防火墙技术综合实验

最新推荐文章于 2022-10-15 14:51:00 发布
最新推荐文章于 2022-10-15 14:51:00 发布
阅读量247 收藏 1
点赞数
文章标签: 网络
原文链接:http://www.cnblogs.com/huangkaihua/p/10891912.html
版权

一、实验目的:本次实验是将多种访问控制列表以及防火墙部分的知识做一个汇总

二、实验内容

AEstablished控制列表

拓扑图

配置步骤

 1:配置各端口ip地址,配置登陆密码

2:测试连通性

 服务器远程登陆R2

 

Pc0 ping 服务器

 

3 关键命令

 

 在检测连通性,确保无误后,配置acl

 

R0(config)#access-list 100 permit ospf any any    //因为我是通过ospf建立路由表,所以这里要添加一条允许ospf数据包通过的规则

R0(config)#access-list 100 permit tcp any any established  //运用 established 命令检测数据包是否设置了ack,从而防止外网主动访问内网

R0(config)#access-list 100 deny ip any any

ACL应用到端口

R0(config)#interface Serial0/1/0

R0(config-if)#ip access-group 100 in

R0(config-if)#exit

 

 

4测试ACL

Pc0 ping  路由器R1(ICMP数据包默认拒绝,所以不通)

 

服务器 telnet 内网路由器R2(主动访问被拒绝)

 

 

Pc 采用http服务访问服务器

 

 

B:自反ACL

原理:通过对经过该端口的请求数据包打上标记,对回复的数据包进行检测,据有该标记的数据包允许通过,否则被拒绝。

 

拓扑图

 

 

1:配置各端口ip地址。

 配置R2 ip地址

 

配置R1 ip地址

 

2:测试连通性

 R2 telnet R4

 

R4 telnet R2

 

3:配置命令

  在检测连通性,确保无误后,配置acl

 

R3(config)#ip access-list extended goin

R3(config-ext-nacl)#permit tcp any any eq 23 reflect HKH

R3(config-ext-nacl)#evaluate HKH

R3(config-ext-nacl)#exit

 

应用到端口

R3(config)#int f0/1

R3(config-if)#ip access-group goin out  //应用到端口的out方向上

 

 

R2 telnet R4

 

R4 telnet R2

 

至此,自反ACL应用成功

 

 

 

 

C:动态ACL

 

 原理:Dynamic ACL在一开始拒绝用户相应的数据包通过,当用户认证成功后,就临时放行该数据,但是在会话结束后,再将ACL恢复最初的配置。要定义Dynamic ACL什么时候恢复最初的配置,可以定义会话超时,即会话多久没有传数据,就断开,也可以定义绝对时间,即无论会话有没有结束,到了规定时间,也要断开。

 

拓扑图

 

配置步骤

 

1.配置端口ip地址。

配置R2 ip地址

 

配置R4 ip地址

 

测试连通性

 

R2 telnet R4

 

配置命令

r1(config)#access-list 100 permit tcp an an eq telnet   //配置默认不需要认证就可以通过的数据,如telnet

r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any  //配置认证之

后才能通过的数据,如ICMP,绝对时间为2分钟。

 

应用ACL到端口

r1(config)#int f0/0

r1(config-if)#ip access-group 100 in

 

  

测试 :未进行认证时,R2 ping R4

 

进行认证后,R2 ping R4

 

 至此,动态ACL验证成功

 

 

 

 

D: 基于时间的ACl

原理: 要通过ACL来限制用户在规定的时间范围内访问特定的服务,首先设备上必须配置好正确的时间。在相应的时间要允许相应的服务,这样的命令,在配置ACL时,是正常配置的,但是,如果就将命令正常配置之后,默认是在所有时间内允许的,要做到在相应时间内允许,还必须为该命令加上一个时间限制,这样就使得这条ACL命令只在此时间范围内才能生效。而要配置这样的时间范围,是通过配置time-range来实现的,在time-range中定义好时间,再将此time-range跟在某ACL的条目之后,那么此条目就在该时间范围内起作用,其它时间是不起作用的。

 

拓扑图

 

1配置端口ip地址。

配置R2 ip地址

 

 

配置R4ip地址

 

 

2测试连通性:R4 telnet R2

 

 

3 关键步骤

1.配置time-range

r1(config)#time-range TELNET

r1(config-time-range)#periodic Sunday 9:00 to 18:00

说明:定义的时间范围为每周日9:00 to 15:00

2.配置ACL

说明:配置R1在上面的时间范围内拒绝R2到R4的telnet,其它流量全部通过。

r1(config)#access-list 100 deny tcp host 10.132.1.2 any eq 23 time-range TELNET

r1(config)#access-list 100 permit ip any any

 

3.应用ACL

r1(config)#int f0/0

r1(config-if)#ip access-group 100 in

 

4 验证

 

非允许时间内 R2 telnet R4

 

 

允许时间内 R2 ping R4

 

E:基于上下文的访问控制

 

 拓扑图

 

配置步骤

 

1配置端口ip地址,并检测连通性

 

服务器 ping  pc

 

服务器 telnet R3

 

2配置命令

 

R3(config)# ip access-list extended go

R3(config-ext-nacl)# deny ip any any   //ACL目的是隔绝外网流量 

R3(config-ext-nacl)# exit

R3(config)# interface s0/1/1

R3(config-if)# ip access-group go in

R3(config)#ip inspect name HKH icmp

R3(config)#ip inspect name HKH http  // 创建一个检测规则来检测ICMP和HTTP流量

R3(config)# ip inspect audit-trail

R3(config)# service timestamps debug datetime msec

R3(config)# logging host 10.132.1.2 //开启时间戳记记录和CBAC审计跟踪信息

R3(config)#int s0/1/1

R3(config-if)# ip inspect HKH out

验证:

PCping  服务器

 

 

 

F 区域策略防火墙

 

拓扑图

 

 

 

1 配置端口地址以及OSPF

 

         2查看连通性

        Pc-a ping pc-c  

 

Pc-c telnet R2

 

http服务

 

 

3配置区域策略防火墙

 

R3(config)# zone security IN-ZONE //创建区域IN-ZONE

R3(config-sec-zone)# exit

R3(config)# zone security OUT-ZONE //创建区域OUT-ZONE

R3(config-sec-zone)# exit

R3(config)# access-list 101 permit ip 10.132.3.0 0.0.0.255 any //access-list创建扩展ACL101来在IP层面允许所有从……源网络地址访问到任何其他地址

R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)# match access-group 101

R3(config-cmap)# exit //用 class map type inspect match all)来创建一个叫 class map type inspect class map,用match access-group匹配ACL

R3(config)# policy-map type inspect IN-2-OUT-PMAP //创建策略图IN-2-OUT-PMAP

R3(config-pmap)# class type inspect IN-NET-CLASS-MAP //定义一个检测级别类型和参考策略图

R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE  //创建一个区域对IN-2-OUT-ZPAIR对任务一中创建的区域进行源和目的区域定义

R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R3(config-sec-zone-pair)# exit

  R3(config# interface fa0/1

R3(config-if)# zone-member security IN-ZONE

R3(config-if)# exit

R3(config)# interface s0/1/1

R3(config-if)# zone-member security OUT-ZONE

R3(config-if)# exit

 

 

测试:

服务器 ping PC端(防火墙阻挡,外网无法ping通PC端)

 

PC端 ping 服务器

 

 

三:实验总结

 

  本次实验将前面所学的网络安全知识进行重新的处理总结,通过重新做这些实验,我发现了他们之间存在一定的联系,比如配置防火墙是可以添加ACL规则进行安全加固,但是必须要理清他们的运作原理。在操作实验过程中,其实有遇到很多问题,也有请教会的同学,经过同学的讲解,和自己一步一步的去摸索,其实主要还是在于它的原理,弄懂原理后就能明白很多。此次实验,让我通过实践充分理解理论知识,并达到学以致用。

 

转载于:https://www.cnblogs.com/huangkaihua/p/10891912.html

weixin_30319153
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙实验
12-29
实验名称:使用WinRoute配置包过滤防火墙 一、实验目的 1、熟悉、了解软路由软件WinRoute的包过滤功能及其操作配置方法。 2、充分理解包过滤的原理及配置规则,进一步加深对TCP/IP协议的理解和认识. 3、能够独立使用WinRoute进行过滤规则的配置操作。
安全防御——二、ENSP防火墙实验学习
A_991128a的博客
04-19 1359
防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙
防火墙技术实验,访问控制
weixin_64858543的博客
04-23 243
第八组_通信二班_091_防火墙技术综合实验
weixin_34218579的博客
05-05 239
1、网络地址规划表(拓扑有两种,所以地址规划也有两种) 自反ACL、基于上下文的访问控制和区域策略防火墙的地址规划 设备名称 接口 地址 网关 PC-A F1/0 192.91.1.3/24 192.91.1.1 PC-C F1/0 192.91.3.3/24 ...
西电操作系统综合实验报告
07-23
西电操作系统综合实验旨在通过实践操作加深学生对操作系统原理的理解,提高其在实际环境中解决问题的能力。这份实验报告将涵盖多个关键知识点,包括进程管理、内存管理、文件系统以及设备管理等。 一、进程管理 在...
华为USG5500防火墙配置实验一.pdf
11-18
华为USG5500防火墙配置实验一.pdf
信息安全综合实验防火墙pptPowerPointP.pptx
10-01
信息安全综合实验防火墙pptPowerPointP.pptx
局域网防火墙DNSweb邮件服务器搭建综合实验.pdf
11-18
局域网防火墙DNSweb邮件服务器搭建综合实验.pdf
综合组网实验
06-13
计算机网络课程综合组网的实验,内附配置方法和配置分析。
网络安全实验报告 防火墙的配置
05-19
(1)了解硬件防火墙的基本构成 (2)下载常见软件防火墙,如瑞星个人防火墙、金山网镖、江民防火墙、Norton firewall、Webroot desktop firewall、Injoy firewall、SurfSecret firewall等,至少下载安装三种防火墙,比较它们的性能,并利用防火墙的安全策略实现严格的访问控制
网络安全防护实验报告
09-03
了解黑客的攻击方式,进行有效的网络安全防护。
ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
JohnnyG2000的博客
05-18 1万+
防火墙综合实验一、实验要求1. 总部需要通过VPN与分支和合作伙伴进行通信2. 分支机构(Branch)员工使用NGFW接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。3. 合作伙伴(Partner)使用NGFW接入总部。要求实训合作伙伴通过GRE隧道与总部进行通信。4. 所有的客户端可以通过公网IP地址来访问WEB服务器二、实验拓补三、实验配置1. 防火墙安全区域划分(包括Tunnel接口)2. 静态路由3. GRE配置4. IPSec VPN配置5. Easy-ip配置6. NAT S
ensp防火墙综合实验lab
enterprise2333的博客
12-20 1万+
实验要求: 1.完成防火墙组网基础配置(IP,安全域,路由(可配置动态路由,只可宣告防火墙untrust所在网段)ISP路由器不能存在防火墙非untrust区域内路由),校本部和南校区防火墙管理地址分别为192.168.0.1/24,192.168.0.2/24 2.校本部防火墙1/0/1设置为二层接口,在防火墙上配置SVI分别为vlan 10和vlan 20的网关,两SVI安全域均为trust 3.PC2可以使用防火墙出接口地址上网访问到百度服务器(可ping通6.6.6.6即可) 4.使用校本部防火墙
华为模拟器eNSP防火墙综合实验
热门推荐
末初的CSDN博客
05-19 2万+
实验配置目标: trust区域可以访问DMZ区域 trust区域可以访问unstrust区域 unstrust区域可以访问DMZ区域 首先把三个区域的接口地址给配置上: Trust: R1: sys un in en sysname Trust_R1 int e0/0/0 ip address 192.168.1.7 24 dis this Unstrust: R2: sys un in en sysname Unstrust_R2 int e0/0/0 ip address 177.7.7.7 .
防火墙IPTABLES综合实验
Super_Rookie_Boy的博客
01-23 425
防火墙IPTABLES综合实验 在虚拟主机A中 1.关闭防火墙iptables [root@localhost hp]# service iptables stop iptables: Setting chains to policy ACCEPT: filter [ OK ] iptables: Flushing firewall rules: [ OK ] iptables: Unloading modules:
ensp防火墙实验
qq_61759561的博客
10-15 3058
配置完成后就能实现pc1和pc2互通。
防火墙的mpf技术综合实验
最新发布
04-20
防火墙的MPF(Modular Policy Framework)技术是一种综合实验,它提供了一种灵活的方式来配置和管理防火墙策略。MPF技术可以帮助网络管理员根据特定的需求和网络环境,对防火墙进行高级配置和定制。 MPF技术的主要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值