一.訪問控制列表部分
ACL1:Established
一.拓撲圖
二.地址規劃
|
R1 |
F0/0 |
172.43.1.2 |
R2 |
S0/3/0 |
172.43.12.2 |
|
|
F0/1 |
172.43.2.2 |
|
S0/3/1 |
172.43.23.2 |
|
|
S0/3/0 |
172.43.12.1 |
R3 |
S0/3/1 |
172.43.23.3 |
|
PC1 |
|
172.43.1.100 |
|
F0/0 |
172.43.3.3 |
|
PC2 |
|
172.43.12.100 |
SEREVER |
|
172.43.3.100 |
三、實驗步驟
要求:
? 拒絕PC1 所在網段訪問Server 172.16.3.100 的Web 服務
? 拒絕PC2 所在網段訪問Server 172.16.3.100 的Ftp 服務
? 拒絕PC1 所在網段訪問Server 172.16.3.100 的SQL 服務
? 拒絕PC1 所在網段訪問路由器R3 的Telnet 服務
? 拒絕PC2 所在網段訪問路由器R2 的Web 服務
? 拒絕PC1 和PC2 所在網段ping Server 服務器
? 只允許路由器R3 以接口s0/0/1 為源ping 路由器R2 的接口s0/0/1 地址,而不允許路
由器R2 以接口s0/0/1 為源ping 路由器R3 的接口s0/0/1 地址,即單向ping.
(一)配置路由器
R1(config)#access-list 110 deny tcp 172.43.1.0 0.0.0.255 host 172.43.3.100 eq 80
//拒絕PC1 所在網段訪問Server 172.16.3.100 的Web 服務
R1(config)#access-list 110 deny tcp 172.43.2.0 0.0.0.255 host 172.43.3.100 eq 21
R1(config)#access-list 110 deny tcp 172.43.2.0 0.0.0.255 host 172.43.3.100 eq 20
//拒絕PC2 所在網段訪問Server 172.16.3.100 的Ftp 服務
R1(config)#access-list 110 deny tcp 172.43.1.0 0.0.0.255 host 172.43.3.100 eq
1433
//拒絕PC1 所在網段訪問Server 172.16.3.100 的SQL 服務
R1(config)#access-list 110 deny tcp 172.43.1.0 0.0.0.255 host 172.43.23.3 eq 23
R1(config)#access-list 110 deny tcp 172.43.1.0 0.0.0.255 host 172.43.3.3 eq 23
//拒絕PC1 所在網段訪問路由器R3 的Telnet 服務
R1(config)#access-list 110 deny tcp 172.43.2.0 0.0.0.255 host 172.43.12.2 eq 80
R1(config)#access-list 110 deny tcp 172.43.2.0 0.0.0.255 host 172.43.23.2 eq 80
//拒絕PC2 所在網段訪問路由器R2 的Web 服務
R1(config)#access-list 110 deny icmp 172.43.1.0 0.0.0.255 host 172.43.3.100
R1(config)#access-list 110 deny icmp 172.43.2.0 0.0.0.255 host 172.43.3.100
//拒絕PC1 和PC2 所在網段ping Server 服務器
R1(config)#access-list 110 permit ip any any
R1(config)#int s0/0/0
R1(config-if)#ip access-group 110 out //接口下應用ACL
(二)配置路由器R3
R3(config)#access-list 120 deny icmp host 172.43.23.2 host 172.43.23.3 echo
R3(config)#access-list 120 permit ip any any
R3(config)#int s0/0/1
R3(config-if)#ip access-group 120 in
四、實驗調試
(一)路由器R1 上查看ACL110
(二)路由器R3 和路由器R2 互相ping
(三)路由器R3 查看ACL 120
ACL2:自反ACL
一.拓撲圖
二.網絡地址規劃
|
R1 |
F0/0 |
10.43.1.1 |
R3 |
F0/0 |
10.43.1.3 |
|
|
F0/1 |
14.43.1.1 |
R4 |
F0/0 |
14.43.1.4 |
|
R2 |
F0/0 |
10.43.1.2 |
|
|
|
1.配置拒絕外網主動訪問內網
拒絕外網主動訪問內網,但是ICMP可以不受限制
(1)配置允許ICMP可以不用標記就進入內網,其它的必須被標記才返回
r1(config)#ip access-list extended come
r1(config-ext-nacl)#permit icmp any any 被允許的ICMP是不用標記即可進入內網的
r1(config-ext-nacl)#evaluate YYX 其它要進入內網的,必須是標記為abc的
(2)應用ACL
r1(config)#int f0/1
r1(config-if)#ip access-group come in
2.測試結果
(1)測試外網R4的ICMP訪問內網
說明:可以看到,ICMP是可以任意訪問的
(2)測試外網R4 telnet內網
說明:可以看到,除ICMP之外,其它流量是不能進入內網的。
(1) 測試內網R2的ICMP訪問外網
說明:可以看到,內網發ICMP到外網,也正常返回了
(2) 測試內網R2發起telnet到外網
說明:可以看到,除ICMP之外,其它流量是不能通過的。
3.配置內網向外網發起的telnet被返回
說明:外網和內網之間的ICMP可以不受限制,外網不能telnet內網,但內網telnet外網時,需要配置記錄,讓其返回,根據上面的ACL配置,可以返回的,必須是標為abc的,所以在此為內網發向外網的telnet標為abc,返回時,就會有缺口,因此內網能正常telnet外網,但外網不可主動telnet內網。
(1)配置內網出去時,telnet被記錄為abc,將會被允許返回
r1(config)#ip access-list extended goto
r1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60 telnet已記為abc
r1(config-ext-nacl)#permit ip any any
(2)應用ACL
r1(config)#int f0/1
r1(config-if)#ip access-group goto out
4.測試結果
(1)查看R2到外網的ICMP
說明:ICMP屬正常
(3)查看內網向外網發起telnet
說明:可以看出,此時內網發向外網的telnet因為被標記為abc,所以在回來時,開了缺口,也就可以允許返回了。
(3) 查看ACL
說明:可以看到,有一條為abc的ACL為允許外網到內網的telnet,正是由于內網發到外網的telnet被標記了,所以也自動產生了允許其返回的ACL,并且后面跟有剩余時間。
ACL2:動態ACL
一.拓撲圖
三.網絡地址規劃
|
R1 |
F0/0 |
10.43.1.1 |
R3 |
F0/0 |
10.43.1.3 |
|
|
F0/1 |
14.43.1.1 |
R4 |
F0/0 |
14.43.1.4 |
|
R2 |
F0/0 |
10.43.1.2 |
|
|
|
1.配置Dynamic ACL
(1)配置默認不需要認證就可以通過的數據,如telnet
r1(config)#access-list 100 permit tcp an an eq telnet
(2)配置認證之后才能通過的數據,如ICMP,絕對時間為2分鐘。
r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any
(3)應用ACL
r1(config)#int f0/0
r1(config-if)#ip access-group 100 in
2.測試訪問
(1)測試內網R2 telnet外網R4
說明:從結果中看出,telnet不受限制。
(3)測試測試內網R2 ping外網R4
(4)
說明:內網在沒有認證之前,ICMP是無法通過的。
3.配置本地用戶數據庫
r1(config)#username ccie password cisco
4.配置所有人的用戶名具有訪問功能
r1(config)#line vty 0 181
r1(config-line)#login local
r1(config-line)#autocommand access-enable 這條必加
5. 內網R2做認證
說明:當telnet路由器認證成功后,是會被關閉會話的。
6.測試內網到外網的ICMP通信功能
說明:認證通過之后,ICMP被放行。
7.查看ACL狀態
說明:可以看到動態允許的流量已放行。
8.host功能
第一種:r1(config-line)#autocommand access-enable //如果沒有加host,那么內網一臺主機通過認證之后,所有主機都能訪問外網
第二種:r1(config-line)# autocommand access-enable host //加了host,就變成誰通過了認證,誰才能訪問外網。
有配置訪問功能時,命令有兩種,并且后面可以跟時間,這里的時間為空閑時間,必須比之前的絕對時間要小,在配置訪問功能時,如果沒有加host,那么內網一臺主機通過認證之后,所有主機都能訪問外網,加了host,就變成誰通過了認證,誰才能訪問外網。
ACL2:基于時間的ACL
一.拓撲圖
四.網絡地址規劃
|
R1 |
F0/0 |
10.43.1.1 |
R3 |
F0/0 |
10.43.1.3 |
|
|
F0/1 |
14.43.1.1 |
R4 |
F0/0 |
14.43.1.4 |
|
R2 |
F0/0 |
10.43.1.2 |
|
|
|
1.配置time-range
r1(config)#time-range TELNET
r1(config-time-range)#periodic weekdays 9:00 to 15:00
說明:定義的時間范圍為每周一到周五的9:00 to 15:00
2.配置ACL
說明:配置R1在上面的時間范圍內拒絕R2到R4的telnet,其它流量全部通過。
r1(config)#access-list 150 deny tcp host 10.43.1.2 any eq 23 time-range TELNET
r1(config)#access-list 150 permit ip any any
3.應用ACL
r1(config)#int f0/0
r1(config-if)#ip access-group 150 in
4.測試時間范圍內的流量情況
(1)查看當前R1的時間
說明:當前時間為周四14:34,即在所配置的時間范圍內。
(2)測試R2向R4發起telnet會話
說明:可以看到,在規定的時間范圍內,R2向R4發起telnet會話是被拒絕的。
(3)測試除telnet外的其它流量
說明:可以看到,在規定的時間范圍內,除了telnet之外,其它流量不受限制。
(4)測試除R2之外的設備telnet情況
說明:可以看到,除R2之外,其它設備telnet并不受限制。
5.測試時間范圍外的流量情況
(1)查看當前R1的時間
說明:當前時間為周四15:01,即在所配置的時間范圍之外。
(2)測試R2向R4發起telnet會話
說明:在時間范圍之外,所限制的流量被放開。
二.防火墻
基于上下文的訪問控制
一.拓撲圖
二.地址規劃
|
R1 |
Fa0/1 |
192.168.43.1 |
255.255.255.0 |
N/A |
|
S0/0/0 |
10.43.1.1 |
255.255.255.252 |
N/A |
|
|
R2 |
S0/0/0 |
10.43.1.2 |
255.255.255.252 |
N/A |
|
S0/0/1 |
10.43.2.2 |
255.255.255.252 |
N/A |
|
|
R3 |
Fa0/1 |
192.43.3.1 |
255.255.255.0 |
N/A |
|
S0/0/1 |
10.43.2.1 |
255.255.255.252 |
N/A |
|
|
PC-A |
NIC |
192.43.1.3 |
255.255.255.0 |
192.43.1.1 |
|
PC-C |
NIC |
192.43.3.3 |
255.255.255.0 |
192.43.3.1 |
Task1:Block Traffic FromOutside
任務1:阻隔外網流量
第一步 驗證基本的網絡連通性
配置防火墻之前先驗證網絡連通性
· 在PC-C的命令提示符中ping PC-A服務器
在PC-C命令提示符中telnet路由R2的s0/0/1接口:地址時10.2.2.2.退出telnet階段
· 在PC-C開一個網頁瀏覽器登入PC-A來展示網頁。關掉PC-C的瀏覽器。
·
· 在PC-A的命令提示符ping PC-C
·
第二步 在R3配置一個命名IP ACl阻隔所有外網產生的流量。
用ip access-list extended指令創造一個已命名的IP ACL
R3(config)# ip access-list extended OUT-IN R3(config-ext-nacl)# deny ip any any R3(config-ext-nacl)# exit
第三步 在s0/0/1應用ACl
R3(config)# interface s0/0/1
R3(config-if)# ip access-group OUT-IN in
第四步 確保進入s0/0/1接口的流量被阻隔
在PC-C命令提示符ping PC-A服務器。ICMP回送響應會被ACL阻隔。
任務2:創建一個CBAC檢測規則
第一步 創建一個檢測規則來檢測ICMP,Telnet,和HTTP流量。
第二步 開啟時間戳記記錄和CBAC審計跟蹤信息。
用ip inspect audit-trail指令去開啟CBAC審計信息來提供關于通過防火墻的網絡接入記錄,包括非法訪問嘗試。用logging host指令在syslog服務器啟用日志記錄、關于192.43.1.3。確保登錄消息打上時間標記。
R3(config)# ip inspect audit-trail
R3(config)# service timestamps debug datetime msec
R3(config)# logging host 192.43.1.3
第三步 對在s0/0/1的出口流量用檢測規則。
R3(config-if)# ip inspect IN-OUT-IN out
第四步 驗證審計跟蹤信息正被syslog服務器記錄
在PC-C 成功ping、telnet訪問PC-A來檢測連通性。需要注意Telnet不了。
在PC-A,ping,Telnet PC-C來檢測連通性,這兩步都被阻隔掉
查看icmp日志
基于區域策略的防火墻
三.拓撲圖
四.地址規劃
|
R1 |
Fa0/1 |
192.168.43.1 |
255.255.255.0 |
N/A |
|
S0/0/0 |
10.43.1.1 |
255.255.255.252 |
N/A |
|
|
R2 |
S0/0/0 |
10.43.1.2 |
255.255.255.252 |
N/A |
|
S0/0/1 |
10.43.2.2 |
255.255.255.252 |
N/A |
|
|
R3 |
Fa0/1 |
192.43.3.1 |
255.255.255.0 |
N/A |
|
S0/0/1 |
10.43.2.1 |
255.255.255.252 |
N/A |
|
|
PC-A |
NIC |
192.43.1.3 |
255.255.255.0 |
192.43.1.1 |
|
PC-C |
NIC |
192.43.3.3 |
255.255.255.0 |
192.43.3.1 |
驗證基本網絡連通性。
驗證網絡連通性以便配置ZPF
第一步 PC-A ping通PC-C。
第二步 PC-C telnet到s0/0/1接口。
第三步 PC-C登到PC-A的網頁。
Task 2:在R3創建區域防火墻
第一步 創建一個內部區域。
用 zone security創建區域IN-ZONE
R3(config)# zone security IN-ZONE
第二步 創建外部區域
.用 zone security創建區域OUT-ZONE
R3(config-sec-zone)# zone security OUT-ZONE
R3(config-sec-zone)# exit
定義一個流量級別和訪問列表
.
第一步 創建一個用來定義內部流量的ACL
用access-list創建擴展ACL101來在IP層面允許所有從……源網絡地址訪問到任何其他地址。
R3(config)# access-list 101 permit ip 192.43.3.0 0.0.0.255 any
第二步 創建一個涉及內部流量ACL的class map
用 class map type inspect (match all)來創建一個叫 class map type inspect 的class map,用match access-group匹配ACL
R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP
R3(config-cmap)# match access-group 101
R3(config-cmap)# exit
指定防火墻策略
第一步 創建一個策略圖來確定對匹配的流量干啥。
用 policy-map type inspect創建策略圖IN-2-OUT-PMAP
R3(config)# policy-map type inspect IN-2-OUT-PMAP
第二步 定義一個檢測級別類型和參考策略圖。
R3(config-pmap)# class type inspect IN-NET-CLASS-MAP
第三步 定義檢測策略圖
Inspect這個指令調用基于上下文的訪問控制(其他還有通過和丟棄)
R3(config-pmap-c)# inspect
%No specific protocol configured in class IN-NET-CLASS-MAP for inspection. All protocols will be inspected.
輸exit兩次退出config-pmap-c模式,回到全局模式
R3(config-pmap-c)# exit
R3(config-pmap)# exit
應用防火墻策略
第一步 創建一對區域
用zone-pair security創建一個區域對IN-2-OUT-ZPAIR對任務一中創建的區域進行源和目的區域定義
R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE
第二步 定義策略圖來控制兩個區域的流量。
用 service-policy type inspect把策略圖和關聯活動附加到區域對,參考之前創建的策略圖IN-2-OUT-PMAP.
R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP
R3(config-sec-zone-pair)# exit R3(config)#
第三步 把端口調用到合適的安全區域。
在端口的全局模式用zone-member security來把F0/1調用到IN-ZONE ,把S0/0/1調用到OUT-ZONE
R3(config)# interface fa0/1
R3(config-if)# zone-member security IN-ZONE
R3(config-if)# exit
R3(config)# interface s0/0/1
R3(config-if)# zone-member security OUT-ZONE
R3(config-if)# exit
第四步 寫入啟動配置
任務6 測試從IN-ZONE到OUT-ZONE的防火墻功能
驗證內配置ZPF后內部能訪問外部
第一步 PC_C ping PC-A服務器
從PC-C能成功ping到PC-A
第二步 從PC-Ctelnet到R2 的s0/0/1口
從PC-C telnet到R2輸密碼ciscovtypa55,能telnet到。順便在R3輸show policy-map type inspect zone-pair sessions看完成情況。
第三步 關掉PC-C的Telnet
第四步 PC-C打開網頁登到PC-A的服務器
Task 7:Test Firewall Functionality from OUT-ZONE to IN-ZONE
第七步 測試外部區域到內部區域的防火墻功能
驗證配置ZPF之后外部無法訪問內部。
第一步 PC-A ping PC-C(ping 不通)
第二步 R2 ping PC-C也ping不通
S tep 3. C heck res ults .
第三步 查看結果
你的完成情況應該是100%。點擊測試結果去看結果反饋并驗證哪些部分需要補充完成。
三.實驗總結
這次試驗讓我對acl訪問控制列表和兩種防火墻有了很深的認識。首先是acl訪問列表的三種:自反,動態和時間。其中自反是通過標記來放行報文,動態是通過密碼認證而時間則是規定某個時間段可以通過。這三中acl可以同時使用來達到對用戶的多方面控制訪問,同時在實驗中還懂得了怎樣設置擴展acl,在已有的acl中加入額外的訪問控制。Acl的指令大同小異,但是在設計的邏輯和攔截的路由器上有很大的不同。
在防火墻這塊,基于報文的這個應用到了acl部分的操作,先建表在應用到墻上而不是應用到端口,再在端口應用防火墻。二區域策略則是規劃內外兩個區域。規定兩個區域的訪問權限,從而達到攔截攻擊的目的。
這次試驗是pt軟件跟gns3軟件分開始用,主要是有很多指令在兩個上面各有不支持的地方,但是實際操作應該都是能使用的。實驗的過程跟結果都很好的印證了上課的內容,從結果上很直觀的反應了各個acl和防火墻的作用和目的。
浙公網安備 33010602011771號