防火墙作业

最新推荐文章于 2023-08-07 17:33:43 发布

weixin_30396699

最新推荐文章于 2023-08-07 17:33:43 发布

阅读量213

点赞数

文章标签：网络数据库

原文链接：http://www.cnblogs.com/LJ0825/p/10924559.html

版权

自反ACL实验配置

拓扑图

R4为外网，R2和R3为内网。

地址表

Device	Interface	IP address
R1	F 0/0	10.112.1.1
R1	F 0/1	14.112.2.1
R2	F 0/0	10.112.1.2
R3	F 0/0	10.112.1.3
R4	F 0/0	14.112.2.4

静态路由基础配置

R1(config)#int f0/0

R1(config-if)#ip address 10.112.1.1 255.255.255.0

R1(config-if)#no shutdown

R1(config)#int f0/1

R1(config-if)#ip address 14.112.2.1 255.255.255.0

R1(config-if)#no shutdown

R4(config)#ip route 10.112.1.0 255.255.255.0 14.112.2.1

R3(config)#ip route 14.112.2.0 255.255.255.0 10.112.1.1

R2(config)#ip route 14.112.2.0 255.255.255.0 10.112.1.1

R2pingR4

R1pingR4

R4pingR2

实现互通

标准acl

R4(config)#access-list 1 deny 10.112.1.2 0.0.0.0

R4(config)#int f0/1

R4(config-if)#ip access-group 1 in

R4(config-if)#end

可以看到，R2pingR4失败

自反acl

说明：R4为外网，R2和R3为内网。

R1(config)#ip access-list extended come

R1(config-ext-nacl)#permit icmp any any

R1(config-ext-nacl)#evaluate abc

R1(config)#int f0/1

R1(config-if)#ip access-group come in

说明ICMP是可以任意访问的

R1(config)#ip access-list extended goto

R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60

R1(config-ext-nacl)#permit ip any any

R1(config)#int f0/1

R1(config-if)#ip access-group goto out

R2telent

动态acl

R1(config)#access-list 100 permit tcp an an eq telnet

R1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

R1(config)#int f0/0

R1(config-if)#ip access-group 100 in

测试内网R2 telnet外网R4

配置本地用户数据库

R1(config)#username ccie password yrzzs

R1(config)#line vty 0 181

R1(config-line)#login local

R1(config-line)#autocommand access-enable

R1#show ip access-lists

Extended IP access list 100

10 permit tcp any any eq telnet (84 matches)

20 Dynamic ccie permit icmp any any

Reflexive IP access list abc

Extended IP access list come

10 permit icmp any any (35 matches)

20 evaluate abc

Extended IP access list goto

10 permit tcp any any eq telnet reflect abc (23 matches)

20 permit ip any any (15 matches)

基于时间的acl

R1(config)#time-range TELNET

R1(config-time-range)#periodic weekdays 9:00 to 14:00

R1(config)#access-list 150 deny tcp host 10.112.1.2 any eq 23 time

R1(config)#$ 150 deny tcp host 10.112.1.2 any eq 23 time-range TELNET

R1(config)#access-list 150 permit ip any any

R1(config)#int f0/0

R1(config-if)#ip access-group 150 in

修改路由器时间

Clock set

R1#clock set 15:00:58 nov 12 2019

Established扩展ACL

拓扑图

地址表

Device	Interface	IP address
R1	F 0/0	172.16.112.1
	F 0/1	10.3.112.1
	S 0/1/0	10.1.112.1
R2	S 0/1/0	10.1.112.2
R2	S 0/1/1	10.2.112.2
R3	F 0/0	192.168.112.3
R3	S 0/1/0	10.2.112.3
PC1	NIC	172.16.112.100
PC1	Default Gateway	172.16.112.1
PC2	NIC	10.3.112.100
PC2	Default Gateway	10.3.112.1
SERVER1	NIC	192.168.112.100
SERVER1	Default Gateway	192.168.112.3

配置扩展ACL前先把网络做通，配置静态路由。

R1(config)#ip route 10.2.112.0 255.255.255.0 10.1.112.2

R1(config)#ip route 192.168.112.0 255.255.255.0 10.1.112.2

R2(config)#ip route 172.16.112.0 255.255.255.0 10.1.112.1

R2(config)#ip route 10.3.112.0 255.255.255.0 10.1.112.1

R2(config)#ip route 192.168.112.0 255.255.255.0 10.2.112.3

R3(config)#ip route 10.1.112.0 255.255.255.0 10.2.112.2

R3(config)#ip route 172.16.112.0 255.255.255.0 10.2.112.2

R3(config)#ip route 10.3.112.0 255.255.255.0 10.2.112.2

R1#sh ip route 查看路由表

试从PC1 ping 到Server1

静态路由配置完成，开始做扩展ACL实验。

实验步骤

要求：

? 拒绝PC1 所在网段访问Server 192.168.112.100 的Web 服务

? 拒绝PC2 所在网段访问Server 192.168.112.100 的Ftp 服务

? 拒绝PC1 所在网段访问Server 192.168.112.100 的SQL 服务

? 拒绝PC1 所在网段访问路由器R3 的Telnet 服务

? 拒绝PC2 所在网段访问路由器R2 的Web 服务

? 拒绝PC1 和PC2 所在网段ping Server 服务器

? 只允许路由器R3 以接口s0/1/0 为源ping 路由器R2 的接口s0/1/1 地址，而不允许路

由器R2 以接口s0/1/1 为源ping 路由器R3 的接口s0/1/0 地址，即单向ping.

（一）配置路由器

R1(config)#access-list 110 remark this is an example for extended acl

R1(config)#access-list 110 deny tcp 172.16.112.0 0.0.0.255 host 192.168.112.100 eq 80

R1(config)#access-list 110 deny tcp 10.3.112.0 0.0.0.255 host 192.168.112.100 eq 21

R1(config)#access-list 110 deny tcp 10.3.112.0 0.0.0.255 host 192.168.112.100 eq 20

R1(config)#access-list 110 deny tcp 172.16.112.0 0.0.0.255 host 192.168.112.100 eq 1433

R1(config)#access-list 110 deny tcp 172.16.112.0 0.0.0.255 host 10.2.112.3 eq 23

R1(config)#access-list 110 deny tcp 172.16.112.0 0.0.0.255 host 192.168.112.3 eq 23

R1(config)#access-list 110 deny tcp 10.3.112.0 0.0.0.255 host 10.1.112.2 eq 80

R1(config)#access-list 110 deny tcp 10.3.112.0 0.0.0.255 host 10.2.112.2 eq 80

R1(config)#access-list 110 deny icmp 172.16.112.0 0.0.0.255 host 192.168.112.100

R1(config)#access-list 110 deny icmp 10.3.112.0 0.0.0.255 host 192.168.112.100

R1(config)#access-list 110 permit ip any any

R1(config)#int s0/1/0

R1(config-if)#ip access-group 110 out

（二）配置路由器R3

R3(config)#access-list 120 deny icmp host 10.2.112.2 host 10.2.112.3 echo

R3(config)#access-list 120 permit ip any any

R3(config)#int s0/1/0

R3(config-if)#ip access-group 120 in

四、实验调试

（一）路由器R1 上查看ACL110

R1#show ip access-lists 110

（二）路由器R3 和路由器R2 互相ping

（三）路由器R3 查看ACL 120

R3#show ip access-lists 120

（四）配置命令扩展ACL

R3(config)#ip access-list extended acl120

R3(config-ext-nacl)#deny icmp host 10.2.112.2 host 10.2.112.3 echo

R3(config-ext-nacl)#permit ip any any

R3(config-ext-nacl)#int s0/1/0

R3(config-if)#ip access-group acl120 in

R3#show ip access-lists

扩展ACL实验配置完成，验证成功

基于上下文的访问控制

拓扑图

地址表

Device	Interface	IP address
R1	F 0/0	192.168.112.1
R1	S 0/0/0	10.1.112.1
R2	S 0/0/0	10.1.112.2
R2	S 0/0/1	10.2.112.2
R3	F 0/0	172.16.112.3
R3	S 0/0/0	10.2.112.3
PC-A	NIC	192.168.112.4
PC-A	Default Gateway	192.168.112.1
PC-C	NIC	172.16.112.4
PC-C	Default Gateway	172.16.112.3

预配置：

在配置防火墙之前验证设备间连通性，即先配置静态路由

R1(config)#ip route 10.2.112.0 255.255.255.0 10.1.112.2

R1(config)#ip route 172.16.112.0 255.255.255.0 10.1.112.2

R2(config)#ip route 192.168.112.0 255.255.255.0 10.1.112.1

R2(config)#ip route 172.16.112.0 255.255.255.0 10.2.112.3

R3(config)#ip route 10.1.112.0 255.255.255.0 10.2.112.2

R3(config)#ip route 192.168.112.0 255.255.255.0 10.2.112.2

在R3启用密码

R3(config)#enable password abc123

启用console口密码

R3(config)#line console 0

R3(config-line)#password abd123

启用vty行接入密码

R3(config)#line vty 0 4

R3(config-line)#password abe123

把S1、S2所有交换机接口都在Vlan1(S2同理)

S1(config)#int f 0/1

S1(config-if)# switchport access vlan 1

S1(config-if)# switchport trunk allowed vlan 1

S1(config)#int f 0/2

S1(config-if)# switchport access vlan 1

S1(config-if)# switchport trunk allowed vlan 1

预配置完成

验证

在PC-C的命令提示符中ping PC-A服务器

在PC-C命令提示符中telnet路由R2的s0/0/1接口：地址时10.2.112.2.退出telnet阶段

在PC-C开一个网页浏览器登入PC-A来展示网页。关掉PC-C的浏览器。

在PC-A的命令提示符ping PC-C

在R3配置一个命名IP ACl阻隔所有外网产生的流量

用ip access-list extended指令创造一个已命名的IP ACL

R3(config)#ip access-list extended out-in

R3(config-ext-nacl)# deny ip any any

R3(config-ext-nacl)# exit

在s0/0/0应用ACl

R3(config)#int s 0/0/0

R3(config-if)# ip access-group out-in in

确保进入s0/0/1接口的流量被阻隔

在PC-C命令提示符ping PC-A服务器。ICMP回送响应会被ACL阻隔

创建一个CBAC检测规则

第一步创建一个检测规则来检测ICMP，Telnet，和HTTP流量。

R3(config)# ip inspect name IN-OUT-IN icmp

R3(config)# ip inspect name IN-OUT-IN telnet

R3(config)# ip inspect name IN-OUT-IN http

第二步开启时间戳记记录和CBAC审计跟踪信息。

R3(config)# ip inspect audit-trail

R3(config)# service timestamps debug datetime msec

R3(config)# logging host 192.168.112.3

第三步对在s0/0/0的出口流量用检测规则。

R3(config-if)# ip inspect IN-OUT-IN out

第四步验证审计跟踪信息正被syslog服务器记录

在PC-C 成功ping、telnet访问PC-A来检测连通性。需要注意Telnet不了。

在PC-A,ping,Telnet PC-C来检测连通性，这两步都被阻隔掉

CBAC基于上下文的访问控制配置完成。

基于区域策略的防火墙

拓扑图

地址表与预配置和上个实验（基于上下文的访问控制）完全一致，参照上面配置即可。

验证基本网络连通性

PC-A ping通PC-C

PC-C telnet到s0/0/0接口

在R3创建区域防火墙

第一步创建一个内部区域。

R3(config)# zone security IN-ZONE

第二步创建外部区域

R3(config-sec-zone)# zone security OUT-ZONE

R3(config-sec-zone)# exit

定义一个流量级别和访问列表

第一步创建一个用来定义内部流量的ACL

R3(config)# access-list 101 permit ip 172.16.112.0 0.0.0.255 any

第二步创建一个涉及内部流量ACL的class map

R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)# match access-group 101

R3(config-cmap)# exit

指定防火墙策略

第一步创建一个策略图来确定对匹配的流量干啥。

R3(config)# policy-map type inspect IN-2-OUT-PMAP

第二步定义一个检测级别类型和参考策略图。

R3(config-pmap)# class type inspect IN-NET-CLASS-MAP

第三步定义检测策略图

Inspect这个指令调用基于上下文的访问控制（其他还有通过和丢弃）

应用防火墙策略

第一步创建一对区域

R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

第二步定义策略图来控制两个区域的流量。

R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R3(config-sec-zone-pair)# exit

第三步把端口调用到合适的安全区域。

R3(config)# interface fa0/0

R3(config-if)# zone-member security IN-ZONE

R3(config-if)# exit

R3(config)# interface s0/0/0

R3(config-if)# zone-member security OUT-ZONE

R3(config-if)# exit

测试从IN-ZONE到OUT-ZONE的防火墙功能

第一步 PC_C ping PC-A服务器

第二步从PC-Ctelnet到R2 的s0/0/1口

PC-C打开网页登到PC-A的服务器

测试外部区域到内部区域的防火墙功能

验证配置ZPF之后外部无法访问内部。

第一步 PC-A ping PC-C（ping 不通）

数据业务信息化应用

防火墙作业

专业：通信工程

班级：16级通信3班

姓名：李剑

学号: 201610110112

序号： 38

指导老师：武金龙

日期： 2019年4月

防火墙技术评分标准
评分标准及要求：
序号	基本要求		具体要求	分值	自评得分	小组评分	作业评分
1	1、地址合规性检查，每位同学只能使用自己的IP地址；如不符合要求，此次作业为0分； 2、文档命名为：第X组_班级_学号最后3位_作业名； 3、作业抄袭问题 4、地址规划表		合规	0
			不合规	-100
			命名正确	5	5	5
			抄袭	-100
			列出地址规划表	5	5	5
2	访问控制列表		Established（图、文）	5	4	4
			自反ACL（图、文）	5	4	4
			动态ACL（图、文）	5	4	4
			基于时间的ACL（图、文）	5	5	5
3	基于上下文的访问控制		配置步骤，描述	10	8	8
			验证截图，文字表述	10	8	8
4	区域策略防火墙		配置步骤，说明	10	10	10
			验证截图，文字表述	10	10	10
5	总结，对各种防火墙技术进行对比，写出适用范围，优缺点；写对知识点的总结，遇到的问题，解决的方法等。		不少于50字	5	5	5
			各技术的对比	5	5	5
6	排版（字体：宋体；字号：5号；首行缩进；行距：固定值，20磅）		字体、字号正确	5	5	5
			首行缩进，行距正确	5	5	5
7	在完成提交自己的作业后，先进行自评，然后看其他同学的作品并给出评价。		有自评	5	5	5
			有小组互评	5	5	5
8	总评成绩				93	93
		1、图片前有文字说明，写明要表达的意思；
		2、最后需要加总结，写对知识点的总结，遇到的问题，解决的方法等。
		3、标题处写明第几组；
		4、PC端地址采用自动配置；
		5、写出地址规划表

自反ACL实验配置

拓扑图

R4为外网，R2和R3为内网。

地址表

Device	Interface	IP address
R1	F 0/0	10.112.1.1
R1	F 0/1	14.112.2.1
R2	F 0/0	10.112.1.2
R3	F 0/0	10.112.1.3
R4	F 0/0	14.112.2.4

静态路由基础配置

R1(config)#int f0/0

R1(config-if)#ip address 10.112.1.1 255.255.255.0

R1(config-if)#no shutdown

R1(config)#int f0/1

R1(config-if)#ip address 14.112.2.1 255.255.255.0

R1(config-if)#no shutdown

R4(config)#ip route 10.112.1.0 255.255.255.0 14.112.2.1

R3(config)#ip route 14.112.2.0 255.255.255.0 10.112.1.1

R2(config)#ip route 14.112.2.0 255.255.255.0 10.112.1.1

R2pingR4

R1pingR4

R4pingR2

实现互通

标准acl

R4(config)#access-list 1 deny 10.112.1.2 0.0.0.0

R4(config)#int f0/1

R4(config-if)#ip access-group 1 in

R4(config-if)#end

可以看到，R2pingR4失败

自反acl

说明：R4为外网，R2和R3为内网。

R1(config)#ip access-list extended come

R1(config-ext-nacl)#permit icmp any any

R1(config-ext-nacl)#evaluate abc

R1(config)#int f0/1

R1(config-if)#ip access-group come in

说明ICMP是可以任意访问的

R1(config)#ip access-list extended goto

R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60

R1(config-ext-nacl)#permit ip any any

R1(config)#int f0/1

R1(config-if)#ip access-group goto out

R2telent

动态acl

R1(config)#access-list 100 permit tcp an an eq telnet

R1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

R1(config)#int f0/0

R1(config-if)#ip access-group 100 in

测试内网R2 telnet外网R4

配置本地用户数据库

R1(config)#username ccie password yrzzs

R1(config)#line vty 0 181

R1(config-line)#login local

R1(config-line)#autocommand access-enable

R1#show ip access-lists

Extended IP access list 100

10 permit tcp any any eq telnet (84 matches)

20 Dynamic ccie permit icmp any any

Reflexive IP access list abc

Extended IP access list come

10 permit icmp any any (35 matches)

20 evaluate abc

Extended IP access list goto

10 permit tcp any any eq telnet reflect abc (23 matches)

20 permit ip any any (15 matches)

基于时间的acl

R1(config)#time-range TELNET

R1(config-time-range)#periodic weekdays 9:00 to 14:00

R1(config)#access-list 150 deny tcp host 10.112.1.2 any eq 23 time

R1(config)#$ 150 deny tcp host 10.112.1.2 any eq 23 time-range TELNET

R1(config)#access-list 150 permit ip any any

R1(config)#int f0/0

R1(config-if)#ip access-group 150 in

修改路由器时间

Clock set

R1#clock set 15:00:58 nov 12 2019

Established扩展ACL

拓扑图

地址表

Device	Interface	IP address
R1	F 0/0	172.16.112.1
	F 0/1	10.3.112.1
	S 0/1/0	10.1.112.1
R2	S 0/1/0	10.1.112.2
R2	S 0/1/1	10.2.112.2
R3	F 0/0	192.168.112.3
R3	S 0/1/0	10.2.112.3
PC1	NIC	172.16.112.100
PC1	Default Gateway	172.16.112.1
PC2	NIC	10.3.112.100
PC2	Default Gateway	10.3.112.1
SERVER1	NIC	192.168.112.100
SERVER1	Default Gateway	192.168.112.3