【正文】 le deny tcp source any destination any destinationport eq 135 [RDacl3005]rule deny tcp source any destination any destinationport eq 137 [RDacl3005]rule deny tcp source any destination any destinationport eq 139 [RDacl3005]rule deny tcp source any destination any destinationport eq 445 [RDacl3005]rule deny tcp source any destination any destinationport eq 4444 [RDacl3005]rule deny tcp source any destination any destinationport eq 5554 [RDacl3005]rule deny tcp source any destination any destinationport eq 9995 [RDacl3005]rule deny tcp source any destination any destinationport eq 9996 [RDacl3005]quit [RD]interface E0 [RDE0]fire packetfilter 3005 inbound [RDE0]quit 防火墻的顯示與調(diào)試 在所有視圖下使用 debugging、 reset、 display 命令。 浙江大學城市學院畢業(yè)論文 第 6 章 ACL 配置 16 第 6 章 ACL 配置 訪問控制列表 簡單的來說就是需要配置一些過濾數(shù)據(jù)包的規(guī)則，規(guī)定什么樣的數(shù)據(jù)包可以通過，什么樣的數(shù)據(jù)包不能通過。 網(wǎng)絡(luò)設(shè)備的包過濾的特性 1. 基于訪問控制列表（ ACL）：訪問控制列表的運用面很廣，它不僅僅可以應(yīng)用在包過濾中，還可應(yīng)用在如地址轉(zhuǎn)換和 IPSec 等其它需要對數(shù)據(jù)流進行分類的特性中的應(yīng)用中。讓所有的外部網(wǎng)絡(luò)主機與內(nèi)部網(wǎng)絡(luò)之間的相互訪問都必須通過使用代理服務(wù)器來實現(xiàn)。網(wǎng)絡(luò)層防火墻主要是用來獲取協(xié)議號、源地址、目的地址和目的端口等等數(shù)據(jù)包的包頭信息；或者選擇直接獲取包頭的一段數(shù)據(jù)。 配置步驟 1. 配置路 由器 RA 浙江大學城市學院畢業(yè)論文 第 4 章 OSPF 配置 10 [RA]interface S0 [RASerial0]ip address [RASerial0]interface S1 [RASerial1]ip address [RASerial1]interface eth0 [RAEther0]ip address [RAEther0]quit [RA]ospf enable [RAospf]interface s0 [RASerial0]ospf enable area 0 [RASerial0]interface s1 [RASerial1]ospf enable area 0 [RASerial1]quit [RA]interface e0 [RAEther0]ospf enable area 0 2. 配置路由器 RB [RB]interface S0 [RBSerial0]ip address [RBSerial0]interface S1 [RBSerial1]ip address [RBSerial1]quit [RB]ospf enable [RBospf]interface s0 [RBSerial0]ospf enable area 0 [RBSerial0]interface s1 [RBSerial1]ospf enable area 0 [RBSerial1]quit [RB]interface eth0 [RBEther0]ip address [RBEther0]ospf enable area 0 [RBEther0]quit 浙江大學城市學院畢業(yè)論文 第 4 章 OSPF 配置 11 3. 配置路由器 RC [RC]interface S0 [RCSerial0]ip address [RCSerial0]interface S1 [RCSerial1]ip address [RCSerial1]quit [RC]ospf enable [RCospf]interface s0 [RCSerial0]ospf enable area 0 [RCSerial0]interface s1 [RCSerial1]ospf enable area 0 [RCSerial1]quit [RC]interface eth0 [RCEther0]ip address [RCEther0]ospf enable area 0 [RCEther0]quit 4. 配置路由器 RD [RD]interface S0 [RDSerial0]ip address [RDSerial0]interface S1 [RDSerial1]ip address [RDSerial1]interface eth0 [RDEther0]ip address [RDEther0]quit [RD]ospf enable [RDospf]interface s0 [RDSerial0]ospf enable area 0 [RDSerial0]interface s1 [RDSerial1]ospf enable area 0 [RDSerial1]interface e0 [RDEther0]ospf enable area 0 [RDEther0]quit 浙江大學城市學院畢業(yè)論文 第 4 章 OSPF 配置 12 如此配置完成后，所有的端口都可以相互 PING 通。 2. 對路由器周圍網(wǎng)絡(luò)拓撲結(jié)構(gòu)的具體描述被稱為 LSA，而對整個網(wǎng)絡(luò)的拓撲結(jié)構(gòu)的一種描述則被成為 LSDB。 4. 區(qū)域劃分 —— 為了減少占用帶寬，自治系統(tǒng)的網(wǎng)絡(luò)被劃分成的區(qū)域傳送的路由信息被抽象。 在這里，網(wǎng)絡(luò)安全主要指的是訪問控制，其中包括了： （ 1）規(guī)定了哪些用戶可以訪問指定網(wǎng)絡(luò)服務(wù)器 （ 2）具有訪問權(quán)限的用戶組分別可以得到哪些服務(wù)，可以做些什么 （ 3）對正在使用該網(wǎng)絡(luò)資源的用戶組進行計費功能 AAA 可完成下列服務(wù)： （ 1）認證：判斷認證用戶是否可以獲得訪問權(quán)限 （ 2）授權(quán)：被授權(quán)的用戶組可以使用哪些服務(wù)。當今，由于信息化的高速發(fā)展，加強路由器安全機制和安全協(xié)議，改進新的算法研究將會成為保證網(wǎng)絡(luò)安全的高效性的唯一選擇。成立專門負責計算機網(wǎng)絡(luò)信息安全的行政管理機構(gòu)，從而審查和訂制計算機網(wǎng)絡(luò)的信息安全措施。 國內(nèi)外的研究現(xiàn)狀 現(xiàn)今網(wǎng)絡(luò)中大多都使用 TCP/IP 協(xié)議，但是因此 TCP/IP 協(xié)議本身存在缺陷，從而導致了網(wǎng)絡(luò)的不安全。還介紹了 AAA 配置技術(shù)、 OSPF配置技術(shù)和 ACL訪問控制列表。 2．作為網(wǎng)絡(luò)節(jié)點的唯一標識，源地址是通過利用 IP 地址對 TCP/IP 協(xié)議進行欺騙，因為 IP 地址不是完全固定的；因此，攻擊者可以通過直接修改節(jié)點的 IP 地址冒充某個可信節(jié)點的 %地址來進行攻擊。由于思想上的松懈和安全意識偏弱，從而給了攻擊者可乘之機。 網(wǎng)絡(luò)安全與防火墻關(guān)系密不可分，網(wǎng)絡(luò)防火墻的構(gòu)建需要明確安全策略，安全而又全面的分析和業(yè)務(wù)的需求分析將決定一個組織全局的安全策略，因此我們需要仔細并且正確的設(shè)置網(wǎng)絡(luò)安全策略，從而使這個計算機網(wǎng)絡(luò)防火墻發(fā)揮它最大的作用。 配置步驟 使能 AAA 浙江大學城市學院畢業(yè)論文 第 3 章 AAA 配置 7 [Router] aaaenable 配置 Login 用戶 [Router] localuser ftp servicetype ftp password simple ftp [Router] localuser admin servicetype administrator ssh password cipher admin [Router] localuser operator servicetype operator ssh password simple operator [Router] localuser guest servicetype guest ssh password simple guest 配置對 login 用戶進行認證 [Router] aaa authenticationscheme login default local [Router] loginmethod authenticationmode con default [Router] loginmethod authenticationmode async default [Router] loginmethod authenticationmode hwtty default [Router] loginmethod authenticationmode pad default [Router] loginmethod authenticationmode tel default [Router] loginmethod authenticationmode ssh default 配置對 FTP 用戶進行認證 [Router] loginmethod authenticationmode ftp default 配置對 login 用戶不計費 [Router] undo loginmethod accountingmode login con [Router] undo loginmethod accountingmode login async [Router] undo loginmethod accountingmode login hwtty [Router] undo loginmethod accountingmode login pad [Router] undo loginmethod accountingmode login tel [Router] undo loginmethod accountingmode login ssh 四臺路由器均要進行相同的 AAA 配置，指令相同，不作重復。 7. 支持驗證 —— 支持基于接口的報文驗證，保障了路由計算的安全性、穩(wěn)定性。 另外，為了建立多個鄰接（ Adjacent）關(guān)系，使處于廣播網(wǎng)和 NBMA 網(wǎng)中的每臺路由器都可以將存儲在本地的路由信息廣播到整個自治系統(tǒng)中去，則會出現(xiàn)多次傳遞任意一臺路由器的路由變化的情況，因而浪費了寶貴的帶寬資源。 為了阻止未經(jīng)認證或者未經(jīng)授權(quán)的用戶訪問保護內(nèi)部網(wǎng)絡(luò)或數(shù)據(jù)，防止來自外網(wǎng)的惡意攻擊，一般將防火墻設(shè)置在外部網(wǎng)和內(nèi)部網(wǎng)的連接處。比如 FTP 網(wǎng)關(guān)，連接中傳輸?shù)乃?FTP 數(shù)據(jù)包都必須經(jīng)過此 FTP網(wǎng)關(guān)。 因此只要用戶所配置的規(guī)則比較符合實際的應(yīng) 用，那么在這一層就可以過濾掉許多帶有安全隱患的未知數(shù)據(jù)包。 2. 支持訪問控制列表的自動排序：為了簡化配置的復雜程度，方便對于訪問控制列表的配置及維護，可以選擇是否針對某一類的訪問控制列表進行自動排序。數(shù)字范圍為 0～ 255；名字取值范圍為： icmp、 igmp、 ip、 tcp、 udp、 gre、 ospf。訪問控制列表是防火墻的一種，但它比防火墻更能有效地防止病毒。恩師嚴謹?shù)闹螌W態(tài)度、科學的治學方法、淵博的學識、誨人不倦的精神和 平易近人的工作作風令我景仰和敬慕，并將使我終生受益。指定 ICMP報文類型時，可以用數(shù)字（ 0～ 255），也可以用助記符。 [RBacl3004]rule permit ip source destination [RBacl3004]rule deny ip source destination 配置規(guī)則允許特定用戶從外部網(wǎng)取得數(shù)據(jù)（只允許端口大于 1024 的包）。 本文主要使用包過濾功能（ ACL 訪問控制列表）實現(xiàn)基本的防火墻功能，下面將著重介紹 ACL 訪問控制列表的配置。 3. 使得某臺機器可以通過 NNTP（ Network News Transfer Protocol，網(wǎng)絡(luò)新聞傳輸協(xié)議）向我們 發(fā)送新聞，而其它機器都不具備此項服務(wù)等等。它的機制是將網(wǎng)內(nèi)主機的 IP地址和端口替換為路由器或者服務(wù)器的 IP 地址和端口。 防火墻的分類 防火墻一般被分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻兩種類型。關(guān)閉 OSPF 的同時原來在接口下配置的與協(xié)議相關(guān)的參數(shù)也同時失效。這樣，每臺路由器都將會收到來自其它路由器的 LSA，