网络安全总结（CISO+GNS3）

1、 实验目的

通过完成对各个网络安全协议实验，了解其中的差异与适用范围。

2、 自反ACL

1）实验拓扑

 

 

2）地址规划

路由器	端口名	IP地址
R1	F0/0	120.1.1.1/24
R2	F0/0	120.1.1.2/24
R3	F0/0	120.1.1.3/24
	F1/0	120.2.2.3/24
R4	F1/0	120.2.2.4/24

 

3）实验配置

以R1为例配置R2、R4，保证网络互通

r1(config)# ip route 120.2.2.0 255.255.255.0 120.1.1.3

配置边界路由器R3

r3(config)#ip access-list extended come

r3(config-ext-nacl)#permit icmp any any   被允许的ICMP是不用标记即可进入内网的

r3(config-ext-nacl)#evaluate abc            其它要进入内网的，必须是标记为abc的

r3(config)#int f0/1

r3(config-if)#ip access-group come in

r3config)#ip access-list extended  goto

r3(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60

telnet已记为abc

r3(config-ext-nacl)#permit ip any any                 

r3(config)#int f0/1

r3(config-if)#ip access-group goto out

4）实验结果

 

 

R2 ping R4 说明ICMP正常，网络正常

 

 

 

R2 Telnet R4

 

 

 

R4 Telnet R2

 

 

 

查看ACL

 

3、 动态ACL

该实验拓扑与地址规划与自反ACL实验相同

1） 实验配置

配置边界路由器R3

r1(config)#access-list 100 permit tcp an an eq telnet

配置不需要验证也可通过的数据

r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any   

配置认证后可通过的数据

r1(config)#int f0/0     

r1(config-if)#ip access-group 100 in        将ACL应用在端口上

r1(config)#username ccie password cisco    创建用户

r1(config)#line vty 0  4                  配置远程登录的虚拟端口

r1(config-line)#login local                 启用本地数据库

r1(config-line)#autocommand access-enable (host)  激活动态ACL

注：若无host 则一台主机通过验证后，内网所有主机均能访问外网。加了host后，只有通过验证的主机方能访问外网。

2） 实验结果

 

 

未验证下R2 ping R4

 

 

 

未验证下R2 telnet R4

 

 

 

R2通过验证

 

 

 

验证后R2 ping R4

 

 

 

查看ACL

 

4、 基于时间的ACL

该实验拓扑与地址规划与自反ACL实验相同

1） 实验配置

配置边界路由器R3

r3(config)#time-range TELNET

r3(config-time-range)#periodic daily 19:00 to 20:00       定义的时间范围为每天的19:00 to 20:00

r3(config)#access-list 150 deny tcp host 120.1.1.2 any eq 23 time-range TELNET时间范围内拒绝R2到R4的telnet

r3(config)#access-list 150 permit ip any any                  其它流量全部通过

r3(config)#int f0/0

r3(config-if)#ip access-group 150 in               将时间ACL应用到端口上

r3#show clock                                查看路由器时间

r3#clock set 19:30:00 26 apr 2019              将路由器的时间设置为2019年4月26日 19:30

2） 实验结果

 

查看R2的时间

 

 

 

                        在规定时间内R2 ping R4

 

 

 

                        在规定时间内R2 telnet R4

 

 

 

                        在规定时间内R1 telnet R4

 

 

 

查看ACL

 

5、 扩展ACL

1） 实验拓扑

 

 

2） 地址规划

设备名称	端口名称	IP地址
Router 0	Fa0/0	172.120.1.1/24
	Fa0/1	172.120.2.1/24
	Se1/0	172.120.12.1/24
Router 1	Se1/0	172.120.12.2/24
	Se1/1	172.120.23.2/24
Router 2	F0/0	172.120.3.3/24
	Se1/1	172.120.23.3/24
PC 0	Fa0	dhcp
PC 1	Fa0	172.120.2.100
Server 0	Fa0	172.120.3.100

3） 实验配置

一样使用静态路由，使网络互通，此处不再演示

配置Router 0

R0(config)#access-list 110 remark this is an example for extended acl  添加备注R0(config)#access-list 110 deny tcp 172.120.1.0 0.0.0.255 host 172.120.3.100 eq 80

拒绝PC1 所在网段访问Server 172.120.3.100 的Web 服务

R0(config)#access-list 110 deny tcp 172.120.2.0 0.0.0.255 host 172.120.3.100 eq 21

R0(config)#access-list 110 deny tcp 172.120.2.0 0.0.0.255 host 172.120.3.100 eq 20

拒绝PC2 所在网段访问Server 172.120.3.100 的Ftp 服务

R0(config)#access-list 110 deny tcp 172.120.1.0 0.0.0.255 host 172.120.3.100 eq 1433

拒绝PC1 所在网段访问Server 172.120.3.100 的SQL 服务

R0(config)#access-list 110 deny tcp 172.120.1.0 0.0.0.255 host 172.120.23.3 eq 23

R0(config)#access-list 110 deny tcp 172.120.1.0 0.0.0.255 host 172.120.3.3 eq 23

拒绝PC1 所在网段访问路由器R3 的Telnet

R0(config)#access-list 110 deny tcp 172.120.2.0 0.0.0.255 host 172.120.12.2 eq 80

R0(config)#access-list 110 deny tcp 172.120.2.0 0.0.0.255 host 172.120.23.2 eq 80

拒绝PC2 所在网段访问路由器R2 的Web 服务

R0(config)#access-list 110 deny icmp 172.120.1.0 0.0.0.255 host 172.120.3.100

R0(config)#access-list 110 deny icmp 172.120.2.0 0.0.0.255 host 172.120.3.100

拒绝PC1 和PC2 所在网段ping Server 服务器

R0(config)#access-list 110 permit ip any any

R0(config)#int s1/0

R0(config-if)#ip access-group 110 out                           接口下应用ACL

配置路由器Router 2

R2(config)#access-list 120 deny icmp host 172.120.23.2 host 172.120.23.3 echo

R2(config)#access-list 120 permit ip any any

R2(config)#int s1/1

R2(config-if)#ip access-group 120 in

R2(config)#ip access-list extended acl120

R2(config-ext-nacl)#deny icmp host 172.120.23.2 host 172.120.23.3 echo

R2(config-ext-nacl)#permit ip any any

R2(config-ext-nacl)#int s1/1

R2(config-if)#ip access-group acl120 in

4） 实验结果

 

 

测试网络连通 PC 0 ping SERVER服务器

 

 

 

测试网络连通 PC 1 ping SERVER服务器

 

 

 

PC 1 被拒绝访问web服务器

 

 

 

PC1 被拒绝Telnet Router2

 

 

 

 

 

 

PC 0 被拒绝PING SERVER服务器

 

 

 

PC 1 被拒绝访问FTP服务器

 

 

 

PC 1 被拒绝访问Router1的WEB服务

 

 

 

PC 1 被拒绝ping SERVER服务器

 

 

 

Router1 ping Router2

 

 

 

Router2 ping Router1

 

 

 

查看Router0的ACL

 

 

 

查看Router2的ACL

 

6、 基于上下文的访问控制

1） 实验拓扑

 

 

2） 地址规划

设备名称	端口名称	IP地址
Router 1	Se0/0/0	120.1.1.1/24
	Fa0/1	192.120.1.1/24
Router 2	Se0/0/0	120.1.1.2/24
	Se0/0/1	120.2.2.2/24
Router 3	Se0/0/1	120.2.2.1/24
	Fa0/1	192.120.3.1/24
PC0	Fa0	dhcp
Server0	Fa0	192.120.1.100

 

3） 实验配置

R3(config)# ip access-list extended OUT-IN

R3(config-ext-nacl)# deny ip any any                              阻隔外网流量

R3(config-ext-nacl)# exit

R3(config)# interface s0/0/1

R3(config-if)# ip access-group OUT-IN in

R3(config)# exit

R3(config)# ip inspect name IN-OUT-IN icmp

R3(config)# ip inspect name IN-OUT-IN telnet

R3(config)# ip inspect name IN-OUT-IN http      

创建一个检测规则来检测ICMP、Telnet、HTTP流量

R3(config)# ip inspect audit-trail                            开启CBAC审计信息

R3(config)# service timestamps debug datetime msec

R3(config)# logging host 192.120.1.3                       同步时间戳

R3(config)# interface s0/0/1

R3(config-if)# ip inspect IN-OUT-IN out                      出口流量检测

4） 实验结果

   

 

网络连通测试 PC0 ping SERVER0

 

 

 

PC0 ping SERVER0

 

 

 

PC0访问server0的WEB服务器

 

 

 

SERVER0 ping R0

7、 区域策略防火墙

实验拓扑与地址规划与实验基于上下文的访问控制相同

1） 实验配置

R3(config)# zone security IN-ZONE                      创建区域IN-ZONE 

R3(config-sec-zone)# zone security OUT-ZONE           创建区域OUT-ZONE

R3(config-sec-zone)# exit

R3(config)# access-list 101 permit ip 192.120.3.0 0.0.0.255 any

允许所有从192.120.3.0网段发出的访问到达任何其他地址

       R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)# match access-group 101                          匹配ACL

R3(config-cmap)# exit

R3(config)# policy-map type inspect IN-2-OUT-PMAP

R3(config-pmap)# class type inspect IN-NET-CLASS-MAP

R3(config-pmap-c)# inspect

R3(config-pmap-c)# exit

R3(config-pmap)# exit

R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

对N-ZONE、OUT-ZONE区域进行源和目的

R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R3(config-sec-zone-pair)# exit

R3(config)# interface fa0/1

R3(config-if)# zone-member security IN-ZONE                      启用ACL

R3(config-if)# exit

R3(config)# interface s0/0/1

R3(config-if)# zone-member security OUT-ZONE                   启用ACL

R3(config-if)# exit

2） 实验结果

 

 

PC0 ping server0

 

 

 

PC0 telnet R2

 

 

 

PC0 访问server的WEB服务器

 

 

 

R2 ping PC0

 

 

 

server0 ping PC0

 

 

 

8、 实验总结

扩展ACL：扩展ACL比标准ACL提供了更广泛的控制范围，可以控制ICMP、FTP、HTTP、SQL多种业务的拦截。但是相比标准ACL，扩展ACL较为复杂。

自反ACL：适用于外网无法动向内网发起连接。内网用户可以主动向外部发起连接，且外网的回应可以进入内网。使用简单，且对进入网络的数据包实施更强的控制。自反访问表只能安全地处理单通道应用。

动态ACL：适用于限制内网用户访问外网。内网用户若想访问外网则必须通过认证，获得访问外网的权限。

基于时间的ACL：适用于限制内网用户只能在指定的时间范围内访问外网。用户只能在指定的时间上网。

基于上下文的访问控制：适用于安全地处理多个多通道应用。可以保证应用请求的正确性，Java阻塞，拒绝服务保护和检测，实时警告和审核跟踪。不能检测高于第4层的信息。

区域策略防火墙：适用于大型、复杂的网络结构中配置网络安全。具有极大的灵活性和精细度，可以对连接到相同路由器的多个接口的多个主机组应用不同的检查策略。

自我总结：在本次的实验中，我通过对6个网络安全的实验进行实际操作以及检查。对各个实验产生的实验结果有了进一步的了解。知道配置的指令的作用与效果，以及为什么在这台路由器上配置。本次实验使我受益良多。

转载于:https://www.cnblogs.com/cool-cold/p/10940244.html