]quit [RC]interface s0 [RCSerial0]fire packetfilter 3006 inbound 配置路由器 RD: [RD]firewall enable [RD]timerange enable 浙江大學(xué)城市學(xué)院畢業(yè)論文 第 6 章 ACL 配置 21 [RD]firewall default permit [RD]settr 18:00 23:59 [RD]acl 3005 [RDacl3005]rule deny ip source destination any 在普通時段禁止訪問內(nèi)部網(wǎng) [RDacl3005]rule special permit ip source destination 在特殊時段可以訪問 PCE 將一些常用病毒入侵的端口禁用，防止病毒入侵 [RDacl3005]rule deny udp source any destination any destinationport eq 135 [RDacl3005]rule deny udp source any destination any destinationport eq 137 [RDacl3005]rule deny udp source any destination any destinationport eq 138 [RDacl3005]rule deny udp source any destination any destinationport eq 445 [RDacl3005]rule deny udp source any destination any destinationport eq 1434 [RDacl3005]ru