基于路由器的网络安全研究和实现设计

《基于路由器的网络安全研究和实现设计》由会员分享，可在线阅读，更多相关《基于路由器的网络安全研究和实现设计（37页珍藏版）》请在装配图网上搜索。

1、基于路由器的网络安全研究和实现【摘要】 在这篇论文中，简介了计算机的网络安全与防火墙的技术，重要讨论防火墙的概念和分类，具体阐明了防火墙技术中的包过滤功能。还简介了AAA配备技术、OSPF配备技术和ACL访问控制列表。具体简介与解说了通过ACL访问控制列表来实现了一种基本的软件防火墙。最后描述对互联网的简朴防火墙技术的发展趋势。 【核心词】 网络安全，防火墙，包过滤，ACLResearch and implementation of network security based on router【Abstract】 In this paper , the computer network s

2、ecurity and the techniques of firewalls were mainly discussed, Focuses on the concept of a firewall, a detailed description of the packet filtering in the firewall technology.It also introduced the configuration Technology of AAA OSPF and Access Control Listtec , Introduced and explained in detail t

3、o achieve a basic software firewall by ACL. Finally described the trend of development of the firewalls techniques in Internet briefly.【Key Words】 network security，firewalls，Packet filtering，ACL 目录第1章 绪论11.1选题的背景和意义11.1.1国内外的研究现状11.1.2发展趋势21.2研究的基本内容2第2章 配备基本网络环境42.1配备基本网络环境42.1.1构建小型模拟局域网5第3章 AAA配备

4、63.1 AAA简介63.1.1什么是AAA63.2简朴基本的AAA配备63.2.1组网需求63.2.2配备环节7第4章 OSPF配备84.1 OSPF简介84.1.1 OSPF的重要特性84.1.2 OSPF合同路由计算的过程84.2 OSPF的配备94.2.1配备环节10第5章 防火墙135.1防火墙简介135.1.1什么是防火墙135.1.2防火墙的分类135.2 包过滤145.2.1包过滤可实现的功能145.2.2网络设备的包过滤的特性15第6章 ACL配备166.1访问控制列表166.1.1原则访问控制列表166.1.2扩展访问控制列表166.2防火墙的配备176.2.1配备环节18

5、6.2.2防火墙的显示与调试22结论23参照文献24附录26道谢29图目录图2.1 设备配备图5图5.1 包过滤示意图14表目录表2.1 设备配备信息4表6.1扩展访问列表的操作符operator的意义17表6.2防火墙的显示和调试22表I防火墙的显示和调试（TCP）26表II防火墙的显示和调试（UDP）27表III ICMP报文类型的助记符28第1章 绪论1.1选题的背景和意义随着网络应用的日益普及，特别是在某些敏感场合（如电子商务）的应用，因此网络安全成为日益迫切的需求之一；路由器作为内部网络与外部网络之间通讯的核心，完全有必要提供充足而又可靠的安全保护功能。本课题的目的就是设计一种基于路

6、由器的网络安全解决方案，从安全性、解决速度等方面对其进行可用性评估。1.1.1国内外的研究现状现今网络中大多都使用TCP/IP合同，但是因此TCP/IP合同自身存在缺陷，从而导致了网络的不安全。虽然TCP/IP合同具有许多特点，如支持多种应用合同、互联能力强、网络技术独立、等等；但是由于TCP/IP合同在定制时，并没有考虑到安全面的重要因素，因此合同中还是有诸多的安全问题存在。重要有：1. TCP/IP合同数据流在使用FTP、Http和Telnet传播时，顾客的账号以及口令非常容易被窃听、修改和伪造。2作为网络节点的唯一标记，源地址是通过运用IP地址对TCP/IP合同进行欺骗，由于IP地址不是

7、完全固定的；因此，袭击者可以通过直接修改节点的IP地址冒充某个可信节点的%-地址来进行袭击。3为了测试目的设立一种选项IP Soure routing，源路由一般状况下选择欺骗IP数据包；从而使袭击者可以运用这一选项，直接指明出一条路由方式来进行伪装、欺骗，然后进行不合法方式的连接。1.1.2发展趋势网络安全不只是一种单纯的技术间题，同步也是一种非常核心的管理问题。对计算机系统的安全事件进行收集、记录、分析、判断，然后采用相应的安全措施来进行解决的一种过程被称为安全审计。其基本的功能分别为：对顾客、操作命令、文献操作等审计对象进行选择；对文献系统完整性进行定期的检测；设立选择逐出系统；保护数据

8、的安全及审计日记等。成立专门负责计算机网络信息安全的行政管理机构，从而审查和订制计算机网络的信息安全措施。确认安全措施实行的方针、政策以及原则；具体组织、协调、监督、检查信息安全措施的执行。来自计算机网络信息系统内部的危害当中，诸多是人为导致的对信息安全的危害。由于思想上的松懈和安全意识偏弱，从而给了袭击者可乘之机。因此，加强单位人员的思想教育，培养单位人员的责任感也是保护网络安全不可或缺的一种重要环节。 计算机网络安全发展至今，俨然已成为了一种横跨通信技术、网络技术、安全技术、计算机技术、密码学等等多种门科技术的综合性学科。因此计算机网络安全的发展在向高品位技术发展的同步会朝着全方位化、纵深

9、化、专业化的方向发展，随着多种新兴技术的不断发展和浮现，网络安全将会由单一的技术向多种技术融合的方向发展。基于路由器的大多数重要安全技术一般都是相辅相成的，为了系统安全性的提高，必须通过多种安全机制协调工作。当今，由于信息化的高速发展，加强路由器安全机制和安全合同，改善新的算法研究将会成为保证网络安全的高效性的唯一选择。1.2研究的基本内容随着Internet的飞速发展，全国每个中小型公司和事业单位都在建设局域网并连入了互联网，因此信息网络安全就必须同步跟上发展的脚步，成为我们最需要着重关怀的问题之一。我们可以采用在一般路由器中添加安全模块，从技术上加强路由器的安全性；或者借助管理手段，从管理

10、上加强对路由器的安全性等多种手段来保证基于路由器的网络环境下的安全性。网络安全与防火墙关系密不可分，网络防火墙的构建需要明确安全方略，安全而又全面的分析和业务的需求分析将决定一种组织全局的安全方略，因此我们需要仔细并且对的的设立网络安全方略，从而使这个计算机网络防火墙发挥它最大的作用。 其中，明拟定义哪些数据包容许或严禁通过并使用网络服务，以及这些服务的具体使用规则，同步网络防火墙安全方略中的每一条规定都应当在实际应用时得到实现；这些都属于网络防火墙的安全方略。本文就着重简介与阐明在路由器下通过访问控制列表（ACL）措施实现安全方略，构建出一种小型、简易、安全有合理的计算机网络的防火墙体系构造

11、，从而实现具体的网络防火墙功能，并对其实现和具体应用进行具体的论述。第2章 配备基本网络环境2.1配备基本网络环境（1）按照表2.1所示内容，对的填写计算机（PA、PB、PC、PD）及路由器（RA、RB、RC、RD）的网络连接参数表2.1 设备配备信息设备名称配备参数设备名称配备参数路由器（RA）S0IP地址：192.1.1.1子网掩码：255.255.255.0路由器(RB)S0IP地址：192.1.1.2子网掩码：255.255.255.0S1IP地址：193.1.1.1子网掩码：255.255.255.0S1IP地址：194.1.1.2子网掩码：255.255.255.0Eth0IP地址

12、：202.0.0.1子网掩码：255.255.255.0Eth0IP地址：202.0.1.1子网掩码：255.255.255.0路由器(RC)S0IP地址：194.1.1.1子网掩码：255.255.255.0路由器（RD）S0IP地址：193.1.1.2子网掩码：255.255.255.0S1IP地址：195.1.1.1子网掩码：255.255.255.0S1IP地址：195.1.1.2子网掩码：255.255.255.0Eth0IP地址：202.0.2.1子网掩码：255.255.255.0Eth0IP地址：202.0.3.1子网掩码：255.255.255.0计算机（PC-A）IP地址：

13、202.0.0.2子网掩码：255.255.255.0默认网关：202.0.0.1计算机（PC-B）IP地址：202.0.0.3子网掩码：255.255.255.0默认网关：202.0.0.1计算机（PC-C）IP地址：202.0.1.2子网掩码：255.255.255.0默认网关：202.0.1.1计算机(PC-D)IP地址：202.0.1.3子网掩码：255.255.255.0默认网关：202.0.1.1计算机（PC-E）IP地址：202.0.2.2子网掩码：255.255.255.0默认网关：202.0.2.1计算机（PC-F）IP地址：202.0.2.3子网掩码：255.255.255

14、.0默认网关：202.0.2.1计算机（PC-G）IP地址：202.0.3.2子网掩码：255.255.255.0默认网关：202.0.3.1计算机（PC-H）IP地址：202.0.3.3子网掩码：255.255.255.0默认网关：202.0.3.12.1.1构建小型模拟局域网设备连接如图2.1所示构建出一种小型模拟局域网（由路由器、互换机、PC构成）。图2.1 设备配备图第3章 AAA配备3.1 AAA简介3.1.1什么是AAA用来对认证、授权和计费这三种安全功能进行配备的一种框架，被称为：Authentication，Authorization and Accounting ，即认证、授

15、权和计费，一般状况下缩写为AAA即可，简称：“三A认证”；它是对网络安全进行管理的认证方式之一，对所有类型LOGIN顾客进行本地认证、授权、计费。在这里，网络安全重要指的是访问控制，其中涉及了：（1）规定了哪些顾客可以访问指定网络服务器（2）具有访问权限的顾客组分别可以得到哪些服务，可以做些什么（3）对正在使用该网络资源的顾客组进行计费功能AAA可完毕下列服务：（1）认证：判断认证顾客与否可以获得访问权限（2）授权：被授权的顾客组可以使用哪些服务。（3）计费：记录顾客组使用网络资源的具体状况。3.2简朴基本的AAA配备3.2.1组网需求对所有类型login顾客进行本地认证，但不规定计费。3.2

16、.2配备环节# 使能AAARouter aaa-enable# 配备Login顾客Router local-user ftp service-type ftp password simple ftp Router local-user admin service-type administrator ssh password cipher adminRouter local-user operator service-type operator ssh password simple operatorRouter local-user guest service-type guest ssh

17、password simple guest# 配备对login顾客进行认证Router aaa authentication-scheme login default local Router login-method authentication-mode con defaultRouter login-method authentication-mode async defaultRouter login-method authentication-mode hwtty defaultRouter login-method authentication-mode pad defaultRo

18、uter login-method authentication-mode telnet defaultRouter login-method authentication-mode ssh default# 配备对FTP顾客进行认证Router login-method authentication-mode ftp default# 配备对login顾客不计费Router undo login-method accounting-mode login conRouter undo login-method accounting-mode login asyncRouter undo log

19、in-method accounting-mode login hwttyRouter undo login-method accounting-mode login padRouter undo login-method accounting-mode login telnetRouter undo login-method accounting-mode login ssh四台路由器均要进行相似的AAA配备，指令相似，不作反复。第4章 OSPF配备4.1 OSPF简介由IETF组织研发的一种基于链路状态下的自治系统内部路由合同被称为：开放最短路由优先合同（Open Shortest Pat

20、h First），简称OSPF，目前普遍使用的是版本2（RFC1583）。4.1.1 OSPF的重要特性1.适应范畴支持最多几千台路由器的多种大、中、小规模的网络。2.迅速收敛在网络的拓扑构造发生变化后立即发送并更新报文并在自治系统中达到同步。3.无自环用最短途径树算法计算路由，保证了不会生成自环路由。4.区域划分为了减少占用带宽，自治系统的网络被划提成的区域传送的路由信息被抽象。5.等值路由到同一目的地址的多条等值路由。6.路由分级当同步使用不同级别的路由时，按区域内路由、区域间路由、第一类外部路由和第二类外部路由这个优先顺序分级。7.支持验证支持基于接口的报文验证，保障了路由计算的安全性、

21、稳定性。8.组播发送在有组播发送能力的链路层上，基于组播地址进行接受、发送报文。在达到了广播作用的同步又最大限度地减少了对其他网络设备的干扰。4.1.2 OSPF合同路由计算的过程OSPF合同路由的计算过程可简朴描述如下： 1. 描述整个自治系统拓扑构造的链路状态数据库（简称LSDB）是由每一台支持OSPF合同的路由器维护着；她们都会根据周边的网络拓扑构造来生成链路状态并且发布Link State Advertising（LSA），然后再将LSA发送给网络中其他路由器。这样，每台路由器都将会收到来自其他路由器的 LSA，然后将所有的 LSA 放在一起构成了一种相对完整的链路状态数据库。2. 对

22、路由器周边网络拓扑构造的具体描述被称为LSA，而对整个网络的拓扑构造的一种描述则被成为LSDB。自然而然，自治系统内的各个路由器都将得到完全相似的网络拓扑图是由于路由器会将LSDB转换成一张带有权值的真实反映整个网络拓扑构造的有向图。3. 使用SPF算法的每台路由器都会计算出一棵到自治系统中各个节点的路由的树，这是一棵以自己为根的最短途径树，这棵树给出了通过广播外部路由的路由器来记录有关整个自治系统的额外信息。此外，为了建立多种邻接（Adjacent）关系，使处在广播网和NBMA网中的每台路由器都可以将存储在本地的路由信息广播到整个自治系统中去，则会浮现多次传递任意一台路由器的路由变化的状况，

23、因而挥霍了珍贵的带宽资源。为理解决这个难题，OSPF因此定义了“指定路由器”（Designated Router），简称为DR；为了大大减少各路由器之间邻居关系的数量，DR接受所有路由器发送出来的路由信息，然后再由它将该网络的链路状态广播出去。 OSPF支持IP子网和外部路由信息的标记接受，它支持基于接口的报文验证以保证路由计算的安全性；并使用IP组播方式发送和接受报文。4.2 OSPF的配备必须先启动OSPF、使能OSPF网络后，才干在各项配备任务中配备其他与合同有关的功能特性，而OSPF与否使能将不会影响在接口下配备的与合同有关的参数。关闭OSPF的同步本来在接口下配备的与合同有关的参数也

24、同步失效。4.2.1配备环节1. 配备路由器RARAinterface S0RA-Serial0ip address 192.1.1.1 255.255.255.0RA-Serial0interface S1RA-Serial1ip address 193.1.1.1 255.255.255.0RA-Serial1interface eth0RA-Ethernet0ip address 202.0.0.1 255.255.255.0RA-Ethernet0quitRAospf enableRA-ospfinterface s0RA-Serial0ospf enable area 0RA-Ser

25、ial0interface s1RA-Serial1ospf enable area 0RA-Serial1quitRAinterface e0RA-Ethernet0ospf enable area 02. 配备路由器RBRBinterface S0RB-Serial0ip address 192.1.1.2 255.255.255.0RB-Serial0interface S1RB-Serial1ip address 194.1.1.2 255.255.255.0RB-Serial1quitRBospf enableRB-ospfinterface s0RB-Serial0ospf ena

26、ble area 0RB-Serial0interface s1RB-Serial1ospf enable area 0RB-Serial1quitRBinterface eth0RB-Ethernet0ip address 202.0.1.1 255.255.255.0RB-Ethernet0ospf enable area 0RB-Ethernet0quit3. 配备路由器RCRCinterface S0RC-Serial0ip address 194.1.1.1 255.255.255.0RC-Serial0interface S1RC-Serial1ip address 195.1.1

27、.1 255.255.255.0RC-Serial1quitRCospf enableRC-ospfinterface s0RC-Serial0ospf enable area 0RC-Serial0interface s1RC-Serial1ospf enable area 0RC-Serial1quitRCinterface eth0RC-Ethernet0ip address 202.0.2.1 255.255.255.0 RC-Ethernet0ospf enable area 0RC-Ethernet0quit4. 配备路由器RDRDinterface S0RD-Serial0ip

28、address 193.1.1.2 255.255.255.0RD-Serial0interface S1RD-Serial1ip address 195.1.1.2 255.255.255.0RD-Serial1interface eth0RD-Ethernet0ip address 202.0.3.1 255.255.255.0RD-Ethernet0quitRDospf enableRD-ospfinterface s0RD-Serial0ospf enable area 0RD-Serial0interface s1RD-Serial1ospf enable area 0RD-Seri

29、al1interface e0RD-Ethernet0ospf enable area 0RD-Ethernet0quit如此配备完毕后，所有的端口都可以互相PING通。如图2.1 构建的小型局域网就完毕了。第5章 防火墙5.1防火墙简介5.1.1什么是防火墙防火墙作为Internet访问控制的基本技术，其重要作用是监视和过滤通过它的数据包，回绝非法顾客访问网络并保障合法顾客正常工作，根据自身所配备的访问控制方略决定该包应当被转发还是应当被抛弃。为了制止未经认证或者未经授权的顾客访问保护内部网络或数据，避免来自外网的歹意袭击，一般将防火墙设立在外部网和内部网的连接处。也可以用防火墙将公司网中比

30、较敏感的网段与相对开放的网段隔离开来，从而达到虽然该访问是来自局域网内部，也必须通过防火墙的过滤的效果。 防火墙可通过监测、限制、更改跨越防火墙的数据流来保护内部网络的安全性，尽量地对外部屏蔽网络内部的信息、构造和运营状况。目前的许多防火墙同步甚至还可以对顾客进行身份鉴别，对信息进行安全加密解决等等。5.1.2防火墙的分类防火墙一般被分为网络层防火墙和应用层防火墙两种类型。网络层防火墙重要是用来获取合同号、源地址、目的地址和目的端口等等数据包的包头信息；或者选择直接获取包头的一段数据。而选择对整个信息流进行系统的分析则是应用层防火墙。常用的防火墙有如下几类：1.应用网关（Application

31、 Gateway）：检查通过此网关的所有数据包中的位于应用层的数据。例如FTP网关，连接中传播的所有FTP数据包都必须通过此FTP网关。2.包过滤（Packet Filter）：是指对每个数据包都将会完全按照顾客所定义的规则来比较进入的数据包的源地址、目的地址与否符合所定义的规则。如顾客规定严禁端口是25或者不小于等于1024的数据包通过，则只要端口符合该条件，该数据包便被严禁通过此防火墙。3.代理（Proxy）：一般状况下指的是地址代理。它的机制是将网内主机的IP地址和端口替代为路由器或者服务器的IP地址和端口。让所有的外部网络主机与内部网络之间的互相访问都必须通过使用代理服务器来实现。这样

32、，就可以控制外部网络中的主机对内部网络中具有重要资源的机器的访问。5.2 包过滤一般状况下，包过滤是指对路由器需要转发的数据包，先获取包头信息中所承载的上层IP合同中的合同号、数据包的源地址、目的地址、源端标语和目的端标语等，然后与设定的规则进行比较，比较后的成果对数据包进行转发或者丢弃。因此只要顾客所配备的规则比较符合实际的应用，那么在这一层就可以过滤掉许多带有安全隐患的未知数据包。包过滤（对IP数据包）所选用用来判断的元素如下图所示（图中IP所承载的上层合同为TCP）。图5.1 包过滤示意图5.2.1包过滤可实现的功能1. 不让任何人从外界使用Telnet登录。2. 让每个人经由SMTP（

33、Simple Message Transfer Protocol，简朴邮件传播合同）向我们发送电子邮件。3. 使得某台机器可以通过NNTP（Network News Transfer Protocol，网络新闻传播合同）向我们发送新闻，而其他机器都不具有此项服务等等。5.2.2网络设备的包过滤的特性1. 基于访问控制列表（ACL）：访问控制列表的运用面很广，它不仅仅可以应用在包过滤中，还可应用在如地址转换和IPSec等其他需要对数据流进行分类的特性中的应用中。1.1支持原则及扩展访问控制列表：可以是只设定一种简朴的地址范畴的原则访问控制列表；也可以使用品体到合同、源地址范畴、目的地址范畴、源端

34、口范畴、目的端口范畴以及优先级与服务类型等等的扩展访问控制列表功能。1.2. 支持时间段：可以使访问控制列表在完全自定义的特定的时间段内起作用，例如可设立每周一的8:00至20:00此访问控制列表起作用。2. 支持访问控制列表的自动排序：为了简化配备的复杂限度，以便对于访问控制列表的配备及维护，可以选择与否针对某一类的访问控制列表进行自动排序。 3. 可以具体到接口的输入及输出方向：可以在连接WAN的接口的输出方向上应用某条包过滤规则，也可以在该接口的输入方向上应用其他的包过滤规则。4. 支持基于接口进行过滤：可以在一种接口的某个方向上设定严禁或容许转发来自某个接口的报文。5. 支持对符合条件

35、的报文做日记：可记录报文的有关信息，并提供机制保证在有大量相似触发日记的状况下不会消耗过多的资源。本文重要使用包过滤功能（ACL访问控制列表）实现基本的防火墙功能，下面将着重简介ACL访问控制列表的配备。第6章 ACL配备6.1访问控制列表简朴的来说就是需要配备某些过滤数据包的规则，规定什么样的数据包可以通过，什么样的数据包不能通过。访问控制列表可分为原则访问控制列表和扩展访问控制列表。6.1.1原则访问控制列表acl acl-number match-order config | auto rule normal | special permit | deny source source-a

36、ddr source-wildcard | any 6.1.2扩展访问控制列表acl acl-number match-order config | auto rule normal | special permit | deny pro-number source source-addr source-wildcard | any source-port operator port1 port2 destination dest-addr dest- wildcard | any destination-port operator port1 port2 icmp-type icmp-typ

37、e icmp-code logging其中“protocol-number”用名字或数字表达的IP承载的合同类型。数字范畴为0255；名字取值范畴为：icmp、igmp、ip、tcp、udp、gre、ospf。对于“protocol”参数的不同，该命令又有如下形式：1.“protocol”为ICMP时的命令格式如下：rule normal | special permit | deny icmp source source-addr source-wildcard | any destination dest-addr dest- wildcard | any icmp-type icmp-t

38、ype icmp-code logging 2. “protocol”为IGMP、IP、GRE、OSPF时的命令格式如下： rule normal | special permit | deny ip | ospf | igmp | gre source source-addr source-wildcard | any destination dest-addr dest- wildcard | any logging3.“protocol”为TCP或UDP时的命令格式如下：rule normal | special permit | deny tcp | udp source source

39、-addr source-wildcard | any source-port operator port1 port2 destination dest-addr dest- wildcard | any destination-port operator port1 port2 logging只有TCP和UDP合同需要指定端口范畴，支持的操作符及其语法如下表：表6.1扩展访问列表的操作符operator的意义操作符及语法意义equal port-number等于端标语port-numbergreater-than port-number不小于端标语port-numberless-than

40、port-number不不小于端标语port-numbernot-equal port-number不等于端标语port-numberrange port-number1 port-number2介于端标语port-number1 和 port-number2之间顾客通过配备防火墙添加合适的访问规则，就可运用包过滤来对通过路由器的IP包进行检查，从而过滤掉顾客不但愿通过路由器的包，起到网络安全的作用。6.2防火墙的配备防火墙的配备涉及：1.容许/严禁防火墙2.配备原则访问控制列表3.配备扩展访问控制列表4.配备在接口上应用访问控制列表的规则5.设立防火墙的缺省过滤方式6.设立特殊时间段6.2.

41、1配备环节配备路由器RA：RAfirewall enable 启用防火墙功能RAtimerange enable 启用时间段功能RAfirewall default permit 设立防火墙缺省过滤方式RAsettr 08:00 18:00 *设定工作时间段*RAacl 3001 创立ACL规则编号3001RA-acl-3001rule special deny tcp source any destination any destination-port greater-than 1024RAacl 3002RA-acl-3002rule permit ip source 202.0.0.2

42、 0.0.0.0 destination 202.0.3.1 0.0.0.255 在下班时间容许PC-A 访问网段202.0.3.*RA-acl-3002rule permit tcp source any destination any destination-port eq smtp 在下班时间容许发送邮件RA-acl-3002rule special deny ip source 202.0.0.2 0.0.0.0 destination 202.0.3.1 0.0.0.255 在上班时间严禁PC-A访问网段202.0.3.*RA-acl-3002rule special permit

43、ip source 202.0.0.2 0.0.0.0 destination 115.239.210.27 0 在上班时间容许PC-A 只能访问百度RA-acl-3002rule special deny tcp source 202.0.0.2 0.0.0.0 destination any destination-port eq smtp 在上班时间严禁PC-A对外发送邮件RA-acl-3002rule special deny tcp source 202.0.0.3 0.0.0.0 destination any destination-port eq www 在上班时间严禁PC-B

44、 使用www服务RA-acl-3002rule special deny tcp source 202.0.0.3 0.0.0.0 destination any destination-port eq smtp 在上班时间严禁PC-B对外发送邮件RA-acl-3002rule special permit tcp source 202.0.0.3 0.0.0.0 destination any destination-port eq ftp 在上班时间容许PC-B使用ftp服务RA-acl-3002rule special permit tcp source 202.0.0.4 0.0.0.

45、0 destination any destination equal telnet 在上班时间容许PC-C使用telnet功能RA-acl-3002quitRAinterface s0RA-s0firewall packet-filter 3001 inbound 将规则3001作用于从接口S0进入的包RA-s0quitRAinterface e0RA-E0firewall packet-filter 3002 inbound 将规则3002作用于从接口Ethernet0进入的包配备路由器RB:RBfirewall enableRBfirewall default permitRBacl 3

46、003严禁所有包通过RB-acl-3003rule deny ip source any destination any 配备规则容许特定主机访问外部网，容许内部服务器访问外部网。RB-acl-3003rule permit ip source 202.0.1.2 0.0.0.0 destination any RB-acl-3003rule permit ip source 202.0.1.3 0.0.0.0 destination anyRB-acl-3003rule permit ip source 202.0.1.4 0.0.0.0 destination anyRB-acl-3003

47、rule permit ip source 202.0.1.5 0.0.0.0 destination anyRBacl 3004配备规则容许特定顾客从外部网访问内部特定服务器。RB-acl-3004rule permit ip source 202.0.3.2 0.0.0.0 destination 202.0.1.1 0.0.0.255 RB-acl-3004rule deny ip source 202.0.3.2 0.0.0.0 destination 202.0.0.1 0.0.0.255配备规则容许特定顾客从外部网获得数据（只容许端口不小于1024的包）。RB-acl-3004ru

48、le permit tcp source any destination 202.0.3.1 0.0.0.0 destination-port greater-than 1024 RB-acl-3004quitRBinterface E0RB-E0firewall packet-filter 3003 inboundRB-EOquitRBinterface S1RB-S1fire packet-filter 3004 inboundRB-s1quit配备路由器RC:RCfirewall enableRCtimerange enableRCfirewall default permitRCset

49、tr 17:00 17:05 RCacl 3006RC-acl-3006rule normal permit icmp source 192.1.1.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echoRC-acl-3006rule normal permit icmp source 202.0.0.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo-replyRC-acl-3006rule normal permit icmp source 192.1.1.1 0.0.0.0 d

50、estination 202.0.3.1 0.0.0.0 icmp-type echo-replyRC-acl-3006rule normal permit icmp source 202.0.0.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echoRC-acl-3006rule normal deny tcp source 202.0.0.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 destination-port equal telnetRC-acl-3006rule normal deny tcp

51、 source 192.1.1.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 destination-port equal telnetRC-acl-3006rule special deny icmp source 202.0.0.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echoRC-acl-3006rule special deny icmp source 202.0.0.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo-replyRC-

52、acl-3006rule special deny icmp source 192.1.1.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echoRC-acl-3006rule special deny icmp source 192.1.1.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo-replyRC-acl-3006quitRCinterface s0RC-Serial0fire packet-filter 3006 inbound配备路由器RD:RDfirewall en

53、ableRDtimerange enableRDfirewall default permitRDsettr 18:00 23:59RDacl 3005RD-acl-3005rule deny ip source 202.0.3.3 0.0.0.0 destination any 在一般时段严禁访问内部网RD-acl-3005rule special permit ip source 202.0.3.3 0.0.0.0 destination 202.0.1.3 0.0.0.0 在特殊时段可以访问PC-E将某些常用病毒入侵的端口禁用，避免病毒入侵RD-acl-3005rule deny udp

54、 source any destination any destination-port eq 135RD-acl-3005rule deny udp source any destination any destination-port eq 137RD-acl-3005rule deny udp source any destination any destination-port eq 138RD-acl-3005rule deny udp source any destination any destination-port eq 445RD-acl-3005rule deny udp

55、 source any destination any destination-port eq 1434RD-acl-3005rule deny tcp source any destination any destination-port eq 135RD-acl-3005rule deny tcp source any destination any destination-port eq 137RD-acl-3005rule deny tcp source any destination any destination-port eq 139RD-acl-3005rule deny tc

56、p source any destination any destination-port eq 445RD-acl-3005rule deny tcp source any destination any destination-port eq 4444RD-acl-3005rule deny tcp source any destination any destination-port eq 5554RD-acl-3005rule deny tcp source any destination any destination-port eq 9995RD-acl-3005rule deny

57、 tcp source any destination any destination-port eq 9996RD-acl-3005quitRDinterface E0RD-E0fire packet-filter 3005 inboundRD-E0quit6.2.2防火墙的显示与调试在所有视图下使用debugging、reset、display命令。表6.2防火墙的显示和调试操作命令显示包过滤规则及在接口上的应用display acl all | acl-number | interface type number 显示防火墙状态display firewall显示目前时间段的范畴disp

58、lay timerange显示目前时间与否在特殊时间段之内display isintr清除访问规则计数器reset acl counters acl-number 打开防火墙包过滤调试信息开关debugging filter all | icmp | tcp | udp结论本文简介了AAA认证、OSPF合同以及防火墙配备的基本概念、工作原理，及其在基于路由器下的网络安全的具体应用，具体并且着重简介了访问控制列表(ACL)的工作原理和实际用途，并得出了结论：访问控制列表是网络安全防备和保护的重要方略，它的重要任务是保证网络资源不被非法使用和访问，在路由器的接口上合理合适地配备访问控制列表后，可以

59、对入站接口、出站接口及通过路由器中继的数据包进行安全检测，过滤数据包，以保障网络安全。并且，它波及的技术也涉及入网访问控制、网络权限控制、目录级控制以及属性控制等多种技术手段。访问控制列表是防火墙的一种，但它比防火墙更能有效地避免病毒。此外，ACL过滤的仅仅只是第三层和第四层包头中的部分信息，因而无法辨认到具体的人和到应用内部的权限级别等；因此虽然ACL实现访问控制的形式灵活、用途广泛，但同步也有其局限性，因此，要达到更高档更复杂更有效的权限控制目的，还需要和系统级及应用级的访问权限控制结合使用。参照文献1 洪新建，洪新华，谢庆华反射访问控制列表在网络安全中的应用J计算机安全，20 (11)：

60、73-852 张晔把防火墙揣摩透彻M北京：清华大学出版社，：183-1853 洪新建，洪新华动态访问列表在网络安全中的应用J计算机时代，3(5)：210-2124 黄松华，孙玉星，黄皓，陈贵海支持途径选择与迅速切换的移动网络接入路由器安全MeshJ计算机学报，3(7)：97-995 王华丽，王泉访问控制列表在网络安全中的应用J电子科技，1(10)：253-2546 戴波，张旭东规范路由器配备 提高网络安全J黑龙江科技信息，20(5)：45-487 周杰使用华为路由器，提高计算机网络安全J安徽电子信息职业技术学院学报，6(17)：112-1138 刘军伟，戴紫彬，张永福基于IXP2400安全路由器的研究与设计M西安：西安电子科技大学出版社，：68-708 唐子蛟，周刚基于OSPF合同的路由器安全J软件导刊，3(8)：167-1709 王振一基于路由器的网络安全机制的研究J硅谷，2(8)：190-19910 李佳娃，丘映莹运用访问控制列表构建安全的校园网络防火墙体系J科技信息，19(