【正文】 uest 配置對 login 用戶進行認證 [Router] aaa authenticationscheme login default local [Router] loginmethod authenticationmode con default [Router] loginmethod authenticationmode async default [Router] loginmethod authenticationmode hwtty default [Router] loginmethod authenticationmode pad default [Router] loginmethod authenticationmode tel default [Router] loginmethod authenticationmode ssh default 配置對 FTP 用戶進行認證 [Router] loginmethod authenticationmode ftp default 配置對 login 用戶不計費 [Router] undo loginmethod accountingmode login con [Router] undo loginmethod accountingmode login async [Router] undo loginmethod accountingmode login hwtty [Router] undo loginmethod accountingmode login pad [Router] undo loginmethod accountingmode login tel [Router] undo loginmethod accountingmode login ssh 四臺路由器均要進行相同的 AAA 配置，指令相同，不作重復。由于思想上的松懈和安全意識偏弱，從而給了攻擊者可乘之機。還介紹了 AAA 配置技術、 OSPF配置技術和 ACL訪問控制列表。成立專門負責計算機網絡信息安全的行政管理機構，從而審查和訂制計算機網絡的信息安全措施。 在這里，網絡安全主要指的是訪問控制，其中包括了： （ 1）規(guī)定了哪些用戶可以訪問指定網絡服務器 （ 2）具有訪問權限的用戶組分別可以得到哪些服務，可以做些什么 （ 3）對正在使用該網絡資源的用戶組進行計費功能 AAA 可完成下列服務： （ 1）認證：判斷認證用戶是否可以獲得訪問權限 （ 2）授權：被授權的用戶組可以使用哪些服務。 2. 對路由器周圍網絡拓撲結構的具體描述被稱為 LSA，而對整個網絡的拓撲結構的一種描述則被成為 LSDB。網絡層防火墻主要是用來獲取協議號、源地址、目的地址和目的端口等等數據包的包頭信息；或者選擇直接獲取包頭的一段數據。 網絡設備的包過濾的特性 1. 基于訪問控制列表（ ACL）：訪問控制列表的運用面很廣，它不僅僅可以應用在包過濾中，還可應用在如地址轉換和 IPSec 等其它需要對數據流進行分類的特性中的應用中。 [RBacl3004]rule permit tcp source any destination destinationport greaterthan 1024 [RBacl3004]quit [RB]interface E0 [RBE0]firewall packetfilter 3003 inbound [RBEO]quit [RB]interface S1 [RBS1]fire packetfilter 3004 inbound [RBs1]quit 浙江大學城市學院畢業(yè)論文 第 6 章 ACL 配置 20 配置路由器 RC: [RC]firewall enable [RC]timerange enable [RC]firewall default permit [RC]settr 17:00 17:05 [RC]acl 3006 [RCacl3006]rule normal permit icmp source destination icmptype echo [RCacl3006]rule normal permit icmp source destination icmptype echoreply [RCacl3006]rule normal permit icmp source destination icmptype echoreply [RCacl3006]rule normal permit icmp source destination icmptype echo [RCacl3006]rule normal deny tcp source destination destinationport equal tel [RCacl3006]rule normal deny tcp source destination destinationport equal tel [RCacl3006]rule special deny icmp source destination icmptype echo [RCacl3006]rule special deny icmp source destination icmptype echoreply [RCacl3006]rule special deny icmp source destination icmptype echo [RCacl3006]rule special deny icmp source destination icmptype echoreply [RCacl3006]quit [RC]interface s0 [RCSerial0]fire packetfilter 3006 inbound 配置路由器 RD: [RD]firewall enable [RD]timerange enable 浙江大學城市學院畢業(yè)論文 第 6 章 ACL 配置 21 [RD]firewall default permit [RD]settr 18:00 23:59 [RD]acl 3005 [RDacl3005]rule deny ip source destination any 在普通時段禁止訪問內部網 [RDacl3005]rule special permit ip source destination 在特殊時段可以訪問 PCE 將一些常用病毒入侵的端口禁用，防止病毒入侵 [RDacl3005]rule deny udp source any destination any destinationport eq 135 [RDacl3005]rule deny udp source any destination any destinationport eq 137 [RDacl3005]rule deny udp source any destination any destinationport eq 138 [RDacl3005]rule deny udp source any destination any destinationport eq 445 [RDacl3005]rule deny udp source any destination any destinationport eq 1434 [RDacl3005]rule deny tcp source any destination any destinationport eq 135 [RDacl3005]rule deny tcp source any destination any destinationport eq 137 [RDacl3005]rule deny tcp source any destination any destinationport eq 139 [RDacl3005]rule deny tcp source any destination any destinationport eq 445 [RDacl3005]rule deny tcp source any destination any destinationport eq 4444 [RDacl3005]rule deny tcp source any destination any destinationport eq 5554 [RDacl3005]rule deny tcp source any destination any destinationport eq 9995 [RDacl3005]rule deny tcp source any destination any destinationport eq 9996 [RDacl3005]quit [RD]interface E0 [RDE0]fire packetfilter 3005 inbound [RDE0]quit 防火墻的顯示與調試 在所有視圖下使用 debugging、 reset、 display 命令。值得一提的是，陳國宏老師宅心仁厚，閑靜少言，不慕榮利，對學生認真負責，給予了諸多建設性建議，并在百忙之中三閱其稿。 標準訪問控制列表 acl aclnumber [ matchorder config | auto ] rule { normal | special }{ permit | deny } [source sourceaddr sourcewildcard | any ] 擴展訪問控制列表 acl aclnumber [ matchorder config | auto ] rule { normal | special }{ permit | deny } pronumber [source sourceaddr sourcewildcard | any ] [sourceport operator port1 [ port2 ] ] [ destination destaddr dest wildcard | any ] [destinationport operator port1 [ port2 ] ] [icmptype icmptype icmpcode] [logging] 其中“ protocolnumber”用名字或數字表示的 IP 承載的協議類型。 包過濾 一般情況下，包過濾是指對路由器需要轉發(fā)的數據包，先獲取包頭信息中所承載的上層 IP 協議中的協議號、數據包的源地址、目的地址、源端口號和目的端口號等，然后與設定的規(guī)則進行比較，比較后的結果對數據包進行轉發(fā)或者丟棄。 浙江大學城市學院畢業(yè)論文 第 5 章 防火墻 13 第 5 章 防火墻 防火墻簡介 什么是防火墻 防火墻作為 Inter 訪問控制的基本技術，其主要作用是監(jiān)視和過濾通過它的數據包，拒絕非法用戶訪問網絡并保障合法用戶正常工作，根據自身所配置的訪問控制策略決定該包應當被轉發(fā)還是應當被拋棄。 6. 路由分級 —— 當同時使用不同等級的路由時，按區(qū)域內路由、區(qū)域間路由、第一類外部路由和第二類外部路由這個優(yōu)先順序分級。 我們可以采取在普通路由器中添加安全模塊，從技術上加強路由器的安全性；或者借助管理手段，從管理上加強對路由器的安全性等多種手段來保證基于路由浙江大學城市學院畢業(yè)論文 第 1 章 緒論 3 器的網絡環(huán)境 下的安全性。主要有： 1. TCP/IP 協議數據流在使用 FTP、 Http 和 Tel 傳輸時，用戶的賬號以及口令非常容易被竊聽、修改和偽造。雖然 TCP/IP 協議具有許多特點，如支持多種應用協議、互聯能力強、網絡技術獨立、等等；但是由于 TCP/IP 協議在定制時，并沒有考慮到安全方面的主要因素，因此協議中還是有很多的安全問題存在。 研究的基本內容 隨著 Inter 的飛速發(fā)展，全國每個中小型企業(yè)和事業(yè)單位都在建設局域網并連入了互聯網，所以信息網絡安全就必須同時跟上發(fā)展的腳步，成為我們最需要著重關心的問題之一。 5. 等值路由 —— 到同一目的地址的多條等值路由。如圖 構建的小型局域網就完成了。這樣，就可以控制外部網絡中的主機對內部網絡中具有重要資源的機器的訪問。 訪問控制列表可分為標準訪問控制列表和擴展訪問控制列表。從課題的選擇到成果的最終完成，陳國宏老師始終都給予了細心的指導和不懈的支持。 浙江大學城市學院畢業(yè)論文 第 6 章 ACL 配置 22 表 防火墻的顯示和調試 操作 命令