第13组_16通讯1班_084_防火墙技术

 

网络安全做业2 

题目：防火墙技术综合实验

 

扩展ACL

实验拓扑以及地址规划

 

 

 

要求：

拒绝PC0 所在网段访问Server 172.84.3.100 的Web 服务

拒绝PC1 所在网段访问Server 172.84.3.100 的Ftp 服务

拒绝PC0 所在网段访问Server 172.84.3.100 的SQL 服务

拒绝PC0 所在网段访问路由器R3 的Telnet 服务

拒绝PC1 所在网段访问路由器R2 的Web 服务

拒绝PC0 和PC2 所在网段ping Server 服务器

只容许路由器R3 以接口s1/0 为源ping 路由器R2 的接口s0/0/1 地址，而不容许路

由器R2 以接口s1/0 为源ping 路由器R3 的接口s1/0 地址，即单向ping.

 

（一）        配置路由器(确保网络连通)

 

R1(config)#access-list 110 deny tcp 172.84.1.0 0.0.0.255 host 172.84.3.100 eq 80

//拒绝PC1 所在网段访问Server 172.84.3.100 的Web 服务

 

R1(config)#access-list 110 deny tcp 172.84.2.0 0.0.0.255 host 172.84.3.100 eq 21

R1(config)#access-list 110 deny tcp 172.84.2.0 0.0.0.255 host 172.84.3.100 eq 20

//拒绝PC2 所在网段访问Server 172.84.3.100 的Ftp 服务

R1(config)#access-list 110 deny tcp 172.84.1.0 0.0.0.255 host 172.84.3.100 eq

1433

//拒绝PC1 所在网段访问Server 172.84.3.100 的SQL 服务

 

R1(config)#access-list 110 deny tcp 172.84.1.0 0.0.0.255 host 172.84.23.3 eq 23

R1(config)#access-list 110 deny tcp 172.84.1.0 0.0.0.255 host 172.84.3.3 eq 23

//拒绝PC1 所在网段访问路由器R3 的Telnet 服务

 

R1(config)#access-list 110 deny tcp 172.84.2.0 0.0.0.255 host 172.84.12.2 eq 80

R1(config)#access-list 110 deny tcp 172.84.2.0 0.0.0.255 host 172.84.23.2 eq 80

//拒绝PC2 所在网段访问路由器R2 的Web 服务

 

R1(config)#access-list 110 deny icmp 172.84.1.0 0.0.0.255 host 172.84.3.100

R1(config)#access-list 110 deny icmp 172.84.2.0 0.0.0.255 host 172.84.3.100

//拒绝PC1 和PC2 所在网段ping Server 服务器

R1(config)#access-list 110 permit ip any any

R1(config)#int s1/0

R1(config-if)#ip access-group 110 out //接口下应用ACL

（二）配置路由器R3

R3(config)#access-list 120 deny icmp host 172.84.23.2 host 172.84.23.3 echo

R3(config)#access-list 120 permit ip any any

R3(config)#int s1/0

R3(config-if)#ip access-group 120 in

4、实验调试

（一）路由器R1 上查看ACL110

R1#show ip access-lists 110

 

 

（二）路由器R3 和路由器R2 互相ping

 

 

 

 

（三）路由器R3 查看ACL 120

R3#show ip access-lists 120

 

 

（四）配置命令扩展ACL

R3(config)#ip access-list extended acl120

R3(config-ext-nacl)#deny icmp host 172.84.23.2 host 172.84.23.3 echo

R3(config-ext-nacl)#permit ip any any

R3(config-ext-nacl)#int s1/0

R3(config-if)#ip access-group acl120 in

R3#show ip access-lists

 

 

 

 

 

 

 

 

 

 

自反ACL

拓扑以及地址规划

 

 

Ping 通截图

 

 

 

 

1. 配置拒绝外网主动访问内网

配置容许ICMP能够不用标记就进入内网，其它的必须被标记才返回

r1(config)#ip access-list extended come

r1(config-ext-nacl)#permit icmp any any    被容许的ICMP是不用标记便可进入内网的

r1(config-ext-nacl)#evaluate abc                其它要进入内网的，必须是标记为abc的

r1(config)#int f0/1

r1(config-if)#ip access-group come in

测试外网R4的ICMP访问内网以及外网R4 telnet内网

 

 

ICMP可进入内网  Telnet不能进入内网

测试内网R3的ICMP访问外网以及内网R3发起telnet到外网

 

 

1. 配置内网向外网发起的telnet被返回

配置内网出去，telnet被记录为abc,将会被容许返回

r1(config)#ip access-list extended  goto

r1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60   telnet已记为abc

r1(config-ext-nacl)#permit ip any any  

r1(config)#int f0/1

r1(config-if)#ip access-group goto out

测试R3到外网的ICMP以及内网向外网发起telnet

 

 

查看ACL

Show ip access-lists

 

 

可知abc的ACL为容许外网到内网的telnet，正是因为内网发到外网的telnet被标记了，因此也自动产生了容许其返回的ACL，而且后面跟有剩余时间。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

动态ACL

拓扑以及地址规划

 

 

实验前确保网络连通

 

 

 

 

1.配置Dynamic ACL

（1）配置默认不须要认证就能够经过的数据，如telnet

r1(config)#access-list 100 permit tcp an an eq telnet

(2)配置认证以后才能经过的数据，如ICMP，绝对时间为2分钟。

r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

r1(config)#int f0/0

r1(config-if)#ip access-group 100 in

测试内网R2 telnet外网以及内网R2 ping外网R4

 

 

说明内网在没有认证以前，ICMP是没法经过的

3.配置本地用户数据库

r1(config)#username ccie password cisco

4.配置全部人的用户名具备访问功能

r1(config)#line vty 0 181

r1(config-line)#login local

r1(config-line)#autocommand access-enable 

R2内网认证先后的内网到外网的ICMP结果对比  可知认证后的ICMP包容许经过

 

 

查看ACL状态

r1#show ip access-lists

 

 

 

 

 

配置基于上下文的访问控制

拓扑以及地址规

 

 验证网络的联通性

server-0pingPC-0

 

 

 

1.在R2配置一个命名IP ACl阻隔全部外网产生的流量

R2(config)# ip access-list extended OUT-IN

R2(config-ext-nacl)# deny ip any any

R2(config-ext-nacl)# exit

R2(config)# interface s1/1

R2(config-if)# ip access-group OUT-IN in

在PC-0命令提示符ping service-0服务器。ICMP回送响应会被ACL阻隔。

 

 

2.建立一个CBAC检测规则

R2(config)# ip inspect name in-out-in icmp

R2(config)# ip inspect name in-out-in telnet

R2(config)# ip inspect name in-out-in http

R2(config)# ip inspect audit-trail

R2(config)# service timestamps debug datetime msec

R2(config)# logging host 192.84.1.3

R2(config)# interface s1/1

R2(config-if)# ip inspect in-out-in out

验证审计跟踪信息正被syslog服务器记录

在PC-0 成功经过ping、telnet访问service-0

 

 

在service-0没法经过ping,Telnet 访问PC-0

 

 

回顾在服务器service-0的syslog信息，在配置窗口点击syslog

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

配置基于区域策略的防火墙

拓扑以及地址规划

 

实验前确保网络连通

service-0 ping通PC-0

 

 

 

 

建立一个内部区域。

R2(config)# zone security IN-ZONE

R2(config-sec-zone）# zone security OUT-ZONE

R2(config-sec-zone)# exit

 

建立一个用来定义内部流量的ACL

R2(config)# access-list 101 permit ip 192.84.3.0 0.0.0.255 any

 

建立一个涉及内部流量ACL的class map

R2(config)# class-map type inspect match-all IN-NET-CLAA-MAP

R2(config-cmap)# match access-group 101

R2(config-cmap)# exit

 

建立一个策略图

R2(config)# policy-map type inspect IN-2-OUT-PMAP.

 

定义一个检测级别类型和参考策略图。

R2(config-pmap)# class type inspect IN-NET-CLAA-MAP

 

定义检测策略图

R2(config-pmap-c)# inspect

 

建立一对区域

R2(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

 

定义策略图来控制两个区域的流量。

R2(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R2(config-sec-zone-pair)# exit

R2(config)#

把端口调用到合适的安全区域。

R2(config)# interface fa0/1

R2(config-if)# zone-member security IN-ZONE

R2(config-if)# exit

 

R2(config)# interface s1/1

R2(config-if)# zone-member security OUT-ZONE

R2(config-if)# exit

 

验证内配置ZPF后内部能访问外部

PC-0 ping service-0服务器而且telnet到R1的s1/1口

 

 

 

 

 测试外部区域到内部区域的防火墙功能

 

 

 R2ping PC-0

 

 

总结

这是个十分复杂、难度大的实验，在不断错误中过来，须要大量的时间、精力和较好配置的电脑。在配置过程当中要细心配置每一条命令。经过此次实验，我对本门课程有了更多的了解。