1、 实验目的
通过完成对各个网络安全协议实验,了解其中的差异与适用范围。
2、 自反ACL
1)实验拓扑
2)地址规划
路由器 | 端口名 | IP地址 |
R1 | F0/0 | 120.1.1.1/24 |
R2 | F0/0 | 120.1.1.2/24 |
R3 | F0/0 | 120.1.1.3/24 |
| F1/0 | 120.2.2.3/24 |
R4 | F1/0 | 120.2.2.4/24 |
3)实验配置
以R1为例配置R2、R4,保证网络互通
r1(config)# ip route 120.2.2.0 255.255.255.0 120.1.1.3
配置边界路由器R3
r3(config)#ip access-list extended come
r3(config-ext-nacl)#permit icmp any any 被允许的ICMP是不用标记即可进入内网的
r3(config-ext-nacl)#evaluate abc 其它要进入内网的,必须是标记为abc的
r3(config)#int f0/1
r3(config-if)#ip access-group come in
r3config)#ip access-list extended goto
r3(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60
telnet已记为abc
r3(config-ext-nacl)#permit ip any any
r3(config)#int f0/1
r3(config-if)#ip access-group goto out
4)实验结果
R2 ping R4 说明ICMP正常,网络正常
R2 Telnet R4
R4 Telnet R2
查看ACL
3、 动态ACL
该实验拓扑与地址规划与自反ACL实验相同
1) 实验配置
配置边界路由器R3
r1(config)#access-list 100 permit tcp an an eq telnet
配置不需要验证也可通过的数据
r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any
配置认证后可通过的数据
r1(config)#int f0/0
r1(config-if)#ip access-group 100 in 将ACL应用在端口上
r1(config)#username ccie password cisco 创建用户
r1(config)#line vty 0 4 配置远程登录的虚拟端口
r1(config-line)#login local 启用本地数据库
r1(config-line)#autocommand access-enable (host) 激活动态ACL
注:若无host 则一台主机通过验证后,内网所有主机均能访问外网。加了host后,只有通过验证的主机方能访问外网。
2) 实验结果
未验证下R2 ping R4
未验证下R2 telnet R4
R2通过验证
验证后R2 ping R4
查看ACL
4、 基于时间的ACL
该实验拓扑与地址规划与自反ACL实验相同
1) 实验配置
配置边界路由器R3
r3(config)#time-range TELNET
r3(config-time-range)#periodic daily 19:00 to 20:00 定义的时间范围为每天的19:00 to 20:00
r3(config)#access-list 150 deny tcp host 120.1.1.2 any eq 23 time-range TELNET时间范围内拒绝R2到R4的telnet
r3(config)#access-list 150 permit ip any any 其它流量全部通过
r3(config)#int f0/0
r3(config-if)#ip access-group 150 in 将时间ACL应用到端口上
r3#show clock 查看路由器时间
r3#clock set 19:30:00 26 apr 2019 将路由器的时间设置为2019年4月26日 19:30
2) 实验结果
查看R2的时间
在规定时间内R2 ping R4
在规定时间内R2 telnet R4
在规定时间内R1 telnet R4
查看ACL
5、 扩展ACL
1) 实验拓扑
2) 地址规划
设备名称 | 端口名称 | IP地址 |
Router 0 | Fa0/0 | 172.120.1.1/24 |
Fa0/1 | 172.120.2.1/24 | |
Se1/0 | 172.120.12.1/24 | |
Router 1 | Se1/0 | 172.120.12.2/24 |
Se1/1 | 172.120.23.2/24 | |
Router 2 | F0/0 | 172.120.3.3/24 |
Se1/1 | 172.120.23.3/24 | |
PC 0 | Fa0 | dhcp |
PC 1 | Fa0 | 172.120.2.100 |
Server 0 | Fa0 | 172.120.3.100 |
3) 实验配置
一样使用静态路由,使网络互通,此处不再演示
配置Router 0
R0(config)#access-list 110 remark this is an example for extended acl 添加备注R0(config)#access-list 110 deny tcp 172.120.1.0 0.0.0.255 host 172.120.3.100 eq 80
拒绝PC1 所在网段访问Server 172.120.3.100 的Web 服务
R0(config)#access-list 110 deny tcp 172.120.2.0 0.0.0.255 host 172.120.3.100 eq 21
R0(config)#access-list 110 deny tcp 172.120.2.0 0.0.0.255 host 172.120.3.100 eq 20
拒绝PC2 所在网段访问Server 172.120.3.100 的Ftp 服务
R0(config)#access-list 110 deny tcp 172.120.1.0 0.0.0.255 host 172.120.3.100 eq 1433
拒绝PC1 所在网段访问Server 172.120.3.100 的SQL 服务
R0(config)#access-list 110 deny tcp 172.120.1.0 0.0.0.255 host 172.120.23.3 eq 23
R0(config)#access-list 110 deny tcp 172.120.1.0 0.0.0.255 host 172.120.3.3 eq 23
拒绝PC1 所在网段访问路由器R3 的Telnet
R0(config)#access-list 110 deny tcp 172.120.2.0 0.0.0.255 host 172.120.12.2 eq 80
R0(config)#access-list 110 deny tcp 172.120.2.0 0.0.0.255 host 172.120.23.2 eq 80
拒绝PC2 所在网段访问路由器R2 的Web 服务
R0(config)#access-list 110 deny icmp 172.120.1.0 0.0.0.255 host 172.120.3.100
R0(config)#access-list 110 deny icmp 172.120.2.0 0.0.0.255 host 172.120.3.100
拒绝PC1 和PC2 所在网段ping Server 服务器
R0(config)#access-list 110 permit ip any any
R0(config)#int s1/0
R0(config-if)#ip access-group 110 out 接口下应用ACL
配置路由器Router 2
R2(config)#access-list 120 deny icmp host 172.120.23.2 host 172.120.23.3 echo
R2(config)#access-list 120 permit ip any any
R2(config)#int s1/1
R2(config-if)#ip access-group 120 in
R2(config)#ip access-list extended acl120
R2(config-ext-nacl)#deny icmp host 172.120.23.2 host 172.120.23.3 echo
R2(config-ext-nacl)#permit ip any any
R2(config-ext-nacl)#int s1/1
R2(config-if)#ip access-group acl120 in
4) 实验结果
测试网络连通 PC 0 ping SERVER服务器
测试网络连通 PC 1 ping SERVER服务器
PC 1 被拒绝访问web服务器
PC1 被拒绝Telnet Router2
PC 0 被拒绝PING SERVER服务器
PC 1 被拒绝访问FTP服务器
PC 1 被拒绝访问Router1的WEB服务
PC 1 被拒绝ping SERVER服务器
Router1 ping Router2
Router2 ping Router1
查看Router0的ACL
查看Router2的ACL
6、 基于上下文的访问控制
1) 实验拓扑
2) 地址规划
设备名称 | 端口名称 | IP地址 |
Router 1 | Se0/0/0 | 120.1.1.1/24 |
Fa0/1 | 192.120.1.1/24 | |
Router 2 | Se0/0/0 | 120.1.1.2/24 |
Se0/0/1 | 120.2.2.2/24 | |
Router 3 | Se0/0/1 | 120.2.2.1/24 |
Fa0/1 | 192.120.3.1/24 | |
PC0 | Fa0 | dhcp |
Server0 | Fa0 | 192.120.1.100 |
3) 实验配置
R3(config)# ip access-list extended OUT-IN
R3(config-ext-nacl)# deny ip any any 阻隔外网流量
R3(config-ext-nacl)# exit
R3(config)# interface s0/0/1
R3(config-if)# ip access-group OUT-IN in
R3(config)# exit
R3(config)# ip inspect name IN-OUT-IN icmp
R3(config)# ip inspect name IN-OUT-IN telnet
R3(config)# ip inspect name IN-OUT-IN http
创建一个检测规则来检测ICMP、Telnet、HTTP流量
R3(config)# ip inspect audit-trail 开启CBAC审计信息
R3(config)# service timestamps debug datetime msec
R3(config)# logging host 192.120.1.3 同步时间戳
R3(config)# interface s0/0/1
R3(config-if)# ip inspect IN-OUT-IN out 出口流量检测
4) 实验结果
网络连通测试 PC0 ping SERVER0
PC0 ping SERVER0
PC0访问server0的WEB服务器
SERVER0 ping R0
7、 区域策略防火墙
实验拓扑与地址规划与实验基于上下文的访问控制相同
1) 实验配置
R3(config)# zone security IN-ZONE 创建区域IN-ZONE
R3(config-sec-zone)# zone security OUT-ZONE 创建区域OUT-ZONE
R3(config-sec-zone)# exit
R3(config)# access-list 101 permit ip 192.120.3.0 0.0.0.255 any
允许所有从192.120.3.0网段发出的访问到达任何其他地址
R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP
R3(config-cmap)# match access-group 101 匹配ACL
R3(config-cmap)# exit
R3(config)# policy-map type inspect IN-2-OUT-PMAP
R3(config-pmap)# class type inspect IN-NET-CLASS-MAP
R3(config-pmap-c)# inspect
R3(config-pmap-c)# exit
R3(config-pmap)# exit
R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE
对N-ZONE、OUT-ZONE区域进行源和目的
R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP
R3(config-sec-zone-pair)# exit
R3(config)# interface fa0/1
R3(config-if)# zone-member security IN-ZONE 启用ACL
R3(config-if)# exit
R3(config)# interface s0/0/1
R3(config-if)# zone-member security OUT-ZONE 启用ACL
R3(config-if)# exit
2) 实验结果
PC0 ping server0
PC0 telnet R2
PC0 访问server的WEB服务器
R2 ping PC0
server0 ping PC0
8、 实验总结
扩展ACL:扩展ACL比标准ACL提供了更广泛的控制范围,可以控制ICMP、FTP、HTTP、SQL多种业务的拦截。但是相比标准ACL,扩展ACL较为复杂。
自反ACL:适用于外网无法动向内网发起连接。内网用户可以主动向外部发起连接,且外网的回应可以进入内网。使用简单,且对进入网络的数据包实施更强的控制。自反访问表只能安全地处理单通道应用。
动态ACL:适用于限制内网用户访问外网。内网用户若想访问外网则必须通过认证,获得访问外网的权限。
基于时间的ACL:适用于限制内网用户只能在指定的时间范围内访问外网。用户只能在指定的时间上网。
基于上下文的访问控制:适用于安全地处理多个多通道应用。可以保证应用请求的正确性,Java阻塞,拒绝服务保护和检测,实时警告和审核跟踪。不能检测高于第4层的信息。
区域策略防火墙:适用于大型、复杂的网络结构中配置网络安全。具有极大的灵活性和精细度,可以对连接到相同路由器的多个接口的多个主机组应用不同的检查策略。
自我总结:在本次的实验中,我通过对6个网络安全的实验进行实际操作以及检查。对各个实验产生的实验结果有了进一步的了解。知道配置的指令的作用与效果,以及为什么在这台路由器上配置。本次实验使我受益良多。