教学目标
📖 课前导入
上节课我们认识了各种网络安全威胁。那么如何保护我们的网络呢?
最基本的网络安全设备就是防火墙——它就像网络的"保安",检查每一个进出的数据包,决定放行还是拦截。而ACL(访问控制列表)就是防火墙执行的"安全规则"。
📚 一、防火墙概述
什么是防火墙?
防火墙(Firewall)是部署在网络边界的安全设备,根据预设的安全策略控制进出网络的流量。它可以是硬件设备、软件程序或两者结合。
防火墙的类型
包过滤防火墙
检查数据包的源IP、目的IP、端口号、协议类型等头部信息,根据规则决定放行或丢弃。
工作在网络层/传输层
优点:速度快。缺点:不检查数据内容。
状态检测防火墙
在包过滤基础上,跟踪连接状态。已建立的合法连接的后续数据包自动放行。
工作在网络层~传输层
优点:更安全,能识别连接上下文。
应用层网关(代理)
深入检查应用层数据内容(如HTTP请求内容),可以过滤特定URL或关键词。
工作在应用层
优点:最安全。缺点:速度慢,资源消耗大。
防火墙的部署位置
防火墙通常部署在内网与外网的边界,所有进出的流量都必须经过防火墙检查。
内部网络
(受信任)
🔥 防火墙
互联网
(不受信任)
📚 二、ACL访问控制列表 ⭐核心
什么是ACL?
ACL(Access Control List,访问控制列表)是路由器和防火墙上的规则列表,定义哪些流量允许通过(permit),哪些流量需要拒绝(deny)。
标准ACL(编号1-99)
只根据源IP地址过滤流量。
功能简单,应用在靠近目的地的位置。
// 拒绝192.168.1.0网段的所有流量
access-list 10 deny 192.168.1.0 0.0.0.255
access-list 10 permit any
扩展ACL(编号100-199)
根据源IP、目的IP、协议类型、端口号过滤。
功能精细,应用在靠近源的位置。
// 拒绝192.168.1.0访问Web服务器的80端口
access-list 100 deny tcp 192.168.1.0 0.0.0.255 host 10.0.0.1 eq 80
access-list 100 permit ip any any
ACL的重要规则
- 1. 从上到下匹配:数据包按顺序逐条匹配ACL规则,匹配到第一条就执行,不再继续。
- 2. 隐式拒绝:ACL末尾有一条看不见的 deny any(拒绝所有),所以一定要加 permit any 放行其他流量。
- 3. 通配符掩码:ACL使用通配符掩码(和子网掩码取反),0表示必须匹配,255表示忽略。
📚 三、ACL配置实例
ACL应用方向
in(入方向)
数据包进入该接口时检查ACL
out(出方向)
数据包离开该接口时检查ACL
📚 四、Windows防火墙
除了网络设备上的防火墙,每台电脑也有主机防火墙。Windows自带的防火墙可以控制程序的网络访问权限。
入站规则
控制外部到本机的连接。默认阻止大部分入站连接。
出站规则
控制本机到外部的连接。默认允许出站连接。
网络配置文件
域网络、专用网络、公用网络,不同网络类型应用不同规则。
防火墙与ACL配置实战
在Packet Tracer中配置标准ACL和扩展ACL,演示流量过滤效果和验证方法
在Packet Tracer中配置标准ACL和扩展ACL,演示流量过滤效果和验证方法
✅ 课堂小测
随堂测验
第 1/4 题标准ACL和扩展ACL的主要区别是什么?
📋 本课小结
防火墙:包过滤(看头部)→ 状态检测(看连接)→ 应用层网关(看内容)。
标准ACL(1-99):只匹配源IP,靠近目的地部署。
扩展ACL(100-199):匹配源/目的IP+协议+端口,靠近源部署。
ACL规则:从上到下匹配、首次匹配执行、末尾隐式deny any。