访问控制列表实验

一台Ftp-Server,一台Web-Server,一台HR终端PC1,一台SALES终端PC2,一台IT终端PC3,一台路由器R1和一台交换机SW1。

配置如下:路由器R1使用A2220,添加板卡4GEW-T。交换机SW1使用S3700。按图进行配置地址。

备注:AR1220的eth接口是二层口,而AR201的前7接口为二层口,eth0/0/8是三层口。只有三层口才能配置ip。

命令大全:

一、为各部门创建安全区域

HR区域的安全级别设置为12,SALES为10,IT为8。另外,创建Trust区域,设置Trust区域的安全级别为14,Ftp-Server和Web-Server都属于Trust区域。

    (第一部分:设置优先级;第二部分:将R1上连接不同部门的接口加入到相应部门的安全区域中,GE0/0/0加入到Trust区域中。)(设置完毕后:display firewall zone查看区域的优先级、名称、接口信息。)

在配置AR系列路由器的防火墙特性时需要注意流量的方向。从较高安全级别区域去往较低安全级别区域的报文称为Outbound报文,从较低安全级别区域去往较高安全级别区域的报文称为Inbound报文。

 

二、禁止SALES部门和HR部门之间的互访

需要在R1上设置ACL来禁止两个部门之间的互访,

  1. 1启用SALES区域和HR区域的域间防火墙。(firewall enable的作用是启用域间防火墙。缺省情况下,当域间防火墙启用之后,安全级别较高的区域可以访问安全级别较低的区域,反之低不能访问高。)

  1. 2. 使用display firewall interzone SALES HR查看区域间的默认策略。(可以看到inbound被拒绝,SALES到HR是inbound。outbound被允许通过,HR到SALES是outbound)

  1. 3. 需要在outbound方向上将HR去往SALES的报文全部过滤掉。

创建高级ACL 3000来定义从HR到SALES的报文,步长为10。然后,在Outbound方向上引用ACL 3000。

display acl 3000查看ACL配置。

display firewall interzone SALES HR查看SALES和HR的域间Firewall策略。

此时已经实现了SALES和HR不能互访的需求。

三、实现对Web-Server和Ftp-Server访问的控制。

需求:SALES部门用户可以访问公司的Web-Server,但禁止访问Ftp-Server。

分析:SALES级别为8,We-和Ftp-Server属于Trust区域为14,访问流量为inbound。SALES无法访问Trust区域的。

解决:创建ACL3001,在inbound方向上明确放行SALES区域访问Trust区域的Web-Server的报文,其他访问报文被默认规则拒绝通行。

创建ACL 3001,允许SALES部门可以访问Web-Server,并应用在SALES和Trust的区域之间。

 

附加需求:IT部门可以可以随时访问Ftp-Server,但只能在每天的14:00到16:00才能访问Web-Server。IT可以随时ping通Ftp-Server和Web-Server。

  1. 1 开启IT和Trust之间的防火墙。并设置时间跨度为14:00到16:00。

  1. 2 创建ACL 3003,放行IT到Trust的inbound方向的FTP、HTTP、ICMP的ECHO报文。

  1. 3 display acl 3003查看ACL配置。(inactive表示没有被激活,只有在14:00到16:00之间才会被激活。)

  1. 4 将ACL 3003应用在IT区域和Trust区域之间的inbound方向上。

需求搞定。

四、实现R1的安全控制和管理,只允许SW1上的VLANIF 1接口的IP地址192.168.1.1能够作为源地址登录到R1。

  1. 1 SW1上创建VLANIF 1接口,配置IP地址为192.168.1.1/24。

  1. 2 在R1上配置VTY用户接口,允许远程主机通过Telnet管理R1。

  1. 3 使用基本ACL对路由器的VTY终端进行保护,只允许源地址为192.168.1.1的报文访问R1的VTY终端。

    1.4. 在SW1上使用命令telnet,按照提示输入密码,就可以登录到R1上呢。

  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值