毕业设计：基于路由器的网络安全研究和实现.doc

资源描述

1、基于路由器的网络安全研究和实现【摘要】在这篇论文中，介绍了计算机的网络安全与防火墙的技术，主要讨论防火墙的概念和分类，详细说明了防火墙技术中的包过滤功能。还介绍了AAA配置技术、OSPF配置技术和ACL访问控制列表。详细介绍与讲解了通过ACL访问控制列表来实现了一个基本的软件防火墙。最后描述对互联网的简单防火墙技术的发展趋势。【关键词】网络安全，防火墙，包过滤，ACL浙江大学城市学院毕业论文ABSTRACTIIRESEARCHANDIMPLEMENTATIONOFNETWORKSECURITYBASEDONROUTER【ABSTRACT】INTHISPAPER,THECOMPUTERNETWO

2、RKSECURITYANDTHETECHNIQUESOFFIREWALLSWEREMAINLYDISCUSSED,FOCUSESONTHECONCEPTOFAFIREWALL,ADETAILEDDESCRIPTIONOFTHEPACKETFILTERINGINTHEFIREWALLTECHNOLOGYITALSOINTRODUCEDTHECONFIGURATIONTECHNOLOGYOFAAAOSPFANDACCESSCONTROLLISTTEC,INTRODUCEDANDEXPLAINEDINDETAILTOACHIEVEABASICSOFTWAREFIREWALLBYACLFINALLYD

3、ESCRIBEDTHETRENDOFDEVELOPMENTOFTHEFIREWALLSTECHNIQUESININTERNETBRIEFLY【KEYWORDS】NETWORKSECURITY，FIREWALLS，PACKETFILTERING，ACL浙江大学城市学院毕业论文目录III目录第1章绪论111选题的背景和意义1111国内外的研究现状1112发展趋势212研究的基本内容2第2章配置基本网络环境421配置基本网络环境4211构建小型模拟局域网5第3章AAA配置631AAA简介6311什么是AAA632简单基本的AAA配置6321组网需求6322配置步骤6第4章OSPF配置841OSPF简

4、介8411OSPF的主要特性8412OSPF协议路由计算的过程842OSPF的配置9421配置步骤9第5章防火墙1351防火墙简介13511什么是防火墙13512防火墙的分类1352包过滤14521包过滤可实现的功能14522网络设备的包过滤的特性15第6章ACL配置1661访问控制列表16611标准访问控制列表16浙江大学城市学院毕业论文目录IV612扩展访问控制列表1662防火墙的配置17621配置步骤18622防火墙的显示与调试21结论23参考文献24附录26致谢29浙江大学城市学院毕业论文图目录V图目录图21设备配置图5图51包过滤示意图14浙江大学城市学院毕业论文表目录VI表目录表2

5、1设备配置信息4表61扩展访问列表的操作符OPERATOR的意义17表62防火墙的显示和调试22表I防火墙的显示和调试（TCP）26表II防火墙的显示和调试（UDP）27表IIIICMP报文类型的助记符28浙江大学城市学院毕业论文第1章绪论1第1章绪论11选题的背景和意义随着网络应用的日益普及，尤其是在一些敏感场合（如电子商务）的应用，因此网络安全成为日益迫切的需求之一；路由器作为内部网络与外部网络之间通讯的关键，完全有必要提供充分而又可靠的安全保护功能。本课题的目的就是设计一种基于路由器的网络安全解决方案，从安全性、处理速度等方面对其进行可用性评估。111国内外的研究现状现今网络中大多都使用

6、TCP/IP协议，但是因此TCP/IP协议本身存在缺陷，从而导致了网络的不安全。虽然TCP/IP协议具有许多特点，如支持多种应用协议、互联能力强、网络技术独立、等等；但是由于TCP/IP协议在定制时，并没有考虑到安全方面的主要因素，因此协议中还是有很多的安全问题存在。主要有1TCP/IP协议数据流在使用FTP、HTTP和TELNET传输时，用户的账号以及口令非常容易被窃听、修改和伪造。2作为网络节点的唯一标识，源地址是通过利用IP地址对TCP/IP协议进行欺骗，因为IP地址不是完全固定的；因此，攻击者可以通过直接修改节点的IP地址冒充某个可信节点的地址来进行攻击。3为了测试目的设置一个选项IP

7、SOUREROUTING，源路由一般情况下选择欺骗IP数据包；从而使攻击者可以利用这一选项，直接指明出一条路由方式来进行伪装、欺骗，然后进行不正当方式的连接。浙江大学城市学院毕业论文第1章绪论2112发展趋势网络安全不只是一个单纯的技术间题，同时也是一个非常关键的管理问题。对计算机系统的安全事件进行收集、记录、分析、判断，然后采取对应的安全措施来进行处理的一个过程被称为安全审计。其基本的功能分别为对用户、操作命令、文件操作等审计对象进行选择；对文件系统完整性进行定期的检测；设置选择逐出系统；保护数据的安全及审计日志等。成立专门负责计算机网络信息安全的行政管理机构，从而审查和订制计算机网络的信息

8、安全措施。确认安全措施实施的方针、政策以及原则；具体组织、协调、监督、检查信息安全措施的执行。来自计算机网络信息系统内部的危害当中，很多是人为造成的对信息安全的危害。由于思想上的松懈和安全意识偏弱，从而给了攻击者可乘之机。因此，加强单位人员的思想教育，培养单位人员的责任感也是保护网络安全不可或缺的一个重要环节。计算机网络安全发展至今，俨然已成为了一个横跨通信技术、网络技术、安全技术、计算机技术、密码学等等多种门科技术的综合性学科。因此计算机网络安全的发展在向高端技术发展的同时会朝着全方位化、纵深化、专业化的方向发展，随着各种新兴技术的不断发展和出现，网络安全将会由单一的技术向各种技术融合的方向

9、发展。基于路由器的大多数主要安全技术通常都是相辅相成的，为了系统安全性的提高，必须通过各种安全机制协调工作。当今，由于信息化的高速发展，加强路由器安全机制和安全协议，改进新的算法研究将会成为保证网络安全的高效性的唯一选择。12研究的基本内容随着INTERNET的飞速发展，全国每个中小型企业和事业单位都在建设局域网并连入了互联网，所以信息网络安全就必须同时跟上发展的脚步，成为我们最需要着重关心的问题之一。我们可以采取在普通路由器中添加安全模块，从技术上加强路由器的安全性；或者借助管理手段，从管理上加强对路由器的安全性等多种手段来保证基于路由浙江大学城市学院毕业论文第1章绪论3器的网络环境下的安全

10、性。网络安全与防火墙关系密不可分，网络防火墙的构建需要明确安全策略，安全而又全面的分析和业务的需求分析将决定一个组织全局的安全策略，因此我们需要仔细并且正确的设置网络安全策略，从而使这个计算机网络防火墙发挥它最大的作用。其中，明确定义哪些数据包允许或禁止通过并使用网络服务，以及这些服务的详细使用规则，同时网络防火墙安全策略中的每一条规定都应该在实际应用时得到实现；这些都属于网络防火墙的安全策略。本文就着重介绍与说明在路由器下通过访问控制列表（ACL）方法实现安全策略，构建出一个小型、简易、安全有合理的计算机网络的防火墙体系结构，从而实现具体的网络防火墙功能，并对其实现和具体应用进行详细的叙述。

11、浙江大学城市学院毕业论文第2章配置基本网络环境4第2章配置基本网络环境21配置基本网络环境（1）按照表21所示内容，正确填写计算机（PA、PB、PC、PD）及路由器（RA、RB、RC、RD）的网络连接参数表21设备配置信息设备名称配置参数设备名称配置参数路由器（RA）S0IP地址192111子网掩码2552552550路由器RBS0IP地址192112子网掩码2552552550S1IP地址193111子网掩码2552552550S1IP地址194112子网掩码2552552550ETH0IP地址202001子网掩码2552552550ETH0IP地址202011子网掩码2552552550路

12、由器RCS0IP地址194111子网掩码2552552550路由器（RD）S0IP地址193112子网掩码2552552550S1IP地址195111子网掩码2552552550S1IP地址195112子网掩码2552552550ETH0IP地址202021子网掩码2552552550ETH0IP地址202031子网掩码2552552550计算机（PCA）IP地址202002子网掩码2552552550默认网关202001计算机（PCB）IP地址202003子网掩码2552552550默认网关202001计算机（PCC）IP地址202012子网掩码2552552550默认网关202011计算机

13、PCDIP地址202013子网掩码2552552550默认网关202011计算机（PCE）IP地址202022子网掩码2552552550默认网关202021计算机（PCF）IP地址202023子网掩码2552552550默认网关202021计算机（PCG）IP地址202032子网掩码2552552550默认网关202031计算机（PCH）IP地址202033子网掩码2552552550默认网关202031浙江大学城市学院毕业论文第2章配置基本网络环境5211构建小型模拟局域网设备连接如图21所示构建出一个小型模拟局域网（由路由器、交换机、PC组成）。图21设备配置图浙江大学城市学院毕业论文第

14、3章AAA配置6第3章AAA配置31AAA简介311什么是AAA用来对认证、授权和计费这三种安全功能进行配置的一个框架，被称为AUTHENTICATION，AUTHORIZATIONANDACCOUNTING，即认证、授权和计费，一般情况下缩写为AAA即可，简称“三A认证”；它是对网络安全进行管理的认证方式之一，对所有类型LOGIN用户进行本地认证、授权、计费。在这里，网络安全主要指的是访问控制，其中包括了（1）规定了哪些用户可以访问指定网络服务器（2）具有访问权限的用户组分别可以得到哪些服务，可以做些什么（3）对正在使用该网络资源的用户组进行计费功能AAA可完成下列服务（1）认证判断认证用户

15、是否可以获得访问权限（2）授权被授权的用户组可以使用哪些服务。（3）计费记录用户组使用网络资源的具体情况。32简单基本的AAA配置321组网需求对所有类型LOGIN用户进行本地认证，但不要求计费。322配置步骤使能AAA浙江大学城市学院毕业论文第3章AAA配置7ROUTERAAAENABLE配置LOGIN用户ROUTERLOCALUSERFTPSERVICETYPEFTPPASSWORDSIMPLEFTPROUTERLOCALUSERADMINSERVICETYPEADMINISTRATORSSHPASSWORDCIPHERADMINROUTERLOCALUSEROPERATORSERVICE

16、TYPEOPERATORSSHPASSWORDSIMPLEOPERATORROUTERLOCALUSERGUESTSERVICETYPEGUESTSSHPASSWORDSIMPLEGUEST配置对LOGIN用户进行认证ROUTERAAAAUTHENTICATIONSCHEMELOGINDEFAULTLOCALROUTERLOGINMETHODAUTHENTICATIONMODECONDEFAULTROUTERLOGINMETHODAUTHENTICATIONMODEASYNCDEFAULTROUTERLOGINMETHODAUTHENTICATIONMODEHWTTYDEFAULTROUTER

17、LOGINMETHODAUTHENTICATIONMODEPADDEFAULTROUTERLOGINMETHODAUTHENTICATIONMODETELNETDEFAULTROUTERLOGINMETHODAUTHENTICATIONMODESSHDEFAULT配置对FTP用户进行认证ROUTERLOGINMETHODAUTHENTICATIONMODEFTPDEFAULT配置对LOGIN用户不计费ROUTERUNDOLOGINMETHODACCOUNTINGMODELOGINCONROUTERUNDOLOGINMETHODACCOUNTINGMODELOGINASYNCROUTERUNDO

18、LOGINMETHODACCOUNTINGMODELOGINHWTTYROUTERUNDOLOGINMETHODACCOUNTINGMODELOGINPADROUTERUNDOLOGINMETHODACCOUNTINGMODELOGINTELNETROUTERUNDOLOGINMETHODACCOUNTINGMODELOGINSSH四台路由器均要进行相同的AAA配置，指令相同，不作重复。浙江大学城市学院毕业论文第4章OSPF配置8第4章OSPF配置41OSPF简介由IETF组织研发的一个基于链路状态下的自治系统内部路由协议被称为开放最短路由优先协议（OPENSHORTESTPATHFIRST）

19、，简称OSPF，目前普遍使用的是版本2（RFC1583）。411OSPF的主要特性1适应范围支持最多几千台路由器的各种大、中、小规模的网络。2快速收敛在网络的拓扑结构发生变化后立即发送并更新报文并在自治系统中达到同步。3无自环用最短路径树算法计算路由，保证了不会生成自环路由。4区域划分为了减少占用带宽，自治系统的网络被划分成的区域传送的路由信息被抽象。5等值路由到同一目的地址的多条等值路由。6路由分级当同时使用不同等级的路由时，按区域内路由、区域间路由、第一类外部路由和第二类外部路由这个优先顺序分级。7支持验证支持基于接口的报文验证，保障了路由计算的安全性、稳定性。8组播发送在有组播发送能力的

20、链路层上，基于组播地址进行接收、发送报文。在达到了广播作用的同时又最大程度地减少了对其它网络设备的干扰。412OSPF协议路由计算的过程OSPF协议路由的计算过程可简单描述如下浙江大学城市学院毕业论文第4章OSPF配置91描述整个自治系统拓扑结构的链路状态数据库（简称LSDB）是由每一台支持OSPF协议的路由器维护着；他们都会根据周围的网络拓扑结构来生成链路状态并且发布LINKSTATEADVERTISING（LSA），然后再将LSA发送给网络中其它路由器。这样，每台路由器都将会收到来自其它路由器的LSA，然后将所有的LSA放在一起组成了一个相对完整的链路状态数据库。2对路由器周围网络拓扑结构

21、的具体描述被称为LSA，而对整个网络的拓扑结构的一种描述则被成为LSDB。自然而然，自治系统内的各个路由器都将得到完全相同的网络拓扑图是因为路由器会将LSDB转换成一张带有权值的真实反映整个网络拓扑结构的有向图。3使用SPF算法的每台路由器都会计算出一棵到自治系统中各个节点的路由的树，这是一棵以自己为根的最短路径树，这棵树给出了通过广播外部路由的路由器来记录关于整个自治系统的额外信息。另外，为了建立多个邻接（ADJACENT）关系，使处于广播网和NBMA网中的每台路由器都可以将存储在本地的路由信息广播到整个自治系统中去，则会出现多次传递任意一台路由器的路由变化的情况，因而浪费了宝贵的带宽资源。

22、为了解决这个难题，OSPF因此定义了“指定路由器”（DESIGNATEDROUTER），简称为DR；为了大大减少各路由器之间邻居关系的数量，DR接收所有路由器发送出来的路由信息，然后再由它将该网络的链路状态广播出去。OSPF支持IP子网和外部路由信息的标记接收，它支持基于接口的报文验证以保证路由计算的安全性；并使用IP组播方式发送和接收报文。42OSPF的配置必须先启动OSPF、使能OSPF网络后，才能在各项配置任务中配置其它与协议相关的功能特性，而OSPF是否使能将不会影响在接口下配置的与协议相关的参数。关闭OSPF的同时原来在接口下配置的与协议相关的参数也同时失效。421配置步骤1配置路由

23、器RA浙江大学城市学院毕业论文第4章OSPF配置10RAINTERFACES0RASERIAL0IPADDRESS1921112552552550RASERIAL0INTERFACES1RASERIAL1IPADDRESS1931112552552550RASERIAL1INTERFACEETH0RAETHERNET0IPADDRESS2020012552552550RAETHERNET0QUITRAOSPFENABLERAOSPFINTERFACES0RASERIAL0OSPFENABLEAREA0RASERIAL0INTERFACES1RASERIAL1OSPFENABLEAREA0RAS

24、ERIAL1QUITRAINTERFACEE0RAETHERNET0OSPFENABLEAREA02配置路由器RBRBINTERFACES0RBSERIAL0IPADDRESS1921122552552550RBSERIAL0INTERFACES1RBSERIAL1IPADDRESS1941122552552550RBSERIAL1QUITRBOSPFENABLERBOSPFINTERFACES0RBSERIAL0OSPFENABLEAREA0RBSERIAL0INTERFACES1RBSERIAL1OSPFENABLEAREA0RBSERIAL1QUITRBINTERFACEETH0RBET

25、HERNET0IPADDRESS2020112552552550RBETHERNET0OSPFENABLEAREA0RBETHERNET0QUIT浙江大学城市学院毕业论文第4章OSPF配置113配置路由器RCRCINTERFACES0RCSERIAL0IPADDRESS1941112552552550RCSERIAL0INTERFACES1RCSERIAL1IPADDRESS1951112552552550RCSERIAL1QUITRCOSPFENABLERCOSPFINTERFACES0RCSERIAL0OSPFENABLEAREA0RCSERIAL0INTERFACES1RCSERIAL1

26、OSPFENABLEAREA0RCSERIAL1QUITRCINTERFACEETH0RCETHERNET0IPADDRESS2020212552552550RCETHERNET0OSPFENABLEAREA0RCETHERNET0QUIT4配置路由器RDRDINTERFACES0RDSERIAL0IPADDRESS1931122552552550RDSERIAL0INTERFACES1RDSERIAL1IPADDRESS1951122552552550RDSERIAL1INTERFACEETH0RDETHERNET0IPADDRESS2020312552552550RDETHERNET0QU

27、ITRDOSPFENABLERDOSPFINTERFACES0RDSERIAL0OSPFENABLEAREA0RDSERIAL0INTERFACES1RDSERIAL1OSPFENABLEAREA0RDSERIAL1INTERFACEE0RDETHERNET0OSPFENABLEAREA0RDETHERNET0QUIT浙江大学城市学院毕业论文第4章OSPF配置12如此配置完成后，所有的端口都可以相互PING通。如图21构建的小型局域网就完成了。浙江大学城市学院毕业论文第5章防火墙13第5章防火墙51防火墙简介511什么是防火墙防火墙作为INTERNET访问控制的基本技术，其主要作用是监视和过滤

28、通过它的数据包，拒绝非法用户访问网络并保障合法用户正常工作，根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃。为了阻止未经认证或者未经授权的用户访问保护内部网络或数据，防止来自外网的恶意攻击，一般将防火墙设置在外部网和内部网的连接处。也可以用防火墙将企业网中比较敏感的网段与相对开放的网段隔离开来，从而达到即使该访问是来自局域网内部，也必须经过防火墙的过滤的效果。防火墙可通过监测、限制、更改跨越防火墙的数据流来保护内部网络的安全性，尽可能地对外部屏蔽网络内部的信息、结构和运行状况。现在的许多防火墙同时甚至还可以对用户进行身份鉴别，对信息进行安全加密处理等等。512防火墙的分类防火墙一

29、般被分为网络层防火墙和应用层防火墙两种类型。网络层防火墙主要是用来获取协议号、源地址、目的地址和目的端口等等数据包的包头信息；或者选择直接获取包头的一段数据。而选择对整个信息流进行系统的分析则是应用层防火墙。常见的防火墙有以下几类1应用网关（APPLICATIONGATEWAY）检验通过此网关的所有数据包中的位于应用层的数据。比如FTP网关，连接中传输的所有FTP数据包都必须经过此FTP网关。浙江大学城市学院毕业论文第5章防火墙142包过滤（PACKETFILTER）是指对每个数据包都将会完全按照用户所定义的规则来比较进入的数据包的源地址、目的地址是否符合所定义的规则。如用户规定禁止端口是25

30、或者大于等于1024的数据包通过，则只要端口符合该条件，该数据包便被禁止通过此防火墙。3代理（PROXY）通常情况下指的是地址代理。它的机制是将网内主机的IP地址和端口替换为路由器或者服务器的IP地址和端口。让所有的外部网络主机与内部网络之间的相互访问都必须通过使用代理服务器来实现。这样，就可以控制外部网络中的主机对内部网络中具有重要资源的机器的访问。52包过滤一般情况下，包过滤是指对路由器需要转发的数据包，先获取包头信息中所承载的上层IP协议中的协议号、数据包的源地址、目的地址、源端口号和目的端口号等，然后与设定的规则进行比较，比较后的结果对数据包进行转发或者丢弃。因此只要用户所配置的规则比

31、较符合实际的应用，那么在这一层就可以过滤掉许多带有安全隐患的未知数据包。包过滤（对IP数据包）所选取用来判断的元素如下图所示（图中IP所承载的上层协议为TCP）。图51包过滤示意图521包过滤可实现的功能1不让任何人从外界使用TELNET登录。2让每个人经由SMTP（SIMPLEMESSAGETRANSFERPROTOCOL，简单邮件传输协议）浙江大学城市学院毕业论文第5章防火墙15向我们发送电子邮件。3使得某台机器可以通过NNTP（NETWORKNEWSTRANSFERPROTOCOL，网络新闻传输协议）向我们发送新闻，而其它机器都不具备此项服务等等。522网络设备的包过滤的特性1基于访问控

32、制列表（ACL）访问控制列表的运用面很广，它不仅仅可以应用在包过滤中，还可应用在如地址转换和IPSEC等其它需要对数据流进行分类的特性中的应用中。11支持标准及扩展访问控制列表可以是只设定一个简单的地址范围的标准访问控制列表；也可以使用具体到协议、源地址范围、目的地址范围、源端口范围、目的端口范围以及优先级与服务类型等等的扩展访问控制列表功能。12支持时间段可以使访问控制列表在完全自定义的特定的时间段内起作用，比如可设置每周一的800至2000此访问控制列表起作用。2支持访问控制列表的自动排序为了简化配置的复杂程度，方便对于访问控制列表的配置及维护，可以选择是否针对某一类的访问控制列表进行自动

33、排序。3可以具体到接口的输入及输出方向可以在连接WAN的接口的输出方向上应用某条包过滤规则，也可以在该接口的输入方向上应用其它的包过滤规则。4支持基于接口进行过滤可以在一个接口的某个方向上设定禁止或允许转发来自某个接口的报文。5支持对符合条件的报文做日志可记录报文的相关信息，并提供机制保证在有大量相同触发日志的情况下不会消耗过多的资源。本文主要使用包过滤功能（ACL访问控制列表）实现基本的防火墙功能，下面将着重介绍ACL访问控制列表的配置。浙江大学城市学院毕业论文第6章ACL配置16第6章ACL配置61访问控制列表简单的来说就是需要配置一些过滤数据包的规则，规定什么样的数据包可以通过，什么样的

35、TADDRDESTWILDCARD|ANYDESTINATIONPORTOPERATORPORT1PORT2ICMPTYPEICMPTYPEICMPCODELOGGING其中“PROTOCOLNUMBER”用名字或数字表示的IP承载的协议类型。数字范围为0255；名字取值范围为ICMP、IGMP、IP、TCP、UDP、GRE、OSPF。对于“PROTOCOL”参数的不同，该命令又有以下形式1“PROTOCOL”为ICMP时的命令格式如下RULENORMAL|SPECIALPERMIT|DENYICMPSOURCESOURCEADDRSOURCEWILDCARD|ANYDESTINATIONDE

37、ESOURCEADDRSOURCEWILDCARD|ANYSOURCEPORTOPERATORPORT1PORT2DESTINATIONDESTADDRDESTWILDCARD|ANYDESTINATIONPORTOPERATORPORT1PORT2LOGGING只有TCP和UDP协议需要指定端口范围，支持的操作符及其语法如下表表61扩展访问列表的操作符OPERATOR的意义用户通过配置防火墙添加适当的访问规则，就可利用包过滤来对通过路由器的IP包进行检查，从而过滤掉用户不希望通过路由器的包，起到网络安全的作用。62防火墙的配置防火墙的配置包括1允许/禁止防火墙2配置标准访问控制列表3配置扩展

38、访问控制列表4配置在接口上应用访问控制列表的规则5设置防火墙的缺省过滤方式6设置特殊时间段操作符及语法意义EQUALPORTNUMBER等于端口号PORTNUMBERGREATERTHANPORTNUMBER大于端口号PORTNUMBERLESSTHANPORTNUMBER小于端口号PORTNUMBERNOTEQUALPORTNUMBER不等于端口号PORTNUMBERRANGEPORTNUMBER1PORTNUMBER2介于端口号PORTNUMBER1和PORTNUMBER2之间浙江大学城市学院毕业论文第6章ACL配置18621配置步骤配置路由器RARAFIREWALLENABLE启用防火墙

39、功能RATIMERANGEENABLE启用时间段功能RAFIREWALLDEFAULTPERMIT设置防火墙缺省过滤方式RASETTR08001800设定工作时间段RAACL3001创建ACL规则编号3001RAACL3001RULESPECIALDENYTCPSOURCEANYDESTINATIONANYDESTINATIONPORTGREATERTHAN1024RAACL3002RAACL3002RULEPERMITIPSOURCE2020020000DESTINATION202031000255在下班时间允许PCA访问网段20203RAACL3002RULEPERMITTCPSOURCE

40、ANYDESTINATIONANYDESTINATIONPORTEQSMTP在下班时间允许发送邮件RAACL3002RULESPECIALDENYIPSOURCE2020020000DESTINATION202031000255在上班时间禁止PCA访问网段20203RAACL3002RULESPECIALPERMITIPSOURCE2020020000DESTINATION115239210270在上班时间允许PCA只能访问百度RAACL3002RULESPECIALDENYTCPSOURCE2020020000DESTINATIONANYDESTINATIONPORTEQSMTP在上班时间禁

41、止PCA对外发送邮件RAACL3002RULESPECIALDENYTCPSOURCE2020030000DESTINATIONANYDESTINATIONPORTEQWWW在上班时间禁止PCB使用WWW服务RAACL3002RULESPECIALDENYTCPSOURCE2020030000DESTINATIONANYDESTINATIONPORTEQSMTP在上班时间禁止PCB对外发送邮件RAACL3002RULESPECIALPERMITTCPSOURCE2020030000DESTINATIONANYDESTINATIONPORTEQFTP在上班时间允许PCB使用FTP服务RAACL3

42、002RULESPECIALPERMITTCPSOURCE2020040000DESTINATIONANYDESTINATIONEQUALTELNET在上班时间允许PCC使用TELNET功能RAACL3002QUITRAINTERFACES0浙江大学城市学院毕业论文第6章ACL配置19RAS0FIREWALLPACKETFILTER3001INBOUND将规则3001作用于从接口S0进入的包RAS0QUITRAINTERFACEE0RAE0FIREWALLPACKETFILTER3002INBOUND将规则3002作用于从接口ETHERNET0进入的包配置路由器RBRBFIREWALLENAB

43、LERBFIREWALLDEFAULTPERMITRBACL3003禁止所有包通过RBACL3003RULEDENYIPSOURCEANYDESTINATIONANY配置规则允许特定主机访问外部网，允许内部服务器访问外部网。RBACL3003RULEPERMITIPSOURCE2020120000DESTINATIONANYRBACL3003RULEPERMITIPSOURCE2020130000DESTINATIONANYRBACL3003RULEPERMITIPSOURCE2020140000DESTINATIONANYRBACL3003RULEPERMITIPSOURCE20201500

44、00DESTINATIONANYRBACL3004配置规则允许特定用户从外部网访问内部特定服务器。RBACL3004RULEPERMITIPSOURCE2020320000DESTINATION202011000255RBACL3004RULEDENYIPSOURCE2020320000DESTINATION202001000255配置规则允许特定用户从外部网取得数据（只允许端口大于1024的包）。RBACL3004RULEPERMITTCPSOURCEANYDESTINATION2020310000DESTINATIONPORTGREATERTHAN1024RBACL3004QUITRBIN

45、TERFACEE0RBE0FIREWALLPACKETFILTER3003INBOUNDRBEOQUITRBINTERFACES1RBS1FIREPACKETFILTER3004INBOUNDRBS1QUIT浙江大学城市学院毕业论文第6章ACL配置20配置路由器RCRCFIREWALLENABLERCTIMERANGEENABLERCFIREWALLDEFAULTPERMITRCSETTR17001705RCACL3006RCACL3006RULENORMALPERMITICMPSOURCE1921110000DESTINATION2020310000ICMPTYPEECHORCACL3006

46、RULENORMALPERMITICMPSOURCE2020010000DESTINATION2020310000ICMPTYPEECHOREPLYRCACL3006RULENORMALPERMITICMPSOURCE1921110000DESTINATION2020310000ICMPTYPEECHOREPLYRCACL3006RULENORMALPERMITICMPSOURCE2020010000DESTINATION2020310000ICMPTYPEECHORCACL3006RULENORMALDENYTCPSOURCE2020010000DESTINATION2020310000DE

47、STINATIONPORTEQUALTELNETRCACL3006RULENORMALDENYTCPSOURCE1921110000DESTINATION2020310000DESTINATIONPORTEQUALTELNETRCACL3006RULESPECIALDENYICMPSOURCE2020010000DESTINATION2020310000ICMPTYPEECHORCACL3006RULESPECIALDENYICMPSOURCE2020010000DESTINATION2020310000ICMPTYPEECHOREPLYRCACL3006RULESPECIALDENYICMP

48、SOURCE1921110000DESTINATION2020310000ICMPTYPEECHORCACL3006RULESPECIALDENYICMPSOURCE1921110000DESTINATION2020310000ICMPTYPEECHOREPLYRCACL3006QUITRCINTERFACES0RCSERIAL0FIREPACKETFILTER3006INBOUND配置路由器RDRDFIREWALLENABLERDTIMERANGEENABLE浙江大学城市学院毕业论文第6章ACL配置21RDFIREWALLDEFAULTPERMITRDSETTR18002359RDACL30

49、05RDACL3005RULEDENYIPSOURCE2020330000DESTINATIONANY在普通时段禁止访问内部网RDACL3005RULESPECIALPERMITIPSOURCE2020330000DESTINATION2020130000在特殊时段可以访问PCE将一些常用病毒入侵的端口禁用，防止病毒入侵RDACL3005RULEDENYUDPSOURCEANYDESTINATIONANYDESTINATIONPORTEQ135RDACL3005RULEDENYUDPSOURCEANYDESTINATIONANYDESTINATIONPORTEQ137RDACL3005RULEDENYUDPSOURCEANYDESTINATIONANYDESTINATIONPORTEQ138RDACL3005RULEDENYUDPSOURCEANYDESTINATIONANYDESTINATIONPORTEQ445RDACL3005RULEDENYUDPSOURCEANYDESTINATIONANYDESTINATIONPORTEQ1434RDACL3005RULEDENYTCPSOURCEANYDESTINATIONANYDESTINATIONPORTEQ135RDACL3005RULEDENYTCPSOURCEANYD

展开阅读全文