防火墙的访问控制策略

最新推荐文章于 2024-05-05 09:00:00 发布
最新推荐文章于 2024-05-05 09:00:00 发布
阅读量5.6k 收藏 14
点赞数 1
分类专栏: EVE-NG 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57193107/article/details/125073156
版权

仅供参考。有错请大神留言。

一、实验拓扑

 

设备名称

接口序号

IP地址

备注

R1-姓名简拼

0

202.100.1.1/24

loopback0

100.100.100.100/32

R2-姓名简拼

0

202.100.2.1/24

loopback0

100.100.100.100/32

R3-姓名简拼

0

192.168.10.1/24

loopback0

192.168.20.1/24

loopback1

192.168.30.1/24

R4-姓名简拼

0

172.16.10.1/24

loopback0

172.16.20.1/24

loopback1

172.16.30.1/24

ASA-姓名简拼

0

202.100.1.254/24

需要为ASA设置5个以上的接口

1

202.100.2.254/24

2

192.168.10.254/24

3

172.16.10.254/24

4

192.168.**.100

**为个人学号后两位

windows 21

网卡适配器

DHCP(或者手动配置192.168.**.1;**为个人学号后两位)

在szx_lab平台上创建对象为“网络”,类型为“management(cloud0)”

二、实验需求: 

需求1:按照拓扑的规划完成各路由器的命名及接口IP配置

需求2:R3路由器上开启http服务,R4路由器上开启telnet服务

需求3:R1和R2路由器配置默认路由,下一跳为相应的防火墙接口地址

需求4:完成防火墙的基础配置

  1. 按照拓扑的要求完成各接口的IP地址、安全级别和nameif的配置
  2. 防火墙配置2条等价默认路由,使得访问Internet网络能够负载均衡
  3. 防火墙上配置访问控制策略,允许Internet网络的流量能够在工作时间(周一到周五)上午9点~下午18点之间可以访问dmz区域内192.168.10.1主机的http服务。
  4. 防火墙上使用object group创建访问控制策略,允许internet网络的流量能够访问dmz区域内192.168.20.1、192.168.30.1主机的http/ssh/https的服务。
  5. 网络管理员怀疑inside内部中有一台主机(172.16.20.1)有问题,想暂时禁止此主机访问(同时也拒绝其他人访问此主机),请给出解决方案
  6. 在防火墙上配置安全策略,禁止出现仿冒源IP地址攻击。
  7. 防火墙上配置全局访问控制策略,拒绝任何流量访问inside网络中任何主机的telnet。

三、配置步骤(所有的关键命令配置以文本的形式呈现,不要截图。)

3.1需求1:按照拓扑的规划完成各路由器的命名及接口IP配置

R1设备

关键配置命令

Router(config)#ho R1

R1 (config)#int e0/0

R1 (config-if)#ip add 202.100.1.1 255.255.255.0

R1 (config-if)#no shu

R1 (config-if)#ex

R1 (config)#int loopback 0

R1 (config-if)#ip add 100.100.100.100 255.255.255.255

R2设备

关键配置命令

Router(config)#hostname R2

R2 (config)#int e0/0

R2 (config-if)#ip add 202.100.2.1 255.255.255.0

R2 (config-if)#no shu

R2 (config-if)#exit

R2 (config)#int loopback 0

R2 (config-if)#ip add 100.100.100.100 255.255.255.255

R3设备

关键配置命令

Router(config)#hostname R3

R3 (config)#int e0/0

R3 (config-if)#ip add 192.168.10.1 255.255.255.0

R3 (config-if)#no shu

R3 (config-if)#exit

R3 (config)#int loopback 0

R3 (config-if)#ip add 192.168.20.1 255.255.255.0

R3 (config-if)#int loopback 1

R3 (config-if)#ip add 192.168.30.1 255.255.255.0

R4设备

关键配置命令

Router(config)#ho R4

R4 (config)#int e0/0

R4 (config-if)#ip add 172.16.10.1 255.255.255.0

R4 (config-if)#no shu

R4 (config-if)#ex

R4 (config)#int loopback 0

R4 (config-if)#ip add 172.16.20.1 255.255.255.0

R4 (config-if)#int loopback 1

R4 (config-if)#ip add 172.16.30.1 255.255.255.0

在R1/R2/R3/R4设备上输入验证命令:show ip interface brief

R1验证截图:

R2验证截图:

R3验证截图:

R4验证截图:

3.2需求2:R3路由器上开启http服务,R4路由器上开启telnet服务

R3设备

关键配置命令

R3 (config)#ip http server

R4设备

关键配置命令

R4 (config)#line vty 0 4

R4 (config-line)#password 123

R4 (config-line)#transport input telnet

R4 (config-line)#login

R4 (config-line)#exit

在R3设备上输入验证命令:telnet 192.168.10.1 80

R3验证截图:

在R4设备上输入验证命令:telnet 172.16.10.1

R4验证截图:

3.3需求3:R1和R2路由器配置默认路由,下一跳为相应的防火墙接口地址

R1设备

关键配置命令

R1 (config)#ip route 0.0.0.0 0.0.0.0 202.100.1.254

R2设备

关键配置命令

R2 (config)#ip route 0.0.0.0 0.0.0.0 202.100.2.254

在R1/R2设备上输入验证命令:show ip route

R1验证截图:

R2验证截图:

3.4需求4:完成防火墙的基础配置

  1. 按照拓扑的要求完成各接口的IP地址、安全级别和nameif的配置

ASA设备

关键配置命令

 ASA(config)# int e0

 ASA(config-if)# ip add 202.100.1.254 255.255.255.0

 ASA(config-if)# no shu

 ASA(config-if)# int e1

 ASA(config-if)# ip add 202.100.2.254 255.255.255.0

 ASA(config-if)# no shu

 ASA(config-if)# int e2

 ASA(config-if)# ip add 192.168.10.254 255.255.255.0

 ASA(config-if)# security-level 50

 ASA(config-if)# no shu

 ASA(config-if)# int e3

 ASA(config-if)# ip add 172.16.10.254 255.255.255.0

 ASA(config-if)# no shu

 ASA(config-if)# int e4

 ASA(config-if)# ip add 192.168.51.100 255.255.255.0

 ASA(config-if)# no shu

 ASA(config-if)# ex

 ASA(config)# int e0

 ASA(config-if)# nameif Internet

INFO: Security level for "Internet" set to 0 by default.

 ASA(config-if)# int e1

 ASA(config-if)# nameif Internet

ERROR: Name "Internet" has been assigned to interface Ethernet0

 ASA(config-if)# int e2

 ASA(config-if)# nameif DMZ

INFO: Security level for "DMZ" set to 0 by default.

 ASA(config-if)# int e3

 ASA(config-if)# nameif Inside

INFO: Security level for "Inside" set to 100 by default.

 ASA(config-if)# int e4

 ASA(config-if)# nameif MGMT

INFO: Security level for "MGMT" set to 0 by default.

 ASA(config-if)#

在ASA上输入命令show interface ip brief

ASA验证截图:

  1. 防火墙配置2条等价默认路由,使得访问Internet网络能够负载均衡

ASA设备

关键配置命令

ASA(config)# route Internet 0.0.0.0 0.0.0.0 202.100.1.1 1

ASA(config)# route Internet1 0.0.0.0 0.0.0.0 202.100.2.1 2

在ASA上输入命令show route

ASA验证截图:

  1. 防火墙上配置访问控制策略,允许Internet网络的流量能够在工作时间(周一到周五)上午9点~下午18点之间可以访问dmz区域内192.168.10.1主机的http服务。

ASA设备

关键配置命令

 ASA(config)# clock timezone beijin +8

ASA(config)# clock set 15:13:00 27 May 2022

 ASA(config)# time-range http_Internert

 ASA(config-time-range)# periodic weekdays 9:00 to 18:00

 ASA(config)#access-list In-DMZ-http extended permit tcp 202.100.1.0 255.255.255.0 host 192.168.10.1 eq http time-range http_Internert

ASA(config)# access-group In-DMZ-http in interface Internet

R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.254

在R1上输入命令telnet 192.168.10.1 80

R1验证截图:

  1. 防火墙上配置访问控制策略,允许internet网络的流量能够访问dmz区域内192.168.20.1、192.168.30.1主机的http/ssh/https的服务。

ASA设备

关键配置命令

ASA(config)# object-group service IN-ser

ASA(config-service-object-group)# service-object tcp destination  eq http

ASA(config-service-object-group)# service-object tcp destination  eq https

ASA(config-service-object-group)# service-object tcp destination  eq ssh

ASA(config-service-object-group)# exit

ASA(config)# object-group network IN-DMZ

ASA(config-network-object-group)# network-object host 192.168.20.1

ASA(config-network-object-group)# network-object host 192.168.30.1

ASA(config)# access-list IN-DM extended permit object-group IN-ser 202.100.1.0 255.255.255.0 object-group IN-DMZ

ASA(config)# access-group IN-DM in interface Internet

ASA(config)# route DMZ 192.168.20.1 255.255.255.0 192.168.10.1

ASA(config)# route DMZ 192.168.30.1 255.255.255.0 192.168.10.1

  1. 在R1上输入命令telnet 192.168.20.1 80
  2. 在R1上输入命令telnet 192.168.30.1 80

1)R1验证截图:

2)R1验证截图:

  1. 网络管理员怀疑inside内部中有一台主机(172.16.20.1)有问题,想暂时禁止此主机访问(同时也拒绝其他人访问此主机),请给出解决方案

ASA设备

关键配置命令

R3(config)#access-list 20 demy host 192.168.20.1

R3(config)#int loopback 0

R3(config-if)#ip access-group 20 in

ASA(config)# shun 192.168.20.1

在ASA上输入命令show shun

ASA验证截图:

  1. 在防火墙上配置安全策略,禁止出现仿冒源IP地址攻击。

ASA设备

关键配置命令

ASA(config)# ip verify reverse-path interface Internet

  1. 防火墙上配置全局访问控制策略,拒绝任何流量访问inside网络中任何主机的telnet。

 配置命令或过程

ASA设备

关键配置命令

ASA(config)# access-list IN-te extended demy tcp any 192.168.0.0 255.255.0.0 eq telnet

ASA(config)# access-group IN-te in interface inside

 

小啊菜
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙技术中基于角色访问的控制策略
07-05
防火墙实现技术为背景,对Windows防火墙技术的数据包截获模块和数据包过滤模块这2大核心模块着重进行了研究,实现关于防火墙技术中的角色访问控制策略。并综合比较各种网络数据包拦截技术,针对传统过滤匹配算法的...
SRX防火墙策略控制域名访问
10-15
SRX防火墙策略控制域名访问,实现基于url的数据包过滤
深信服防火墙设置应用控制策略(菜鸟必看)
m0_64423407的博客
11-28 2402
深信服防火墙设置ACL应用控制策略(菜鸟必看)
锐捷防火墙(WEB)——常见问题
君逍遥o
09-28 805
全新NGFW采用多核cpu+ASIC芯片的一种处理架构,芯片分为两种、一种是NP芯片、一种是CP芯片,NP芯片他是处理网络层以及传输层的一些数据转发、可以达到线速转发。一旦防火墙建立会话之后,在后续的匹配同一个会话的数据包都会有NP芯片直接处理转发。还有一种是CP芯片,CP芯片主要是用于处理应用层内容加速的,比如ips、防病毒、应用过滤等需要应用层检测的都会由CPU送到CP芯片进行加速处理。正式因为有了NP芯片和CP芯片的处理架构,所以全新NGFW具有非常高的性能。
防火墙在校园出口安全方案一:基于IP地址的策略控制
最新发布
ZL_1618的博客
05-05 629
本案例介绍了防火墙在校园出口安全方案中的应用。通过分析校园网安全面临的主要问题以及校方在网络访问管理中的常见需求。随着教育信息化的加速,高校网络建设日趋完善,在师生畅享丰富网络资源的同时,校园网络的安全问题也逐渐凸显,并直接影响学校的教学、管理、科研等活动。如何构建一个安全、高速的校园网络,已成为高校网络管理者需要迫切解决的问题。网络边界防护:校园网一般拥有多个出口,链路带宽高,网络结构复杂;病毒、蠕虫的传播成为最大安全隐患;越来越多的远程网络接入,对安全性构成极大挑战。内容安全防护。
防火墙访问控制Access Control
wenze123的博客
02-26 4957
一 概述   访问控制技术,指防止对任何资源进行未授权的访问,从而使计算机系统在合法的范围内使用。意指用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。   访问控制的主要目的是限制访问主体对客体的访问,从而保障数据资源在合法范围内得以有效使用和管理。   访问控制(Access Control)指系统对用户身份及其所属的预先定义的策略组限制其使用数...
windows中的出站和入站规则
男神的专栏
03-14 4280
另外,这里配置的是阻止连接,还有允许连接,因为默认的就是允许连接,因为你不能直接就禁止一个客户端程序访问它的服务器,比如网易云音乐。对端口设置阻止连接后,本机向外的请求中,如果请求的远程服务器端口是设置的端口,那么请求会被拦截。可以设置所有端口,那么所有请求都会被拦截。入站规则是用来限制远程主机访问本机的服务的,就是说,本机接收的请求中如果被请求的程序或具体端口是被限制的,该请求被拦截。出则规则使用来限制对外访问的,也就是说从本机发出的请求中,如果请求的对象是被禁止的,该请求会被拦截,表现方式就是断网。
【CyberSecurityLearning 21】防火墙
_Co1a
02-23 3188
目录 防火墙 防火墙的基本概念 防火墙的基本功能 防火墙产品及厂家 区域隔离 防火墙的分类 防火墙的发展历史 ▪包过滤防火墙 ▪应用网关/应用代理防火墙 ▪状态检测防火墙 (主流) ▪DPI防火墙(Deep Packet Inspection) 衡量防火墙性能的5大指标 防火墙的典型应用 1、标准应用 ——透明模式 2、标准应用 ——路由模式 /NAT模式 3、标准应用 ——混杂模式 4、高级应用—双机热备 防火墙策略分析-最安全的防火墙架构 实验 防火墙 防火墙
Iptables防火墙访问策略
杨柳升
09-25 742
IPTABLES 防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在linux内核中.数据包过滤表中,规则被分组放在我们所谓的链(chain)中. iptables5个链 INPUT:入站规则 OUTPUT:出站规则 FORWARD:转发规则 PREROUTING:路由前规则 POSTROUTING:路由后规则 过滤匹配流程 规则链内匹...
防火墙安全策略
qq_44850340的博客
02-04 5139
包过滤技术基础 包过滤技术简介: 对需要转发的数据包,先获取报头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。 实现包过滤的核心技术是访问控制列表。 包过滤作为一种网络安全保护机制,主要用于对网络中各种不同的流量是否转发做一个最基本的控制。传统的包过滤...
防火墙访问控制规则配置--教案整理.pdf
11-08
防火墙访问控制规则配置--教案整理.pdf
什么是访问控制策略
07-09
访问控制策略网络安全防范和保护...访问控制策略包括入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略网络服务器安全控制策略网络监测、锁定控制策略防火墙控制策略等7个方面的内容。
访问控制的基本概念
07-09
访问控制是信息安全领域中的核心概念,它涉及到对信息系统资源的管理和保护,确保只有授权的用户才能访问特定的数据和系统功能。...理解和实施有效的访问控制策略是任何信息系统管理者的重要任务。
ASA访问控制列表与穿越用户认证_03
weixin_33882443的博客
06-12 391
访问控制列表ACL ACL可用于接口,也有全局的 接口访问控制列表只能控制穿越流量(session连接除外)所有到ASA终结的流量,被不同的管理访问列表控制(如:ssh 0 0 DMZ)ASA发起的都被允许ASA配置相同优先级的acl是将原来的挤下去,路由器是直接替换接口规则和安全默认:outbound(高->低)允许,inb...
PIX常见问题
weixin_34200628的博客
08-05 860
如何允许外网用户telnet至pix的outside? 补充一下 licensed features: ***-des: enabled ***-3des: disabled 用ssh就可以。 telnet不可以! 对inside 倒dmz的访问,需要做nat配 cript language=javascript src="/cms/js...
防火墙按照访问控制方式分类
YT的博客
01-09 7681
包过滤防火墙 特点:包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是:通过配置访问控制列表(ACL, Access Control List)实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。 优点:设计简单,易于实现,价格便宜。 缺点: 随着ACL复杂度和长度的增加,其过滤性能呈指数下...
ASA防火墙学习笔记2-ACL访问控制策略
weixin_33912638的博客
05-24 2185
win10 代理服务器出现问题 或者地址有误
热门推荐
耀耀zz的博客
10-02 10万+
本人win10系统,今天晚上使用浏览器,打开页面的时候突然出现了: 代理服务器出现问题 或者地址有误。 具体诊断,错误截图也就不放了。 解决办法:原本那个使用代理服务器不知道怎么的打开了,关掉之后再通过浏览器就可以上网了。
防火墙访问控制列表:策略、应用与安全详解
防火墙访问控制列表推荐.pdf是一份关于网络安全的重要文档,主要讨论了防火墙如何通过访问控制列表实现精细化的网络管理。文档分为多个部分,涵盖了以下几个关键知识点: 1. 访问控制列表的应用: - 防火墙的访问...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值