實(shí)驗(yàn)十三、防火墻的配置

一. 實(shí)驗(yàn)原理
1.1 防火墻原理
網(wǎng)絡(luò)的主要功能是向其他通信實(shí)體提供信息傳輸服務(wù)。網(wǎng)絡(luò)安全技術(shù)的主要目的是為傳輸服務(wù)實(shí)施的全過(guò)程提供安全保障。在網(wǎng)絡(luò)安全技術(shù)中，防火墻技術(shù)是一種經(jīng)常被采用的對(duì)報(bào)文的訪問(wèn)控制技術(shù)。實(shí)施防火墻技術(shù)的目的是為了保護(hù)內(nèi)部網(wǎng)絡(luò)免遭非法數(shù)據(jù)包的侵害。為了對(duì)進(jìn)入網(wǎng)絡(luò)的數(shù)
據(jù)進(jìn)行訪問(wèn)控制，防火墻需要對(duì)每個(gè)進(jìn)入的數(shù)據(jù)包按照預(yù)先設(shè)定的規(guī)則進(jìn)行檢查。目前的防火墻也有檢查由內(nèi)到外的數(shù)據(jù)包的功能。
我們?cè)谙到y(tǒng)視圖下，使用如下命令啟用防火墻功能：
[Quidway]firewall enable
并在接口視圖下利用如下命令將規(guī)則應(yīng)用到該接口的某個(gè)方向上：
[Quidway-Ethernet0]firewall packet-filter acl-number[inbound |
outbound]
可以在系統(tǒng)視圖下使用如下命令改變?nèi)笔⌒袨椋?br>[Quidway]firewall default deny | permit
1.2 訪問(wèn)控制列表ACL
路由器的防火墻配置包括兩個(gè)內(nèi)容，一是定義對(duì)特定數(shù)據(jù)流的訪問(wèn)控
制規(guī)則，即定義訪問(wèn)控制列表ACL；二是定義將特定的規(guī)則應(yīng)用到具體的
接口上，從而過(guò)濾特定方向上的數(shù)據(jù)流。
常用的訪問(wèn)控制列表可以分為兩種：標(biāo)準(zhǔn)訪問(wèn)控制列表和擴(kuò)展訪問(wèn)控
制列表。標(biāo)準(zhǔn)訪問(wèn)控制列表僅僅根據(jù)IP 報(bào)文的源地址域區(qū)分不同的數(shù)據(jù)
流，擴(kuò)展訪問(wèn)控制列表則可以根據(jù)IP 報(bào)文中更多的域（如目的IP 地址，
上層協(xié)議信息等）來(lái)區(qū)分不同的數(shù)據(jù)流。所有訪問(wèn)控制列表都有一個(gè)編號(hào)，
標(biāo)準(zhǔn)訪問(wèn)控制列表和擴(kuò)展訪問(wèn)控制列表按照這個(gè)編號(hào)區(qū)分：標(biāo)準(zhǔn)訪問(wèn)控制
列表編號(hào)范圍為1～99，擴(kuò)展訪問(wèn)控制列表為100～199。
定義標(biāo)準(zhǔn)訪問(wèn)控制列表的命令格式為：
[Quidway] acl acl-number[match-order config | auto]
[Quidway-acl-10] rule{normal|special}{permit|deny}[source source-addr
source-wildcard | any]
以下是一個(gè)標(biāo)準(zhǔn)訪問(wèn)控制列表的例子：
[Quidway]acl 20
[Quidway-acl-20]rule normal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-20]rule normal deny source any
這個(gè)訪問(wèn)控制列表20 包含兩條規(guī)則，共同表示除了源IP 地址在網(wǎng)絡(luò)
10.0.0.0/24 內(nèi)的允許通過(guò)以外，其他源IP 地址的數(shù)據(jù)包都禁止通過(guò)。
定義擴(kuò)展訪問(wèn)控制列表的規(guī)則
[Quidway] acl acl-number[match-order config | auto]
[Quidway-acl-10] rule{normal|special}{permit | deny}pro-number [source
source-addr source-wildcard | any][source-port operator
port1[port2]][destination dest-addr dest-wildcard | any][destination-port
operator port1[port2]][icmp-type icmp-type icmp-code][logging]
以下是一個(gè)擴(kuò)展訪問(wèn)控制列表的例子：
[Quidway]acl 120

[Quidway-acl-120]rule normal permit ip source 10.0.0.1 0.0.0.0
destination 202.0.0.1 0.0.0.0
[Quidway-acl-120]rule normal deny ip source any destination any
這條訪問(wèn)控制列表120 規(guī)定了除主機(jī)10.0.0.1 到主機(jī)202.0.0.1 的數(shù)據(jù)
流可以通過(guò)外，其他一律禁止。
[Quidway]acl 121
[Quidway-acl-121]rule permit tcp source any destination 10.0.0.1 0.0.0.0
destination-port eaual ftp logging
[Quidway-acl-121]rule permit tcp source any destination 10.0.0.2 0.0.0.0
destination-port eaual telnet logging
[Quidway-acl-121]rule deny ip source any destination any
這種規(guī)則實(shí)現(xiàn)的需求是：僅允許目的為FTP 服務(wù)器10.0.0.1 的FTP 請(qǐng)
求報(bào)文輸入和目的為TELNET 服務(wù)器10.0.0.2 的TELNET 報(bào)文輸入，禁止其他一切輸入報(bào)文。
二. 實(shí)驗(yàn)內(nèi)容：防火墻的配置
三. 實(shí)驗(yàn)?zāi)康模簩W(xué)習(xí)配置訪問(wèn)控制列表設(shè)計(jì)防火墻
四. 實(shí)驗(yàn)環(huán)境：實(shí)驗(yàn)環(huán)境如下圖所示：

公司對(duì)外的IP 地址為202.38.160.1。通過(guò)配置防火墻，希望實(shí)現(xiàn)以下
要求：
（1）外部網(wǎng)絡(luò)只有特定用戶可以訪問(wèn)內(nèi)部服務(wù)器
（2）內(nèi)部網(wǎng)絡(luò)只有特定主機(jī)可以訪問(wèn)外部網(wǎng)絡(luò)。
在本實(shí)驗(yàn)中，假定外部特定用戶的IP 地址為202.39.2.3。
五. 實(shí)驗(yàn)步驟：
（1）啟用防火墻功能
（2）設(shè)置防火墻缺省過(guò)濾方式為允許通過(guò)
（3）配置允許特定主機(jī)允許訪問(wèn)外部網(wǎng)，此處的特定主機(jī)為129.38.1.4 和
三個(gè)服務(wù)器
（4）配置規(guī)則允許特定用戶從外部網(wǎng)訪問(wèn)內(nèi)部服務(wù)器
（5）將第三步所配規(guī)則作用于從接口E0 進(jìn)入的包
（6）將第四步所配規(guī)則作用于從接口S0 進(jìn)入的包
六．思考題：
（1）如下圖所示的網(wǎng)絡(luò)環(huán)境中，基于需求：PCA 可以ping 通PCB，但是
PCB 不能ping 通PCA，請(qǐng)列出路由器RTA 上的防火墻配置。

路由器各接口IP 地址設(shè)置如下：
RTA RTB
E0 10.0.0.1/24 10.0.2.1/24
S0 10.0.1.1/24 10.0.1.2/24
PC 機(jī)的IP 地址和缺省網(wǎng)關(guān)的IP 地址如下：
PCA PCB
IP Address 10.0.0.2/24 10.0.2.2/24

Gateway 10.0.0.1 10.0.2.1