路漫漫其修远兮,吾将上下而求索
本实验将介绍acl在安全策略中的应用,希望对你所学的知识和自己的网络技术提升有所帮助。
1.内容
模拟简单公司网络,拓扑图如图所示
2.配置
2.1配置服务器
配置ftp服务器,配置前不要启动此设备
按上图选择自己想选的文件夹即可
然后启动该设备,点击服务器信息,FTP里面的启动按钮,即可启动,查看日志信息
配置web服务器
启动完成
2.2配置接口和设备的IP地址
此处不再配置。您若有配置问题请询问www.baidu.com
2.3为各部门建立区域
在R1上为HR,IT,SALES,分别创建区域。再创建trust区域,web和ftp属于trust区域
HR安全级别为12 下文简称H
IT安全级别为8 下文简称I
SALES安全级别为10 下文简称S
trus安全级别12 下文简称T
安全级别 0~15,15保留给local区域使用,AR路由系列共有16种级别
按图将不同接口加入到相应的区域
使用dis firewall zone 查看配置
2.4禁止S与H部门进行互访
创建ACL, 拒绝 H到S报文,在h-s区域的outbound方向上引用
rule d ip s 172.16.1.0 0.0.0.255 de 172.16.2.0 0.0.0.255
制定规则,拒绝 IP源地址 为172.16.1.0/24 到 目的地址172.16.2.0/24 的报文通过
此时pc1和pc2无法通信
2.4 S部门可以访问web,不可以访问ftp
指定acl规则
r 10 p tcp s 172.16.2.0 0.0.0.255 d 192.168.1.20 0 des eq 80
规则 10 允许 tcp 源地址为 172.16.2.0/24段 目的地址为 192.168.1.20的主机的 目的端口为80 的服务通过
测试
配置成功
2.5 IT部门配置
IT部门可随时访问ftp,但每天12~16点可以访问web,并且IT部门随时可以ping通ftp和web服务器
time-range 名字 时间 to 时间 设置时间段命令
以下是制定规则的四条命令,依次是
设置时间段访问web
随时访问ftp
随时ping通ftp和web
在IT和TRUST部门防火墙区域使用acl3003
测试
由于此时正处于12点到16点之间,所有IT部门可以访问web服务器,配置成功。
2.6实现对设备安全管理
只允许S1上vlanif 1的IP地址192.168.1.1登录R1
S1上创建vlanif 1,并按拓扑图进行配置
设置登录vty, 配置acl2000, 只让192.168.1.1登录
测试
登录成功
更改S1的vlanif地址为192.168.1.2/24,再尝试登录
发现登录不成功,配置成功了。
3问题-总结
1.关于禁止SALES与HR部门直接互访,为什么要创建acl 3000,并在两区域outbound方向上调用?
答:AR系列路由器防火墙特性,要注意流量的方向。从高安全级别区域去低安全级别的报文称为oubound;从低区域到高区域称inbound报文。
开启域间防火墙,高区域可以访问低区域,低区域不可访问高区域,如果不创建acl 3000,并在outbound方向调用,那么此时HR部门可以访问SALES部门,SALES部门不能访问HR,不能实现禁止互访。
2.总结
此实验是简单的企业各部门与服务器,部门与部门之间的路由配置实验。
希望对您有所帮助,谢谢观看。
5558
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
