第九组 通信3班 063 防火墙配置
Established扩展ACL
一、拓扑图
二、地址表
Device |
Interface |
IP address |
R1 |
F 0/0 |
172.16.63.1 |
F 0/1 |
10.3.63.1 |
|
S 0/0/1 |
10.1.63.1 |
|
R2 |
S 0/0/1 |
10.1.63.2 |
S 0/0/0 |
10.2.63.2 |
|
R3 |
F 0/0 |
192.168.63.3 |
S 0/0/0 |
10.2.63.3 |
|
PC-1 |
NIC |
172.16.63.100 |
Default Gateway |
172.16.63.1 |
|
PC-2 |
NIC |
10.3.63.100 |
Default Gateway |
10.3.63.1 |
|
Server1 |
NIC |
192.168.63.100 |
Default Gateway |
192.168.63.3 |
三、静态路由配置
配置扩展ACL前先把网络做通,配置静态路由。
R1(config)#ip route 172.16.63.0 255.255.255.0 10.1.63.2
R1(config)#ip route 10.2.63.0 255.255.255.0 10.1.63.2
R1(config)#ip route 192.168.63.0 255.255.255.0 10.1.63.2
R2(config)#ip route 172.16.63.0 255.255.255.0 10.1.63.1
R2(config)#ip route 10.3.63.0 255.255.255.0 10.1.63.1
R2(config)#ip route 192.168.63.0 255.255.255.0 10.2.63.3
R3(config)#ip route 10.1.63.0 255.255.255.0 10.2.63.2
R3(config)#ip route 172.16.63.0 255.255.255.0 10.2.63.2
R3(config)#ip route 10.3.63.0 255.255.255.0 10.2.63.2
R1#show ip route 查看路由表
试从PC-1 ping 到Server1
静态路由配置完成,开始做扩展ACL实验。
要求:
� 拒绝PC1 所在网段访问Server 192.168.63.100 的Web 服务
� 拒绝PC2 所在网段访问Server 192.168.63.100 的Ftp 服务
� 拒绝PC1 所在网段访问Server 192.168.63.100 的SQL 服务
� 拒绝PC1 所在网段访问路由器R3 的Telnet 服务
� 拒绝PC2 所在网段访问路由器R2 的Web 服务
� 拒绝PC1 和PC2 所在网段ping Server 服务器
� 只允许路由器R3 以接口s0/1/0 为源ping 路由器R2 的接口s0/1/1 地址,而不允许路
由器R2 以接口s0/1/1 为源ping 路由器R3 的接口s0/1/0 地址,即单向ping.
四、实验步骤:
(一)配置路由器
R1(config)#access-list 110 remark this is an example for extended acl
R1(config)#access-list 110 deny tcp 172.16.63.0 0.0.0.255 host 192.168.63.100 eq 80
R1(config)#access-list 110 deny tcp 10.3.63.0 0.0.0.255 host 192.168.63.100 eq 21
R1(config)#access-list 110 deny tcp 10.3.63.0 0.0.0.255 host 192.168.63.100 eq 20
R1(config)#access-list 110 deny tcp 172.16.63.0 0.0.0.255 host 192.168.63.100 eq 1433
R1(config)#access-list 110 deny tcp 172.16.63.0 0.0.0.255 host 10.2.63.3 eq 23
R1(config)#access-list 110 deny tcp 172.16.63.0 0.0.0.255 host 192.168.63.3 eq 23
R1(config)#access-list 110 deny tcp 10.3.63.0 0.0.0.255 host 10.1.63.2 eq 80
R1(config)#access-list 110 deny tcp 10.3.63.0 0.0.0.255 host 10.2.63.2 eq 80
R1(config)#access-list 110 deny icmp 172.16.63.0 0.0.0.255 host 192.168.63.100
R1(config)#access-list 110 deny icmp 10.3.63.0 0.0.0.255 host 192.168.63.100
R1(config)#access-list 110 permit ip any any
R1(config)#int s0/0/0
R1(config-if)#ip access-group 110 out
(二)配置路由器R3
R3(config)#access-list 120 deny icmp host 10.2.63.2 host 10.2.63.3 echo
R3(config)#access-list 120 permit ip any any
R3(config)#int s0/0/0
R3(config-if)#ip access-group 120 in
四、实验调试
(一)路由器R1 上查看ACL110
R1#show ip access-lists 110
(二)路由器R3 和路由器R2 互相ping
(三)路由器R3 查看ACL 120
R3#show ip access-lists 120
(四)配置命令扩展ACL
R3(config)#ip access-list extended acl120
R3(config-ext-nacl)#deny icmp host 10.2.63.2 host 10.2.63.3 echo
R3(config-ext-nacl)#permit ip any any
R3(config-ext-nacl)#int s0/1/0
R3(config-if)#ip access-group acl120 in
R3#show ip access-lists
扩展ACL实验配置完成,验证成功
动态ACL
拓扑图
R2和R3为内网,R4为外网,配置R1,默认允许所有telnet通过,因为要使用telnet做认证,然后只有当认证通过之后,ICMP才可以通过。
这里静态路由配置与地址表自反ACL相同,参照上面配置做通路由即可开始该实验配置。
1.配置Dynamic ACL
(1)配置默认不需要认证就可以通过的数据,如telnet
R1(config)#access-list 100 permit tcp an an eq telnet
(2)配置认证之后才能通过的数据,如ICMP,绝对时间为2分钟。
R1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any
(3)应用ACL
R1(config)#int f0/0
R1(config-if)#ip access-group 100 in
2.测试访问
(1)测试内网R3 telnet外网R4
从结果中看出,telnet不受限制。
(2)测试测试内网R3 ping外网R4
内网在没有认证之前,ICMP是无法通过的。
3.配置本地用户数据库
R1(config)#username ccie password cisco
4.配置所有人的用户名具有访问功能
R1(config)#line vty 0 181
R1(config-line)#login local
R1(config-line)#autocommand access-enable
5.内网R3做认证
当telnet路由器认证成功后,是会被关闭会话的。
6.测试内网到外网的ICMP通信功能
认证通过之后,ICMP被放行。
7.查看ACL状态
可以看到动态允许的流量已放行。
基于时间的ACL
拓扑图
前提:在R1路由器上需要提前配置好正确的时间
R1#clock set 20:00:00 apr 27 2019
本实验静态路由配置与地址表与第一个实验自反ACL相同,参照上面配置做通路由。
1.配置time-range
R1(config)#time-range TELNET
R1(config-time-range)#periodic weekend 10:00 to 22:00
(定义的时间范围为周末的10:00 to 22:00)
2.配置ACL(配置R1在上面的时间范围内拒绝R2到R4的telnet,其它流量全部通过。)
R1(config)#access-list 150 deny tcp host 10.1.63.2 any eq 23 time-range TELNET
R1(config)#access-list 150 permit ip any any
3.应用ACL
R1(config)#int f0/0
R1(config-if)#ip access-group 150 in
4.测试时间范围内的流量情况
(1)查看当前R1的时间
当前时间为周六20:46,即在所配置的时间范围内。
(2)测试R3向R4发起telnet会话
在规定的时间范围内,R3向R4发起telnet会话是被拒绝的。
(3)测试除telnet外的其它流量
在规定的时间范围内,除了telnet之外,其它流量不受限制。
(4)测试除R3之外的设备telnet情况
可以看到,除R3之外,其它设备telnet并不受限制。
5.测试时间范围外的流量情况
(1)更改当前R1的时间
更改时间为周六23:00,即在所配置的时间范围之外。
(2)测试R3向R4发起telnet会话
在时间范围之外,所限制的流量被放开。
基于上下文的访问控制
一、拓扑图
二、地址表
Device |
Interface |
IP address |
R1 |
F 0/0 |
192.168.63.1 |
S 0/0/0 |
10.1.63.1 |
|
R2 |
S 0/0/0 |
10.1.63.2 |
S 0/0/1 |
10.2.63.2 |
|
R3 |
F 0/0 |
172.16.63.3 |
S 0/0/0 |
10.2.63.3 |
|
PC-A |
NIC |
192.168.63.4 |
Default Gateway |
192.168.63.1 |
|
PC-B |
NIC |
172.16.63.4 |
Default Gateway |
172.16.63.3 |
三、预配置:
在配置防火墙之前验证设备间连通性,即先配置静态路由
R1(config)#ip route 10.2.63.0 255.255.255.0 10.1.63.2
R1(config)#ip route 172.16.63.0 255.255.255.0 10.1.63.2
R2(config)#ip route 192.168.63.0 255.255.255.0 10.1.63.1
R2(config)#ip route 172.16.63.0 255.255.255.0 10.2.63.3
R3(config)#ip route 10.1.63.0 255.255.255.0 10.2.63.2
R3(config)#ip route 192.168.63.0 255.255.255.0 10.2.63.2
在R3启用密码
R3(config)#enable password a123
启用console口密码
R3(config)#line console 0
R3(config-line)#password b123
启用vty行接入密码
R3(config)#line vty 0 4
R3(config-line)#password c123
把S1、S2所有交换机接口都在Vlan1(S2配置相同)
S1(config)#int f 0/1
S1(config-if)# switchport access vlan 1
S1(config-if)# switchport trunk allowed vlan 1
S1(config)#int f 0/2
S1(config-if)# switchport access vlan 1
S1(config-if)# switchport trunk allowed vlan 1
预配置完成
验证:在PC-B的命令提示符中ping PC-A服务器
在PC-B命令提示符中telnet路由R2的s0/0/1接口:地址时10.2.63.2.退出telnet阶段
在PC-B开一个网页浏览器登入PC-A来展示网页。关掉PC-B的浏览器。
在PC-A的命令提示符ping PC-B
四、在R3配置一个命名IP ACl阻隔所有外网产生的流量
用ip access-list extended指令创造一个已命名的IP ACL
R3(config)#ip access-list extended out-in
R3(config-ext-nacl)# deny ip any any
R3(config-ext-nacl)# exit
在s0/0/0应用ACl
R3(config)#int s 0/0/0
R3(config-if)# ip access-group out-in in
确保进入s0/0/1接口的流量被阻隔
在PC-B命令提示符ping PC-A服务器。ICMP回送响应会被ACL阻隔
五、创建一个CBAC检测规则
第一步 创建一个检测规则来检测ICMP,Telnet,和HTTP流量。
R3(config)# ip inspect name IN-OUT-IN icmp
R3(config)# ip inspect name IN-OUT-IN telnet
R3(config)# ip inspect name IN-OUT-IN http
第二步 开启时间戳记记录和CBAC审计跟踪信息。
R3(config)# ip inspect audit-trail
R3(config)# service timestamps debug datetime msec
R3(config)# logging host 192.168.63.4
第三步 对在s0/0/0的出口流量用检测规则。
R3(config-if)#int s0/0/0
R3(config-if)# ip inspect IN-OUT-IN out
第四步 验证审计跟踪信息正被syslog服务器记录
在PC-B 成功ping、telnet访问PC-A来检测连通性,注意Telnet不了。
在PC-A ping 、Telnet PC-B来检测连通性,这两步都被阻隔掉
CBAC基于上下文的访问控制配置完成。
基于区域策略的防火墙
一、拓扑图
地址表与预配置和上一实验(基于上下文的访问控制)完全一致,参照上面配置即可。
验证基本网络连通性
PC-A ping通PC-B
PC-B telnet到R3的s0/0/0接口
二、在R3创建区域防火墙
第一步 创建一个内部区域。
R3(config)# zone security IN-ZONE
第二步 创建外部区域
R3(config-sec-zone)# zone security OUT-ZONE
R3(config-sec-zone)# exit
定义一个流量级别和访问列表
第一步 创建一个用来定义内部流量的ACL
R3(config)# access-list 101 permit ip 172.16.63.0 0.0.0.255 any
第二步 创建一个涉及内部流量ACL的class map
R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP
R3(config-cmap)# match access-group 101
R3(config-cmap)# exit
指定防火墙策略
第一步 创建一个策略图来确定对匹配的流量干啥。
R3(config)# policy-map type inspect IN-2-OUT-PMAP
第二步 定义一个检测级别类型和参考策略图。
R3(config-pmap)# class type inspect IN-NET-CLASS-MAP
第三步 定义检测策略图
Inspect这个指令调用基于上下文的访问控制(其他还有通过和丢弃)
R3(config-pmap-c)#inspect
应用防火墙策略
第一步 创建一对区域
R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE
第二步 定义策略图来控制两个区域的流量。
R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP
R3(config-sec-zone-pair)# exit
第三步 把端口调用到合适的安全区域。
R3(config)# interface fa0/0
R3(config-if)# zone-member security IN-ZONE
R3(config-if)# exit
R3(config)# interface s0/0/0
R3(config-if)# zone-member security OUT-ZONE
R3(config-if)# exit
测试从IN-ZONE到OUT-ZONE的防火墙功能
第一步 PC-B ping PC-A服务器
第二步 从PC-B telnet到R2的s0/0/1口
PC-B打开网页登到PC-A的服务器
测试外部区域到内部区域的防火墙功能,验证配置ZPF之后外部无法访问内部。
第一步 PC-A ping PC-B(注意不能ping通)
第二步 R2 ping PC-B也不能ping通
基于区域策略的防火墙配置验证完成。
自反ACL实验配置
拓扑图
R4为外网,R2和R3为内网。
地址表
先在R2、R3与R4上配置配置静态路由
R2(config)#ip route 14.1.63.0 255.255.255.0 10.1.63.1
R3(config)#ip route 14.1.63.0 255.255.255.0 10.1.63.1
R4(config)#ip route 10.1.63.0 255.255.255.0 14.1.63.1
配置静态路由完成,路由之间互通,即可做自反ACL
1.配置拒绝外网主动访问内网(拒绝外网主动访问内网,但是ICMP可以不受限制)
(1)配置允许ICMP可以不用标记就进入内网,其它的必须被标记才返回
R1(config)#ip access-list extended come
R1(config-ext-nacl)#permit icmp any any
R1(config-ext-nacl)#evaluate abc
(2)应用ACL
R1(config)#int f0/1
R1(config-if)#ip access-group come in
2.测试结果
(1)测试外网R4的ICMP访问内网
可以看到,ICMP是可以任意访问的
(2)测试外网R4 telnet内网
可以看到,除ICMP之外,其它流量是不能进入内网的。
(3) 测试内网R3的ICMP访问外网
可以看到,内网发ICMP到外网,也正常返回了
(4) 测试内网R3发起telnet到外网
可以看到,除ICMP之外,其它流量是不能通过的。
3.配置内网向外网发起的telnet被返回
(1)配置内网出去时,telnet被记录为abc,将会被允许返回
R1(config)#ip access-list extended goto
R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60
R1(config-ext-nacl)#permit ip any any
(2)应用ACL
R1(config)#int f0/1
R1(config-if)#ip access-group goto out
4.测试结果
(1)查看R3到外网的ICMP
ICMP属正常
(3)查看内网向外网发起telnet
可以看出,此时内网发向外网的telnet因为被标记为abc,所以在回来时,存在缺口,可以允许返回。
(4)查看ACL
可以看到,有一条为abc的ACL为允许外网到内网的telnet,正是由于内网发到外网的telnet被标记了,所以也自动产生了允许其返回的ACL,并且后面跟有剩余时间。
作业总结:
自反ACL优缺点:自反访问控制列表在第四层上分析数据流,是一个按需生成的控制列表,在没有数据流的时候,也就是不需要的时候,会自动消失,是一种较自动化的数据控制方式,在一定程度上防止了IP地址欺骗攻击,非常有效的保护了用户的网络免受黑客破坏,并且对TCP数据包最有效。对于UDP包,扩展访问控制列表毫无办法。
扩展ACL优缺点:标准ACL禁止或者允许的是某一主机,或者某一网段的全部数据流量,也就是只对数据流量的来源进行控制。扩展ACL即检查数据的来源地址也检查数据的目的地址,还能检查特定的协议类型和端口号,它可以做到允许外来的web通信,可以去禁止外来的FTP和telnet等通信,这点标准的ACL是做不到的。
本次作业总共需要做六个实验,前三个实验需要用GMS3模拟器来完成,配置指令比较简单,只需要完成静态路由的配置,做通网络,即可完成实验任务的配置。而扩展ACL与基于区域策略的防火墙的配置比较困难,在预设置时需要在PC端配上网关才能做通网络。在配置区域策略防火墙的时候,需要我们理解配置原理,例如需要配置Inspect命令来定义检测策略图,并且需要创建外部区域与内部区域,控制流量,需将端口调用到合适的安全区域,如zone-member security IN-ZONE。该实验配置命令较多,配置时需要十分细心,只要一个命令配置错误,就会导致网络不通,查错就十分麻烦。配置过程中通过请教同学和查找资料,最后把实验成功配通非常开心。
转载于:https://www.cnblogs.com/WJY20190301/p/10924528.html
第九组 通信3班 063 防火墙配置相关推荐
- 第三组 通信一班 030 网工知识点总结
2019年软考网络工程师考点一:局域网技术 VTP协议 在VTP域中有个很重要的概念就是交换机的模式,分别是服务器模式.客户端模式.透明模式. 服务器模式的交换机可以添加.修改.删除VLAN以及V ...
- 第三组 通信一班 030 ISISv6
一.实验目的 实现IPv6的ISIS互通 二.实验拓扑 图 1 三.地址规划 设备 接口 地址 R1 F0/0 2001:db8:30:12::1/64 F0/1 2001:db8:30:13::1/ ...
- 第二组 通信1班 180 林欣怡 抓包分析
任务一:网络地址规划表: ip地址修改过程 步骤如下 步骤1:打开"网络和共享中心" 步骤2:点击"更改适配器选项"双击打开已连接的网络 步骤3:打开" ...
- 第10组-通信2班-011-抓包分析
目录 1.应用层 1.1 捕获www数据包 1.2 捕获直播数据包 2.传输层 2.1 TCP连接建立 2.2 TCP连接释放 2.3 UDP协议 3.网络层 3 ...
- 查看防火墙状态_干货 | 华为防火墙配置,这篇文章强烈推荐收藏学习
1.命令行界面密码:Admin@123 [ ]web-manager enable 开启web 界面管理 2.web界面:默认 admin Admin@123 3.区域 默认区域:trust ...
- WindowsServer2008防火墙配置命令
使用组策略来管理高级Windows安全防火墙 在一个使用活动目录(AD)的企业网络中,为了实现对大量计算机的集中管理,可以使用组策略来应用高级安全windows防火墙的配置.组策略提供了高级安全Win ...
- Cisco PIX防火墙配置指南
总结了防火墙基本配置十个方面的内容. 硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单地说是一种pc式的电脑主机加上闪存(flash)和防火墙操作系统.它的硬件跟共控机差不多,都 ...
- 10分钟教你完全掌握防火墙配置!!!!!
今日提问 1.防火墙支持那些NAT技术,主要应用场景是什么? 2.当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明 3.防火墙使用VRRP实现双机热备时会遇到什么问题, ...
- Windows cmd 防火墙配置
Windows cmd 防火墙配置 一.netsh advfirewall /? 二.set /? 1. 打开防火墙 2. 关闭防火墙 三.netsh advfirewall firewall /? ...
- Iptables防火墙配置详解
iptables防火墙配置详解 iptables简介 iptables是基于内核的防火墙,功能非常强大,iptables内置了filter,nat和mangle三张表. (1)filter表负责过滤数 ...
最新文章
- 基于zookeeper的solrCloud集群搭建
- 五.获得MYSQL数据库自动生成的主键
- Oracle PL/SQL语言入门
- jquery实现倒计时
- Shallow and retained sizes
- 阿里云混合云Apsara Stack 2.0发布 加速政企数智创新
- kubernetes权威指南_如何快速上手成为大厂标配的kubernetes?
- 指出Linux内核中boot,uBoot和Linux内核中涉及到的几个地址参数的理解
- jQuery first()和last()函数示例
- C++之浅谈类与对象
- SQL基础---SQL DELETE 语句
- Interval GCD
- BZOJ1101 [POI2007] Zap
- 小米手机的专用计算机连接软件,详细教您小米手机怎么连接电脑
- Chrome浏览器升级80以后导致重定向自动登录失效问题记录和解决方案
- android连接程序,从Android应用程序连接到本地后端
- 使用Spring实现AOP的三种方式
- org.springframework.jdbc.BadSqlGrammarException: Error updating database
- 华为苏箐被曝转投大众汽车:最狂智能车高管,因抨击特斯拉丢工作,任正非亲自签发罢免令...
- Linux命令 - userdel命令
热门文章
- 黄山市区到黄山风景区有多远,如何到黄山景区
- linux 内核rps,Linux kernel之网络rps
- 2019年云计算发展趋势,今年十大云计算趋势
- JavaScript数组求和
- animation动画--跳动
- 移动开发----byte(字节)根据长度转成KB(千字节)和MB(兆字节)
- java 银联支付_Java 银联支付官网demo测试及项目整合代码
- 温度及pH敏感性聚乙烯醇/羧甲基壳聚糖水凝胶/金银花多糖/薄荷多糖/O-羧甲基壳聚糖水凝胶
- SEM和TEM的相同点和不同点
- 笔记本 无线网联网 win10系统 ,台式机木有无线网卡,通过一根网线连接两台电脑,使台式机联网。...