防火墙的访问控制策略
仅供参考。有错请大神留言。
一、实验拓扑
|
设备名称 |
接口序号 |
IP地址 |
备注 |
|
R1-姓名简拼 |
0 |
202.100.1.1/24 |
|
|
loopback0 |
100.100.100.100/32 |
||
|
R2-姓名简拼 |
0 |
202.100.2.1/24 |
|
|
loopback0 |
100.100.100.100/32 |
||
|
R3-姓名简拼 |
0 |
192.168.10.1/24 |
|
|
loopback0 |
192.168.20.1/24 |
||
|
loopback1 |
192.168.30.1/24 |
||
|
R4-姓名简拼 |
0 |
172.16.10.1/24 |
|
|
loopback0 |
172.16.20.1/24 |
||
|
loopback1 |
172.16.30.1/24 |
||
|
ASA-姓名简拼 |
0 |
202.100.1.254/24 |
需要为ASA设置5个以上的接口 |
|
1 |
202.100.2.254/24 |
||
|
2 |
192.168.10.254/24 |
||
|
3 |
172.16.10.254/24 |
||
|
4 |
192.168.**.100 |
**为个人学号后两位 |
|
|
windows 21 |
网卡适配器 |
DHCP(或者手动配置192.168.**.1;**为个人学号后两位) |
在szx_lab平台上创建对象为“网络”,类型为“management(cloud0)” |
二、实验需求:
需求1:按照拓扑的规划完成各路由器的命名及接口IP配置
需求2:R3路由器上开启http服务,R4路由器上开启telnet服务
需求3:R1和R2路由器配置默认路由,下一跳为相应的防火墙接口地址
需求4:完成防火墙的基础配置
- 按照拓扑的要求完成各接口的IP地址、安全级别和nameif的配置
- 防火墙配置2条等价默认路由,使得访问Internet网络能够负载均衡
- 防火墙上配置访问控制策略,允许Internet网络的流量能够在工作时间(周一到周五)上午9点~下午18点之间可以访问dmz区域内192.168.10.1主机的http服务。
- 防火墙上使用object group创建访问控制策略,允许internet网络的流量能够访问dmz区域内192.168.20.1、192.168.30.1主机的http/ssh/https的服务。
- 网络管理员怀疑inside内部中有一台主机(172.16.20.1)有问题,想暂时禁止此主机访问(同时也拒绝其他人访问此主机),请给出解决方案
- 在防火墙上配置安全策略,禁止出现仿冒源IP地址攻击。
- 防火墙上配置全局访问控制策略,拒绝任何流量访问inside网络中任何主机的telnet。
三、配置步骤(所有的关键命令配置以文本的形式呈现,不要截图。)
3.1需求1:按照拓扑的规划完成各路由器的命名及接口IP配置
|
R1设备 |
|
关键配置命令 Router(config)#ho R1 R1 (config)#int e0/0 R1 (config-if)#ip add 202.100.1.1 255.255.255.0 R1 (config-if)#no shu R1 (config-if)#ex R1 (config)#int loopback 0 R1 (config-if)#ip add 100.100.100.100 255.255.255.255 |
|
R2设备 |
|
关键配置命令 Router(config)#hostname R2 R2 (config)#int e0/0 R2 (config-if)#ip add 202.100.2.1 255.255.255.0 R2 (config-if)#no shu R2 (config-if)#exit R2 (config)#int loopback 0 R2 (config-if)#ip add 100.100.100.100 255.255.255.255 |
|
R3设备 |
|
关键配置命令 Router(config)#hostname R3 R3 (config)#int e0/0 R3 (config-if)#ip add 192.168.10.1 255.255.255.0 R3 (config-if)#no shu R3 (config-if)#exit R3 (config)#int loopback 0 R3 (config-if)#ip add 192.168.20.1 255.255.255.0 R3 (config-if)#int loopback 1 R3 (config-if)#ip add 192.168.30.1 255.255.255.0 |
|
R4设备 |
|
关键配置命令 Router(config)#ho R4 R4 (config)#int e0/0 R4 (config-if)#ip add 172.16.10.1 255.255.255.0 R4 (config-if)#no shu R4 (config-if)#ex R4 (config)#int loopback 0 R4 (config-if)#ip add 172.16.20.1 255.255.255.0 R4 (config-if)#int loopback 1 R4 (config-if)#ip add 172.16.30.1 255.255.255.0 |
|
在R1/R2/R3/R4设备上输入验证命令:show ip interface brief |
|
R1验证截图:
R2验证截图:
R3验证截图:
R4验证截图:
|
3.2需求2:R3路由器上开启http服务,R4路由器上开启telnet服务
|
R3设备 |
|
关键配置命令 R3 (config)#ip http server |
|
R4设备 |
|
关键配置命令 R4 (config)#line vty 0 4 R4 (config-line)#password 123 R4 (config-line)#transport input telnet R4 (config-line)#login R4 (config-line)#exit |
|
在R3设备上输入验证命令:telnet 192.168.10.1 80 |
|
R3验证截图:
|
|
在R4设备上输入验证命令:telnet 172.16.10.1 |
|
R4验证截图:
|
3.3需求3:R1和R2路由器配置默认路由,下一跳为相应的防火墙接口地址
|
R1设备 |
|
关键配置命令 R1 (config)#ip route 0.0.0.0 0.0.0.0 202.100.1.254 |
|
R2设备 |
|
关键配置命令 R2 (config)#ip route 0.0.0.0 0.0.0.0 202.100.2.254 |
|
在R1/R2设备上输入验证命令:show ip route |
|
R1验证截图:
R2验证截图:
|
3.4需求4:完成防火墙的基础配置
- 按照拓扑的要求完成各接口的IP地址、安全级别和nameif的配置
|
ASA设备 |
|
关键配置命令 ASA(config)# int e0 ASA(config-if)# ip add 202.100.1.254 255.255.255.0 ASA(config-if)# no shu ASA(config-if)# int e1 ASA(config-if)# ip add 202.100.2.254 255.255.255.0 ASA(config-if)# no shu ASA(config-if)# int e2 ASA(config-if)# ip add 192.168.10.254 255.255.255.0 ASA(config-if)# security-level 50 ASA(config-if)# no shu ASA(config-if)# int e3 ASA(config-if)# ip add 172.16.10.254 255.255.255.0 ASA(config-if)# no shu ASA(config-if)# int e4 ASA(config-if)# ip add 192.168.51.100 255.255.255.0 ASA(config-if)# no shu ASA(config-if)# ex ASA(config)# int e0 ASA(config-if)# nameif Internet INFO: Security level for "Internet" set to 0 by default. ASA(config-if)# int e1 ASA(config-if)# nameif Internet ERROR: Name "Internet" has been assigned to interface Ethernet0 ASA(config-if)# int e2 ASA(config-if)# nameif DMZ INFO: Security level for "DMZ" set to 0 by default. ASA(config-if)# int e3 ASA(config-if)# nameif Inside INFO: Security level for "Inside" set to 100 by default. ASA(config-if)# int e4 ASA(config-if)# nameif MGMT INFO: Security level for "MGMT" set to 0 by default. ASA(config-if)# |
|
在ASA上输入命令show interface ip brief |
|
ASA验证截图:
|
- 防火墙配置2条等价默认路由,使得访问Internet网络能够负载均衡
|
ASA设备 |
|
关键配置命令 ASA(config)# route Internet 0.0.0.0 0.0.0.0 202.100.1.1 1 ASA(config)# route Internet1 0.0.0.0 0.0.0.0 202.100.2.1 2 |
|
在ASA上输入命令show route |
|
ASA验证截图:
|
- 防火墙上配置访问控制策略,允许Internet网络的流量能够在工作时间(周一到周五)上午9点~下午18点之间可以访问dmz区域内192.168.10.1主机的http服务。
|
ASA设备 |
|
关键配置命令 ASA(config)# clock timezone beijin +8 ASA(config)# clock set 15:13:00 27 May 2022 ASA(config)# time-range http_Internert ASA(config-time-range)# periodic weekdays 9:00 to 18:00 ASA(config)#access-list In-DMZ-http extended permit tcp 202.100.1.0 255.255.255.0 host 192.168.10.1 eq http time-range http_Internert ASA(config)# access-group In-DMZ-http in interface Internet R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.254 |
|
在R1上输入命令telnet 192.168.10.1 80 |
|
R1验证截图:
|
- 防火墙上配置访问控制策略,允许internet网络的流量能够访问dmz区域内192.168.20.1、192.168.30.1主机的http/ssh/https的服务。
|
ASA设备 |
|
关键配置命令 ASA(config)# object-group service IN-ser ASA(config-service-object-group)# service-object tcp destination eq http ASA(config-service-object-group)# service-object tcp destination eq https ASA(config-service-object-group)# service-object tcp destination eq ssh ASA(config-service-object-group)# exit ASA(config)# object-group network IN-DMZ ASA(config-network-object-group)# network-object host 192.168.20.1 ASA(config-network-object-group)# network-object host 192.168.30.1 ASA(config)# access-list IN-DM extended permit object-group IN-ser 202.100.1.0 255.255.255.0 object-group IN-DMZ ASA(config)# access-group IN-DM in interface Internet ASA(config)# route DMZ 192.168.20.1 255.255.255.0 192.168.10.1 ASA(config)# route DMZ 192.168.30.1 255.255.255.0 192.168.10.1 |
|
|
1)R1验证截图:
2)R1验证截图:
|
- 网络管理员怀疑inside内部中有一台主机(172.16.20.1)有问题,想暂时禁止此主机访问(同时也拒绝其他人访问此主机),请给出解决方案
|
ASA设备 |
|
关键配置命令 R3(config)#access-list 20 demy host 192.168.20.1 R3(config)#int loopback 0 R3(config-if)#ip access-group 20 in ASA(config)# shun 192.168.20.1 |
|
在ASA上输入命令show shun |
|
ASA验证截图:
|
- 在防火墙上配置安全策略,禁止出现仿冒源IP地址攻击。
|
ASA设备 |
|
关键配置命令 ASA(config)# ip verify reverse-path interface Internet |
- 防火墙上配置全局访问控制策略,拒绝任何流量访问inside网络中任何主机的telnet。
配置命令或过程
|
ASA设备 |
|
关键配置命令 ASA(config)# access-list IN-te extended demy tcp any 192.168.0.0 255.255.0.0 eq telnet ASA(config)# access-group IN-te in interface inside |
防火墙的访问控制策略相关推荐
- Tungsten Fabric SDN — 基于 Tags 的安全访问控制策略
目录 文章目录 目录 传统的安全访问控制策略 基于 Tags(标签)的安全访问控制策略 Application Tag 传统的安全访问控制策略 传统的的防火墙策略是针对单一 IP 地址,或 Subne ...
- 锐捷交换机访问控制策略配置实例
锐捷交换机访问控制策略配置实例 一.应用场景&功能需求: 1.校内访问外网和内部服务器不受限制: 2.每天23:00至第二天早上7:00这段时间不允许外网IP访问校内服务器. 原本这种事情应该 ...
- Windows防火墙增加访问端口
如果你用Windows做服务器,假如你的服务使用了81端口,默认从外面是不能访问的,需要做防火墙的设置. 打开"控制面板"-检查防火墙状态 点击左侧-高级设置 点击左侧-入站规则- ...
- 信息安全之访问控制策略
信息安全之访问控制策略 1.自主访问控制 2.强制访问控制 3.基于角色的访问控制 4.基于任务的访问控制 5.基于对象的访问控制 1.自主访问控制 根据主体的身份及允许访问的权限进行决策. 自主是指 ...
- oracle访问控制策略查看,ORACLE 安全访问策略VPD与ORA-28132
今天下午,开发同事反馈,某地市的医保oracle数据库执行存储过程报错,报错信息是ORA-28132: ERROR IS:ORA-28132: MERGE INTO 语法不支持安全策略 相关的sql语 ...
- 计算机访问控制机制,访问控制策略和机制-信息安全工程师知识点
信息安全工程师知识点:访问控制策略和机制 访问控制涉及到三个基本概念,即主体.客体和授权访问. 主体:一个主动的实体,该实体造成了信息的流动和系统状态的改变,它包括商户.用户组.终端.主机或一个应用, ...
- 华为交换机访问控制策略
实验环境使用华为eNSP(1.2.00.500),交换机版本V2R1,在LSW1做访问策略,拓扑如下: PC1:10.0.80.254; PC2:10.0.89.254; PC3:10.0.8 ...
- 皓峰防火墙越权访问漏洞
皓峰防火墙越权访问漏洞 1.皓峰防火墙漏洞 1.1.漏洞描述 1.2.FOFA搜索 1.3.漏洞影响 1.4.漏洞复现 1.4.1.登录页面 1.4.2.构建漏洞URL 1.皓峰防火墙漏洞 1.1.漏 ...
- 学习阿里云的访问控制策略
学习阿里云的访问控制 我们使用访问控制策略来描述如何保护系统中的资源, 准许执行哪些操作, 禁止执行哪些操作. 本文从常见的访问控制策略入手, 逐步了解阿里云平台的访问控制策略表达方法. 常见的访问控 ...
- Linux防火墙配置—访问外网WEB
一.实验目标 1.本次实验在"Linux基础网络搭建实验"的基础上,在外网虚拟机上搭建WEB服务,并分别配置外网和网关的防火墙规则,使内网能够访问WEB服务 2.Linux基础网络 ...
最新文章
- 使用jquery合并表格中相同文本的相邻单元格
- Hacker's Browser
- Unity手游之路九自动寻路Navmesh之高级主题
- IO编程__字节流__输入、输出__图片移动
- shell之通过if [ $? != 0 ]判断上次程序是否执行成功
- 【刘文彬】 Controller:EOS区块链核心控制器
- 什么是UPS电源系统
- 【王道操作系统笔记】进程定义组成组织方式特征
- 三、北京54坐标系与西安80坐标系
- 微信公众号+商户平台参数配置
- 技术界中的虚拟机、容器和沙箱的关系
- h5 android 重力 晃动,H5案例分享:html5重力感应事件(示例代码)
- Python与企业微信-3
- 数据库一对一、一对多、多对多,表设计
- java在win8闪退_win8.1应用闪退
- 斐讯dns服务器未响应,p.to手机登录界面
- 机器学习实战——人脸表情识别
- Spring Boot 注解原理,自动装配原理,图文并茂,万字长文!
- TK 技术学习日记(一)
- Python 进阶版硬核课程【王的机器出品】