防火墙技术

时间 2019-11-24

标签防火墙技术繁體版

原文原文链接

1、 拓扑图数据库

2、 地址规划 网络

路由session	接口tcp	地址测试
R1lua	F0/0spa	10.102.1.1/243d
R1lua	F0/1blog	14.102.2.1/24接口
R2	F0/1	10.102.1.2/24
R3	F1/0	10.102.1.3/24
R4	F0/1	14.102.2.2/24

3、 配置步骤

(一) 静态路由配置

先完成静态路由基础配置，实现路由器互通。

R1(config)#int f0/0

R1(config-if)#ip address 10.102.1.1 255.255.255.0

R1(config-if)#no shutdown

R1(config)#int f0/1

R1(config-if)#ip address 14.102.2.1 255.255.255.0

R1(config-if)#no shutdown

R4(config)#ip route 10. 102.1.0 255.255.255.0 14. 102.2.1

R3(config)#ip route 14. 102.2.0 255.255.255.0 10. 102.1.1

R2(config)#ip route 14. 102.2.0 255.255.255.0 10. 102.1.1

R2pingR4

R1pingR4

R4pingR2

路由已经能实现互通

(二) 标准acl：

R4(config)#access-list 1 deny 10.102.1.2 0.0.0.0

R4(config)#int f0/1

R4(config-if)# Ip access-group 1 in

R4(config-if)# end

Ping测试：

R2pingR4失败,则R4为外网，R2和R3为内网。

(三) 自反acl配置：

R1(config)#ip access-list extended come

R1(config-ext-nacl)#permit icmp any any

R1(config-ext-nacl)#evaluate abc

R1(config)#int f0/1

R1(config-if)#ip access-group come in

R1(config)#ip access-list extended goto

R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60

R1(config-ext-nacl)#permit ip any any

R1(config)#int f0/1

R1(config-if)#ip access-group goto out

测试：说明ICMP是能够任意访问的

除ICMP以外，其余流量是不能进入内网的\

R2telent

(四) 动态acl

R1(config)#access-list 100 permit tcp an an eq telnet

R1(config)#access-list 100 dynamic cc timeout 2 permit icmp any any

R1(config)#int f0/0

R1(config-if)#ip access-group 100 in

配置本地用户数据库

R1(config)#username cc password chufeng

R1(config)#line vty 0 181

R1(config-line)#login local

R1(config-line)#autocommand access-enable

测试内网R2 telnet外网R4

测试内网到外网的ICMP通讯功能

测试：R1#show ip access-lists

(五) 基于时间的acl

R1(config)#time-range telnet

R1(config-time-range)#periodic weekdays 9:00 to 14:00

R1(config)#access-list 150 deny tcp host 10.56.1.2 any eq 23 time

R1(config)#$ 150 deny tcp host 10.56.1.2 any eq 23 time-range TELNET

R1(config)#access-list 150 permit ip any any

R1(config)#int f0/0

R1(config-if)#ip access-group 150 in

测试：

R2 Ping R4

测试除R2以外的设备telnet状况

查看当前R1的时间

配置基于区域策略的防火墙

1、 拓扑图

2、 地址规划表

设别	接口	IP地址	子网掩码	网关地址
R1	F0/0	10.102.10.3	255.255.255.0	N/A
R1	S0/1/0	10.102.20.1	255.255.255.0	N/A
R2	S0/1/0	10.102.20.2	255.255.255.0	N/A
R2	S0/1/1	10.102.30.2	255.255.255.0	N/A
R3	S0/1/0	10.102.30.1	255.255.255.0	N/A
R3	F0/0	10.102.40.1	255.255.255.0	N/A
PC-A	NIC	10.102.10.3	255.255.255.0	10.102.10.254
PC-C	NIC	10.102.40.3	255.255.255.0	10.102.40.254

3、 配置步骤

（一） 配置静态路由使网络通畅

R1(config)#ip route 10.102.30.0 255.255.255.0 10.102.20.2

R1(config)#ip route 10.102.40.0 255.255.255.0 10.102.20.2

R2(config)#ip route 10.102.40.0 255.255.255.0 10.102.30.1

R2(config)#ip route 10.102.10.0 255.255.255.0 10.102.20.1

R3(config)#ip route 10.102.20.0 255.255.255.0 10.102.20.2

R3(config)#ip route 10.102.10.0 255.255.255.0 10.102.30.2

Ping测试

PC-A PING PC-C

PC-C PING PC-A

PC-C TELNET 到接口

PC-C登录 PC-A网页

（二） 配置R3区域防火墙

R3(config)#zone security IN-ZONE

R3(config-sec-zone)#zone security OUT-ZONE

R3(config)#access-list 101 permit ip 10.102.40.0 0.0.0.255 any

R3(config)#class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)#match access-group 101

R3(config)#policy-map type inspect IN-2-OUT-PMAP

R3(config-pmap)#class type inspect IN-NET-CLASS-MAP

R3 (config-pmap-c)# No specific protocol configured in class IN-NET-CLASS-MAP for inspection. All protocols will be inspected

R3 (config)#zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

R3 (config-sec-zone-pair)#service-policy type inspect IN-2-OUT-PMAP

R3(config)#int f0/0

R3(config-if)#zone-member security IN-ZONE

R3(config)#int s0/0/1

R3(config-if)#zone-member security OUT-ZONE

R3(config-if)#show policy-map type inspect zone-pair sessions

PING 测试

可见 PC -C能成功ping PC-A

4、总结

通过这个实验，让我对于防火墙的配置有了更深的理解和领悟，对于acl的配置以及解决问题方面能更进一步。这次实验作了三天的时间，经历重重困难。但最终终于成功配置而且完成实验。让个人实践理论的能力有更进一步的提高。