网络安全作业2
题目:防火墙技术综合实验
扩展ACL
实验拓扑以及地址规划
要求:
拒绝PC0 所在网段访问Server 172.84.3.100 的Web 服务
拒绝PC1 所在网段访问Server 172.84.3.100 的Ftp 服务
拒绝PC0 所在网段访问Server 172.84.3.100 的SQL 服务
拒绝PC0 所在网段访问路由器R3 的Telnet 服务
拒绝PC1 所在网段访问路由器R2 的Web 服务
拒绝PC0 和PC2 所在网段ping Server 服务器
只允许路由器R3 以接口s1/0 为源ping 路由器R2 的接口s0/0/1 地址,而不允许路
由器R2 以接口s1/0 为源ping 路由器R3 的接口s1/0 地址,即单向ping.
(一) 配置路由器(确保网络连通)
R1(config)#access-list 110 deny tcp 172.84.1.0 0.0.0.255 host 172.84.3.100 eq 80
//拒绝PC1 所在网段访问Server 172.84.3.100 的Web 服务
R1(config)#access-list 110 deny tcp 172.84.2.0 0.0.0.255 host 172.84.3.100 eq 21
R1(config)#access-list 110 deny tcp 172.84.2.0 0.0.0.255 host 172.84.3.100 eq 20
//拒绝PC2 所在网段访问Server 172.84.3.100 的Ftp 服务
R1(config)#access-list 110 deny tcp 172.84.1.0 0.0.0.255 host 172.84.3.100 eq
1433
//拒绝PC1 所在网段访问Server 172.84.3.100 的SQL 服务
R1(config)#access-list 110 deny tcp 172.84.1.0 0.0.0.255 host 172.84.23.3 eq 23
R1(config)#access-list 110 deny tcp 172.84.1.0 0.0.0.255 host 172.84.3.3 eq 23
//拒绝PC1 所在网段访问路由器R3 的Telnet 服务
R1(config)#access-list 110 deny tcp 172.84.2.0 0.0.0.255 host 172.84.12.2 eq 80
R1(config)#access-list 110 deny tcp 172.84.2.0 0.0.0.255 host 172.84.23.2 eq 80
//拒绝PC2 所在网段访问路由器R2 的Web 服务
R1(config)#access-list 110 deny icmp 172.84.1.0 0.0.0.255 host 172.84.3.100
R1(config)#access-list 110 deny icmp 172.84.2.0 0.0.0.255 host 172.84.3.100
//拒绝PC1 和PC2 所在网段ping Server 服务器
R1(config)#access-list 110 permit ip any any
R1(config)#int s1/0
R1(config-if)#ip access-group 110 out //接口下应用ACL
(二)配置路由器R3
R3(config)#access-list 120 deny icmp host 172.84.23.2 host 172.84.23.3 echo
R3(config)#access-list 120 permit ip any any
R3(config)#int s1/0
R3(config-if)#ip access-group 120 in
四、实验调试
(一)路由器R1 上查看ACL110
R1#show ip access-lists 110
(二)路由器R3 和路由器R2 互相ping
(三)路由器R3 查看ACL 120
R3#show ip access-lists 120
(四)配置命令扩展ACL
R3(config)#ip access-list extended acl120
R3(config-ext-nacl)#deny icmp host 172.84.23.2 host 172.84.23.3 echo
R3(config-ext-nacl)#permit ip any any
R3(config-ext-nacl)#int s1/0
R3(config-if)#ip access-group acl120 in
R3#show ip access-lists
自反ACL
拓扑以及地址规划
Ping 通截图
- 配置拒绝外网主动访问内网
配置允许ICMP可以不用标记就进入内网,其它的必须被标记才返回
r1(config)#ip access-list extended come
r1(config-ext-nacl)#permit icmp any any 被允许的ICMP是不用标记即可进入内网的
r1(config-ext-nacl)#evaluate abc 其它要进入内网的,必须是标记为abc的
r1(config)#int f0/1
r1(config-if)#ip access-group come in
测试外网R4的ICMP访问内网以及外网R4 telnet内网
ICMP可进入内网 Telnet不能进入内网
测试内网R3的ICMP访问外网以及内网R3发起telnet到外网
- 配置内网向外网发起的telnet被返回
配置内网出去,telnet被记录为abc,将会被允许返回
r1(config)#ip access-list extended goto
r1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60 telnet已记为abc
r1(config-ext-nacl)#permit ip any any
r1(config)#int f0/1
r1(config-if)#ip access-group goto out
测试R3到外网的ICMP以及内网向外网发起telnet
查看ACL
Show ip access-lists
可知abc的ACL为允许外网到内网的telnet,正是由于内网发到外网的telnet被标记了,所以也自动产生了允许其返回的ACL,并且后面跟有剩余时间。
动态ACL
拓扑以及地址规划
实验前确保网络连通
1.配置Dynamic ACL
(1)配置默认不需要认证就可以通过的数据,如telnet
r1(config)#access-list 100 permit tcp an an eq telnet
(2)配置认证之后才能通过的数据,如ICMP,绝对时间为2分钟。
r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any
r1(config)#int f0/0
r1(config-if)#ip access-group 100 in
测试内网R2 telnet外网以及内网R2 ping外网R4
说明内网在没有认证之前,ICMP是无法通过的
3.配置本地用户数据库
r1(config)#username ccie password cisco
4.配置所有人的用户名具有访问功能
r1(config)#line vty 0 181
r1(config-line)#login local
r1(config-line)#autocommand access-enable
R2内网认证前后的内网到外网的ICMP结果对比 可知认证后的ICMP包允许通过
查看ACL状态
r1#show ip access-lists
配置基于上下文的访问控制
拓扑以及地址规
验证网络的联通性
server-0pingPC-0
1.在R2配置一个命名IP ACl阻隔所有外网产生的流量
R2(config)# ip access-list extended OUT-IN
R2(config-ext-nacl)# deny ip any any
R2(config-ext-nacl)# exit
R2(config)# interface s1/1
R2(config-if)# ip access-group OUT-IN in
在PC-0命令提示符ping service-0服务器。ICMP回送响应会被ACL阻隔。
2.创建一个CBAC检测规则
R2(config)# ip inspect name in-out-in icmp
R2(config)# ip inspect name in-out-in telnet
R2(config)# ip inspect name in-out-in http
R2(config)# ip inspect audit-trail
R2(config)# service timestamps debug datetime msec
R2(config)# logging host 192.84.1.3
R2(config)# interface s1/1
R2(config-if)# ip inspect in-out-in out
验证审计跟踪信息正被syslog服务器记录
在PC-0 成功通过ping、telnet访问service-0
在service-0无法通过ping,Telnet 访问PC-0
回顾在服务器service-0的syslog信息,在配置窗口点击syslog
配置基于区域策略的防火墙
拓扑以及地址规划
实验前确保网络连通
service-0 ping通PC-0
创建一个内部区域。
R2(config)# zone security IN-ZONE
R2(config-sec-zone)# zone security OUT-ZONE
R2(config-sec-zone)# exit
创建一个用来定义内部流量的ACL
R2(config)# access-list 101 permit ip 192.84.3.0 0.0.0.255 any
创建一个涉及内部流量ACL的class map
R2(config)# class-map type inspect match-all IN-NET-CLAA-MAP
R2(config-cmap)# match access-group 101
R2(config-cmap)# exit
创建一个策略图
R2(config)# policy-map type inspect IN-2-OUT-PMAP.
定义一个检测级别类型和参考策略图。
R2(config-pmap)# class type inspect IN-NET-CLAA-MAP
定义检测策略图
R2(config-pmap-c)# inspect
创建一对区域
R2(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE
定义策略图来控制两个区域的流量。
R2(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP
R2(config-sec-zone-pair)# exit
R2(config)#
把端口调用到合适的安全区域。
R2(config)# interface fa0/1
R2(config-if)# zone-member security IN-ZONE
R2(config-if)# exit
R2(config)# interface s1/1
R2(config-if)# zone-member security OUT-ZONE
R2(config-if)# exit
验证内配置ZPF后内部能访问外部
PC-0 ping service-0服务器并且telnet到R1的s1/1口
测试外部区域到内部区域的防火墙功能
R2ping PC-0
总结
这是个十分复杂、难度大的实验,在不断错误中过来,需要大量的时间、精力和较好配置的电脑。在配置过程中要细心配置每一条命令。通过这次实验,我对本门课程有了更多的了解。