文档介绍：1
学****目标
防火墙的域和模式
攻击防范、包过滤、ASPF、NAT、黑名单的使用方法
学****完本课程,您应该能够了解:
2
防火墙的模式
路由模式
为防火墙的以太网接口(0/0 为例)配置IP 地址。
[SecPath] interface 0/0
[SecPath-0/0] ip address
透明模式
当防火墙工作在透明模式下时,其所有接口都将工作在第二层,即不能为接口配置IP 地址。这样,用户若要对防火墙进行Web 管理,需在透明模式下为防火墙配置一个系统IP 地址(System IP)。用户可以通过此地址对防火墙进行Web 管理。缺省情况下,防火墙工作在路由模式。
(1) 配置防火墙工作在透明模式。
[SecPath] firewall mode ?
route Route mode
transparent Transparent mode
[SecPath] firewall mode transparent
Set system ip address essfully.
The 0/0 has been in promiscuous operation mode !
The 0/1 has been in promiscuous operation mode !
All the Interfaces's ips have been deleted.
The mode is set essfully.
从以上显示的系统提示信息可以看出,防火墙已经工作在透明模式下,且所有接口上的IP 地址已经被删除。
(2) 为防火墙配置系统IP 地址。
[SecPath] firewall system-ip
Set system ip address essfully.
说明:当防火墙切换到透明模式时, ,可以使用上述命令更改系统IP 地址。
3
防火墙的模式
可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息,然后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。
透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址,整个设备出于现有的子网内部,对于网络中的其他设备,防火墙是透明的。报文转发的出接口,是通过查找桥接的转发表得到的。在确定域间之后,安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。
相比较而言,路由模式的功能更强大一些;而在用户的网络无法变更的情况下,可以考虑采用透明模式。
4
防火墙的属性配置命令
打开或者关闭防火墙
firewall { enable | disable }
设置防火墙的缺省过滤模式
firewall default { permit|deny }
显示防火墙的状态信息
display firewall
5
在接口上应用访问控制列表
将访问控制列表应用到接口上
指明在接口上是OUT还是IN方向
0
访问控制列表101
0接口
在out方向有效
Serial0
访问控制列表3
作用在Serial0接口上
在in方向上有效
6
基于时间段的包过滤
“特殊时间段内应用特殊的规则”
上班时间
(上午8:00 - 下午5:00)
只能访问特定的站点;其余
时间可以访问其他站点
7
时间段的配置命令
time range 命令
timerange { enable|disable }
[undo] settr 命令
settr begin-time end-time [ begin-time end-time ...... ]
undo settr
显示 isintr 命令
display isintr
显示 timerange 命令
display timerange
8
访问控制列表的组合
一条访问列表可以由多条规则组成,对于这些规则,有两种匹配顺序:auto和config。
规则冲突时,若匹配顺序为auto(深度优先),描述的地址范围越小的规则,将会优先考虑。
深度的判断要依靠通配比较位和IP地址结合比较
access-list 4 deny
access-list 4 permit
两条规则结合则表示禁止一个大网段()上的主机但允许其中的一小部分主机(