第四组-16通信2班-056基于上下文的访问控制以及区域策略防火墙

拓扑图

地址规划

设备

接口

地址

网关

R1

S0/0/0

F0/0

 

10.56.1.1

10.56.11.1

 

R2

S0/0/0

S0/0/1

10.56.1.2

10.56.2.2

 

R3

S0/0/1

F0/0

10.56.2.3

10.56.13.1

 

PC0

Fa0

10.56.13.3

10.56.13.1

Server0

Fa0

10.56.11.3

10.56.11.1

配置静态路由实现互通

R1(config)#ip route 10.56.2.0 255.255.255.0 10.56.1.2

R1(config)#ip route 10.56.13.0 255.255.255.0 10.56.1.2

 

R2(config)#ip route 10.56.13.0 255.255.255.0 10.56.2.3

R2(config)#ip route 10.56.11.0 255.255.255.0 10.56.1.1

 

 

R3(config)#ip route 10.56.1.0 255.255.255.0 10.56.2.2

R3(config)#ip route 10.56.11.0 255.255.255.0 10.56.2.2

 

 

 

检验

PC0的命令提示符中ping 服务器

PC0telnet路由R2s0/0/1接口

PC0开一个网页浏览器登入SEVER0来展示网页

server0ping PC0

基于上下文的访问控制

R3配置一个命名IP ACl阻隔所有外网产生的流量。

R3(config)#ip access-list extended OUT-IN

R3(config-ext-nacl)#deny ip any any

R3(config-ext-nacl)#exit

R3(config)#int s0/0/1

R3(config-if)#ip access-group OUT-IN in

 

PC0ping server0服务器。ICMP回送响应会被ACL阻隔

创建一个CBAC检测规则

第一步:创建规则

R3(config)#ip inspect name IN-OUT-IN icmp

R3(config)#ip inspect name IN-OUT-IN telnet

R3(config)#ip inspect name IN-OUT-IN http

第二步 :开启时间戳记记录和CBAC审计跟踪信息。

R3(config)#ip inspect audit-trail

R3(config)#service timestamps debug datetime msec

R3(config)#logging host 10.56.11.3

第三步    对在s0/0/1的出口流量用检测规则

R3(config-if)#ip inspect IN-OUT-IN out

验证

PC0成功pingtelnet访问server0来检测连通性。需要注意Telnet不了

 

在server0 ping,Telnet PC0来检测连通性,这两步都被阻隔掉

说明配置基于上下文的访问控制协议成功

 

 

F.配置基于区域策略防火墙

R3创建区域防火墙

R3(config)#zone security IN-ZONE

R3(config-sec-zone)#zone security OUT-ZONE

 定义一个流量级别和访问列表

R3(config)#access-list 101 permit ip 10.56.13.0 0.0.0.255 any

第二步 创建一个涉及内部流量ACLclass map

R3(config)#class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)#match access-group 101

指定防火墙策略

R3(config)#policy-map type inspect IN-2-OUT-PMAP

R3(config-pmap)#CLAss type inspect IN-NET-CLASS-MAP

应用防火墙策略配置

第一步 创建一对区域

R3(config)#zone-pair security IN-2-OUT-2PAIR source IN-ZONE destination OUT-ZONE

第二步 定义策略图来控制两个区域的流量

R3(config-sec-zone-pair)#service-policy type inspect IN-2-OUT-PMAP

第三步 把端口调用到合适的安全区域。

R3(config)#int f0/0

R3(config-if)#zone-member security IN-ZONE

R3(config)#int s0/0/1

R3(config-if)#zone-member security OUT-ZONE

检验

 PC0 pingserver0服务器

PC0telnetR2 s0/0/1

检查完成情况

测试外部区域到内部区域的防火墙功能

第一步 server0 ping PC0ping 不通)

第二步 R2 ping PC-Cping不通

 

posted @ 2019-05-29 09:38  想吃饭想喝汤  阅读(165)  评论(6编辑  收藏  举报