防火墙技术综合实验

 

 

 

扩展ACL

 

一,实验拓扑

 

二,实验步骤:

(1)测试网络连通性,PC1 ping 服务器。

(2)配置路由器R0

R0(config)#access-list 110 remark this is an example for extended acl//添加备注,增加可读性

R0(config)#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.100 eq 80

//拒绝PC1 所在网段访问Server 172.9.3.100 的Web 服务

R0(config)#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.3.100 eq 21

R0(config)#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.3.100 eq 20

//拒绝PC2 所在网段访问Server 172.9.3.100 的Ftp 服务

R0(config)#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.100 eq

1433//拒绝PC1 所在网段访问Server 172.9.3.100 的SQL 服务

R0(config)#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.23.3 eq 23

R0(config)#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.3 eq 23

//拒绝PC1 所在网段访问路由器R2 的Telnet 服务

R0(config)#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.12.2 eq 80

R0(config)#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.23.2 eq 80

//拒绝PC2 所在网段访问路由器R2 的Web 服务

R0(config)#access-list 110 deny icmp 172.9.1.0 0.0.0.255 host 172.9.3.100

R0(config)#access-list 110 deny icmp 172.9.2.0 0.0.0.255 host 172.9.3.100

//拒绝PC1 和PC2 所在网段ping Server 服务器

R0(config)#access-list 110 permit ip any any

R0(config)#int s0/0/0

R0(config-if)#ip access-group 110 out //接口下应用ACL

(3)配置路由器R2

R2(config)#access-list 120 deny icmp host 172.9.23.2 host 172.9.23.3 echo

R2(config)#access-list 120 permit ip any any

R2(config)#int s0/0/1

R2(config-if)#ip access-group 120 in

 

三,实验调试

(1)     路由器R0上查看ACL 110

(2)     路由器R2和路由器R1,互相ping

(3)     路由器R2上查看ACL 120

(4)     配置命令扩展ACL

R2(config)#ip access-list extended acl120

R2(config-ext-nacl)#deny icmp host 172.9.23.2 host 172.9.23.3 echo

R2(config-ext-nacl)#permit ip any any

R2(config-ext-nacl)#int s0/0/1

R2(config-if)#ip access-group acl120 in

自反ACL

一,实验拓扑

一,实验步骤

(1)     测试网络连通性,R2 ping R4

(1)     配置拒绝外网主动访问内网

  i.            配置允许ICMP可以不用标记进入内网,其它的必须被标记才返回

 r1(config-ext-nacl)#permit icmp any any         被允许的ICMP是不用标记即可进入内网的

r1(config-ext-nacl)#evaluate abc                其它要进入内网的,必须是标记为abc的

ii.            应用ACL

r1(config)#int f0/1

r1(config-if)#ip access-group come in

iii.            测试外网R4的ICMP访问内网

说明:可以看到,ICMP是可以任意访问的

 iv.            测试外网R4 telnet 内网

说明:可以看到,除ICMP外,其它流量是不能进入内网的

v.            测试内网R2的ICMP访问外网

说明:可以看到,内网发ICMP到外网,也正常返回了

vi.            测试内网R2发起telnet到外网

说明:可以看到,除ICMP外,其他流量是不能通过的

(3)     配置内网向外网发起的telnet被返回

 

说明:外网和内网之间的ICMP可以不受限制,外网不能telnet内网,但内网telnet外网时,需要配置记录,让其返回,根据上面的ACL配置,可以返回的,必须是标为abc的,所以在此为内网发向外网的telnet标为abc,返回时,就会有缺口,因此内网能正常telnet外网,但外网不可主动telnet内网。

A:配置内网出去时,telnet被记录为abc,将会被允许返回

 

r1(config)#ip access-list extended  goto

r1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60   telnet已记为abc

r1(config-ext-nacl)#permit ip any any       

 

B:应用ACL

r1(config)#int f0/1

r1(config-if)#ip access-group goto out

 

三,实验调试

(1)     查看R2到外网的ICMP

说明:ICMP属于正常

(2)     查看内网向外网发起的telnet

说明:可以看出,此时内网向外网的telnet因为被标记为abc,所以再回来时,开了缺口,也就允许返回了

(3)     查看ACL

说明:可以看到,有一条为abc的ACL为允许外网到内网的telnet,正是由于内网发到外网的telnet被标记了,所以也自动产生了允许其返回的ACL,并且后面跟有剩余时间。

动态ACL

一,实验原理

Dynamic ACL在一开始拒绝用户相应的数据包通过,当用户认证成功后,就临时放行该数据,但是在会话结束后,再将ACL恢复最初的配置。要定义Dynamic ACL什么时候恢复最初的配置,可以定义会话超时,即会话多久没有传数据,就断开,也可以定义绝对时间,即无论会话有没有结束,到了规定时间,也要断开。

二,实验拓扑

三,实验步骤

1, 测试网络连通性

2, 配置Dynamic ACL

r1(config)#access-list 100 permit tcp an an eq telnet

3, 配置认证之后才能通过的数据,如ICMP,绝对时间为2分钟

r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

4, 应用ACL

r1(config)#int f0/0

r1(config-if)#ip access-group 100 in

四,实验调试

1, 测试内网R2 telnet 外网R4

说明:从结果中看出,telnet不受限制

2, 测试内网R2 ping 外网R4

说明:内网在没有认证之前,ICMP是无法通过的

3, 配置本地用户数据库

r1(config)#username ccie password cisco

4, 配置所有人的用户名具有访问功能

r1(config)#line vty 0 181

r1(config-line)#login local

r1(config-line)#autocommand access-enable  这条必加

5, 内网R2做认证

说明:当telnet路由器认证成功后,是会被关闭会话的

6, 测试内网到外网的ICMP通信功能

说明:认证通过之后,ICMP被放行

7, 查看ACL状态

基于时间的ACL

一,实验原理

原理: 要通过ACL来限制用户在规定的时间范围内访问特定的服务,首先设备上必须配置好正确的时间。在相应的时间要允许相应的服务,这样的命令,在配置ACL时,是正常配置的,但是,如果就将命令正常配置之后,默认是在所有时间内允许的,要做到在相应时间内允许,还必须为该命令加上一个时间限制,这样就使得这条ACL命令只在此时间范围内才能生效。而要配置这样的时间范围,是通过配置time-range来实现的,在time-range中定义好时间,再将此time-range跟在某ACL的条目之后,那么此条目就在该时间范围内起作用,其它时间是不起作用的。

二,实验拓扑

三,实验步骤

1, 测试网络连通性

2, 配置time-rang

r1(config)#time-range TELNET

r1(config-time-range)#periodic weekdays 9:00 to 15:00

说明:定义的时间范围为每周一到周五的9:00 to 15:00

3, 配置ACL

说明:配置R1在上面的时间范围内拒绝R2到R4的telnet,其它流量全部通过。

r1(config)#access-list 150 deny tcp host 10.1.1.2 any eq 23 time-range TELNET

r1(config)#access-list 150 permit ip any any

4, 应用ACL

r1(config)#int f0/0

r1(config-if)#ip access-group 150 in

四,实验调试

1, 查看当前R1的时间

2, 测试R2向R4发起的telnet会话

说明:当时时间不再制定范围,所以能TELNET成功

基于上下文的访问控制

一,实验拓扑

二,实验步骤

1, 测试网络连通性

2, 在R2上配置一个命名为IP ACL阻隔所有外网产生的流量

    用ip access-list extended指令创造一个已命名的IP ACL

    R2(config)# ip access-list extended OUT-IN

    R2(config-ext-nacl)# deny ip any any

R2(config-ext-nacl)# exit

3, 应用ACL

R2(config)# interface s0/0/1

R2(config-if)# ip access-group OUT-IN in

说明:确保进入s0/0/1接口的流量被阻隔

4, 创建一个CBAC检测规则

R2(config)# ip inspect name IN-OUT-IN icmp

R2(config)# ip inspect name IN-OUT-INtelnet

R2(config)# ip inspect name IN-OUT-INhttp

5, 开启时间记录和CBAC审计信息

R2(config)# ip inspect audit-trail

R2(config)# service timestamps debug datetime msec

R2(config)# logging host 192.168.1.3

R2(config-if)# ip inspect IN-OUT-IN out

三,实验调试

1, 验证审计跟踪信息正被syslog服务器记录

需要注意,telnet不了

2, show ip inspect sessions

 

3, show ip inspect config

 

区域策略防火墙

一,实验拓扑

二,实验步骤

1, 测试网络连通性

PC ping 服务器

PC telnet 到R2上

PC登陆到服务器的网页

2, 在R2创建区域防火墙

R2(config)# zone security IN-ZONE

R2(config-sec-zone)# zone security OUT-ZONE

R2(config-sec-zone)# exit

3, 定义一个流量级别和访问列表

R2(config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 any

R2(config)# class-map type inspect match-all IN-NET-CLASS-MAP

R2(config-cmap)# match access-group 101

R2(config-cmap)# exit

4, 指定防火墙策略

R2(config)# policy-map type inspect IN-2-OUT-PMAP

R2(config-pmap)# class type inspect IN-NET-CLASS-MAP

R2(config-pmap-c)# inspect

5, 应用防火墙策略

R2(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

R2(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R2(config-sec-zone-pair)# exit R2(config)#

R2(config)# interface fa0/1

R2(config-if)# zone-member security IN-ZONE

R2(config-if)# exit

R2(config)# interface s0/0/1

R2(config-if)# zone-member security OUT-ZONE

R2(config-if)# exit

三,实验调制

1, 测试聪IN-ZONE到OUT-ZONE的防火墙功能

PC ping 服务器

PC telnet 到R2

R2上查看完成情况

2, 测试外部区域到内部区域的防火墙功能

验证配置ZPF之后外部无法访问内部

服务器ping PC(ping不通)

R2 ping PC(ping 不通)

实验总结

  本次实验将前面所学的网络安全知识进行重新的处理总结,通过重新做这些实验,我发现了他们之间存在一定的联系,比如配置防火墙是可以添加ACL规则进行安全加固,但是必须要理清他们的运作原理。本次实验我对防火墙和ACL进行了大概的总结,就是这两个协议都能抵御来自外网的攻击,提高网络安全性,但是对于来自内网的攻击难以抵御,且在应用前都必须经过反复验证,确保其可行性,不会阻碍正常的网络运行。

 

posted on 2019-05-15 21:00  _Steward  阅读(529)  评论(1编辑  收藏  举报

Powered by: 博客园 Copyright © 2024 _Steward
Powered by .NET 8.0 on Kubernetes