一台Ftp-Server,一台Web-Server,一台HR终端PC1,一台SALES终端PC2,一台IT终端PC3,一台路由器R1和一台交换机SW1。
配置如下:路由器R1使用A2220,添加板卡4GEW-T。交换机SW1使用S3700。按图进行配置地址。
备注:AR1220的eth接口是二层口,而AR201的前7接口为二层口,eth0/0/8是三层口。只有三层口才能配置ip。
命令大全:
一、为各部门创建安全区域
HR区域的安全级别设置为12,SALES为10,IT为8。另外,创建Trust区域,设置Trust区域的安全级别为14,Ftp-Server和Web-Server都属于Trust区域。
(第一部分:设置优先级;第二部分:将R1上连接不同部门的接口加入到相应部门的安全区域中,GE0/0/0加入到Trust区域中。)(设置完毕后:display firewall zone查看区域的优先级、名称、接口信息。)
在配置AR系列路由器的防火墙特性时需要注意流量的方向。从较高安全级别区域去往较低安全级别区域的报文称为Outbound报文,从较低安全级别区域去往较高安全级别区域的报文称为Inbound报文。
二、禁止SALES部门和HR部门之间的互访
需要在R1上设置ACL来禁止两个部门之间的互访,
- 1启用SALES区域和HR区域的域间防火墙。(firewall enable的作用是启用域间防火墙。缺省情况下,当域间防火墙启用之后,安全级别较高的区域可以访问安全级别较低的区域,反之低不能访问高。)
- 2. 使用display firewall interzone SALES HR查看区域间的默认策略。(可以看到inbound被拒绝,SALES到HR是inbound。outbound被允许通过,HR到SALES是outbound)
- 3. 需要在outbound方向上将HR去往SALES的报文全部过滤掉。
创建高级ACL 3000来定义从HR到SALES的报文,步长为10。然后,在Outbound方向上引用ACL 3000。
display acl 3000查看ACL配置。
display firewall interzone SALES HR查看SALES和HR的域间Firewall策略。
此时已经实现了SALES和HR不能互访的需求。
三、实现对Web-Server和Ftp-Server访问的控制。
需求:SALES部门用户可以访问公司的Web-Server,但禁止访问Ftp-Server。
分析:SALES级别为8,We-和Ftp-Server属于Trust区域为14,访问流量为inbound。SALES无法访问Trust区域的。
解决:创建ACL3001,在inbound方向上明确放行SALES区域访问Trust区域的Web-Server的报文,其他访问报文被默认规则拒绝通行。
创建ACL 3001,允许SALES部门可以访问Web-Server,并应用在SALES和Trust的区域之间。
附加需求:IT部门可以可以随时访问Ftp-Server,但只能在每天的14:00到16:00才能访问Web-Server。IT可以随时ping通Ftp-Server和Web-Server。
- 1 开启IT和Trust之间的防火墙。并设置时间跨度为14:00到16:00。
- 2 创建ACL 3003,放行IT到Trust的inbound方向的FTP、HTTP、ICMP的ECHO报文。
- 3 display acl 3003查看ACL配置。(inactive表示没有被激活,只有在14:00到16:00之间才会被激活。)
- 4 将ACL 3003应用在IT区域和Trust区域之间的inbound方向上。
需求搞定。
四、实现R1的安全控制和管理,只允许SW1上的VLANIF 1接口的IP地址192.168.1.1能够作为源地址登录到R1。
- 1 SW1上创建VLANIF 1接口,配置IP地址为192.168.1.1/24。
- 2 在R1上配置VTY用户接口,允许远程主机通过Telnet管理R1。
- 3 使用基本ACL对路由器的VTY终端进行保护,只允许源地址为192.168.1.1的报文访问R1的VTY终端。
1.4. 在SW1上使用命令telnet,按照提示输入密码,就可以登录到R1上呢。
776
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
