防火墙技术综合实验

时间 2019-11-19

标签防火墙技术综合实验繁體版

原文原文链接

扩展ACL

一，实验拓扑数据库

二，实验步骤：安全

（1）测试网络连通性，PC1 ping 服务器。服务器

（2）配置路由器R0网络

R0(config)#access-list 110 remark this is an example for extended acl//添加备注，增长可读性session

R0(config)#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.100 eq 80tcp

//拒绝PC1 所在网段访问Server 172.9.3.100 的Web 服务测试

R0(config)#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.3.100 eq 21this

R0(config)#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.3.100 eq 20lua

//拒绝PC2 所在网段访问Server 172.9.3.100 的Ftp 服务debug

R0(config)#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.100 eq

1433//拒绝PC1 所在网段访问Server 172.9.3.100 的SQL 服务

R0(config)#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.23.3 eq 23

R0(config)#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.3 eq 23

//拒绝PC1 所在网段访问路由器R2 的Telnet 服务

R0(config)#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.12.2 eq 80

R0(config)#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.23.2 eq 80

//拒绝PC2 所在网段访问路由器R2 的Web 服务

R0(config)#access-list 110 deny icmp 172.9.1.0 0.0.0.255 host 172.9.3.100

R0(config)#access-list 110 deny icmp 172.9.2.0 0.0.0.255 host 172.9.3.100

//拒绝PC1 和PC2 所在网段ping Server 服务器

R0(config)#access-list 110 permit ip any any

R0(config)#int s0/0/0

R0(config-if)#ip access-group 110 out //接口下应用ACL

（3）配置路由器R2

R2(config)#access-list 120 deny icmp host 172.9.23.2 host 172.9.23.3 echo

R2(config)#access-list 120 permit ip any any

R2(config)#int s0/0/1

R2(config-if)#ip access-group 120 in

三，实验调试

（1）路由器R0上查看ACL 110

（2）路由器R2和路由器R1，互相ping

（3）路由器R2上查看ACL 120

（4）配置命令扩展ACL

R2(config)#ip access-list extended acl120

R2(config-ext-nacl)#deny icmp host 172.9.23.2 host 172.9.23.3 echo

R2(config-ext-nacl)#permit ip any any

R2(config-ext-nacl)#int s0/0/1

R2(config-if)#ip access-group acl120 in

自反ACL

一，实验拓扑

一，实验步骤

（1）测试网络连通性，R2 ping R4

（1）配置拒绝外网主动访问内网

i. 配置容许ICMP能够不用标记进入内网，其它的必须被标记才返回

r1(config-ext-nacl)#permit icmp any any 被容许的ICMP是不用标记便可进入内网的

r1(config-ext-nacl)#evaluate abc 其它要进入内网的，必须是标记为abc的

ii. 应用ACL

r1(config)#int f0/1

r1(config-if)#ip access-group come in

iii. 测试外网R4的ICMP访问内网

说明：能够看到，ICMP是能够任意访问的

iv. 测试外网R4 telnet 内网

说明：能够看到，除ICMP外，其它流量是不能进入内网的

v. 测试内网R2的ICMP访问外网

说明：能够看到，内网发ICMP到外网，也正常返回了

vi. 测试内网R2发起telnet到外网

说明：能够看到，除ICMP外，其余流量是不能经过的

（3）配置内网向外网发起的telnet被返回

说明：外网和内网之间的ICMP能够不受限制，外网不能telnet内网，但内网telnet外网时，须要配置记录，让其返回，根据上面的ACL配置，能够返回的，必须是标为abc的，因此在此为内网发向外网的telnet标为abc，返回时，就会有缺口，所以内网能正常telnet外网，但外网不可主动telnet内网。

A：配置内网出去时，telnet被记录为abc,将会被容许返回

r1(config)#ip access-list extended goto

r1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60 telnet已记为abc

r1(config-ext-nacl)#permit ip any any

B：应用ACL

r1(config)#int f0/1

r1(config-if)#ip access-group goto out

三，实验调试

（1）查看R2到外网的ICMP

说明：ICMP属于正常

（2）查看内网向外网发起的telnet

说明：能够看出，此时内网向外网的telnet由于被标记为abc，因此再回来时，开了缺口，也就容许返回了

（3）查看ACL

说明：能够看到，有一条为abc的ACL为容许外网到内网的telnet，正是因为内网发到外网的telnet被标记了，因此也自动产生了容许其返回的ACL，而且后面跟有剩余时间。

动态ACL

一，实验原理

Dynamic ACL在一开始拒绝用户相应的数据包经过，当用户认证成功后，就临时放行该数据，可是在会话结束后，再将ACL恢复最初的配置。要定义Dynamic ACL何时恢复最初的配置，能够定义会话超时，即会话多久没有传数据，就断开，也能够定义绝对时间，即不管会话有没有结束，到了规定时间，也要断开。

二，实验拓扑

三，实验步骤

1，测试网络连通性

2，配置Dynamic ACL

r1(config)#access-list 100 permit tcp an an eq telnet

3，配置认证以后才能经过的数据，如ICMP，绝对时间为2分钟

r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

4，应用ACL

r1(config)#int f0/0

r1(config-if)#ip access-group 100 in

四，实验调试

1，测试内网R2 telnet 外网R4

说明：从结果中看出，telnet不受限制

2，测试内网R2 ping 外网R4

说明：内网在没有认证以前，ICMP是没法经过的

3，配置本地用户数据库

r1(config)#username ccie password cisco

4，配置全部人的用户名具备访问功能

r1(config)#line vty 0 181

r1(config-line)#login local

r1(config-line)#autocommand access-enable 这条必加

5，内网R2作认证

说明：当telnet路由器认证成功后，是会被关闭会话的

6，测试内网到外网的ICMP通讯功能

说明：认证经过以后，ICMP被放行

7，查看ACL状态

基于时间的ACL

一，实验原理

原理：要经过ACL来限制用户在规定的时间范围内访问特定的服务，首先设备上必须配置好正确的时间。在相应的时间要容许相应的服务，这样的命令，在配置ACL时，是正常配置的，可是，若是就将命令正常配置以后，默认是在全部时间内容许的，要作到在相应时间内容许，还必须为该命令加上一个时间限制，这样就使得这条ACL命令只在此时间范围内才能生效。而要配置这样的时间范围，是经过配置time-range来实现的，在time-range中定义好时间，再将此time-range跟在某ACL的条目以后，那么此条目就在该时间范围内起做用，其它时间是不起做用的。

二，实验拓扑

三，实验步骤

1，测试网络连通性

2，配置time-rang

r1(config)#time-range TELNET

r1(config-time-range)#periodic weekdays 9:00 to 15:00

说明：定义的时间范围为每周一到周五的9:00 to 15:00

3，配置ACL

说明：配置R1在上面的时间范围内拒绝R2到R4的telnet，其它流量所有经过。

r1(config)#access-list 150 deny tcp host 10.1.1.2 any eq 23 time-range TELNET

r1(config)#access-list 150 permit ip any any

4，应用ACL

r1(config)#int f0/0

r1(config-if)#ip access-group 150 in

四，实验调试

1，查看当前R1的时间

2，测试R2向R4发起的telnet会话

说明：当时时间再也不制定范围，因此能TELNET成功

基于上下文的访问控制

一，实验拓扑

二，实验步骤

1，测试网络连通性

2，在R2上配置一个命名为IP ACL阻隔全部外网产生的流量

用ip access-list extended指令创造一个已命名的IP ACL

R2(config)# ip access-list extended OUT-IN

R2(config-ext-nacl)# deny ip any any

R2(config-ext-nacl)# exit

3，应用ACL

R2(config)# interface s0/0/1

R2(config-if)# ip access-group OUT-IN in

说明：确保进入s0/0/1接口的流量被阻隔

4，建立一个CBAC检测规则

R2(config)# ip inspect name IN-OUT-IN icmp

R2(config)# ip inspect name IN-OUT-INtelnet

R2(config)# ip inspect name IN-OUT-INhttp

5，开启时间记录和CBAC审计信息

R2(config)# ip inspect audit-trail

R2(config)# service timestamps debug datetime msec

R2(config)# logging host 192.168.1.3

R2(config-if)# ip inspect IN-OUT-IN out

三，实验调试

1，验证审计跟踪信息正被syslog服务器记录

须要注意，telnet不了

2， show ip inspect sessions

3， show ip inspect config

区域策略防火墙

一，实验拓扑

二，实验步骤

1，测试网络连通性

PC ping 服务器

PC telnet 到R2上

PC登录到服务器的网页

2，在R2建立区域防火墙

R2(config)# zone security IN-ZONE

R2(config-sec-zone)# zone security OUT-ZONE

R2(config-sec-zone)# exit

3，定义一个流量级别和访问列表

R2(config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 any

R2(config)# class-map type inspect match-all IN-NET-CLASS-MAP

R2(config-cmap)# match access-group 101

R2(config-cmap)# exit

4，指定防火墙策略

R2(config)# policy-map type inspect IN-2-OUT-PMAP

R2(config-pmap)# class type inspect IN-NET-CLASS-MAP

R2(config-pmap-c)# inspect

5，应用防火墙策略

R2(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

R2(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R2(config-sec-zone-pair)# exit R2(config)#

R2(config)# interface fa0/1

R2(config-if)# zone-member security IN-ZONE

R2(config-if)# exit

R2(config)# interface s0/0/1

R2(config-if)# zone-member security OUT-ZONE

R2(config-if)# exit

三，实验调制

1，测试聪IN-ZONE到OUT-ZONE的防火墙功能

PC ping 服务器

PC telnet 到R2

R2上查看完成状况

2，测试外部区域到内部区域的防火墙功能

验证配置ZPF以后外部没法访问内部

服务器ping PC（ping不通）

R2 ping PC（ping 不通）

实验总结

本次实验将前面所学的网络安全知识进行从新的处理总结，经过从新作这些实验，我发现了他们之间存在必定的联系，好比配置防火墙是能够添加ACL规则进行安全加固，可是必需要理清他们的运做原理。本次实验我对防火墙和ACL进行了大概的总结，就是这两个协议都能抵御来自外网的攻击，提升网络安全性，可是对于来自内网的攻击难以抵御，且在应用前都必须通过反复验证，确保其可行性，不会阻碍正常的网络运行。