防火墙技术
扩展ACL
拓扑:
地址表:
|
设备名 |
端口 |
地址 |
|
R1 |
Fa 0/0 |
172.92.1.1/24 |
|
Fa 0/1 |
172.92.2.1/24 |
|
|
Se 0/0/0 |
172.92.12.1/24 |
|
|
R2 |
Se 0/0/0 |
172.92.12.2/24 |
|
Se 0/0/1 |
172.92.23.2/24 |
|
|
R3 |
Se 0/0/1 |
172.92.23.3/24 |
|
Fa 0/0 |
172.92.3.3/24 |
|
|
PC1 |
Fa0 |
172.92.1.100/24 |
|
PC2 |
Fa0 |
172.92.2.100/24 |
|
SERVER1 |
Fa0 |
172.92.3.100/24 |
配置步骤
为R1,R2,R3配置静态路由,使他们互通
R1pingR3
R3pingR1
R2pingR3和R1
(一)配置路由器 R1
R1(config)#access-list 110 remark this is an example for extended acl
R1(config)#access-list 110 deny tcp 172.92.1.0 0.0.0.255 host 172.92.3.100 eq 80
R1(config)#access-list 110 deny tcp 172.92.2.0 0.0.0.255 host 172.92.3.100 eq 21
R1(config)#access-list 110 deny tcp 172.92.2.0 0.0.0.255 host 172.92.3.100 eq 20
R1(config)#access-list 110 deny tcp 172.92.1.0 0.0.0.255 host 172.92.3.100 eq 1433
R1(config)#access-list 110 deny tcp 172.92.1.0 0.0.0.255 host 172.92.23.3 eq 23
R1(config)#access-list 110 deny tcp 172.92.1.0 0.0.0.255 host 172.92.3.3 eq 23
R1(config)#access-list 110 deny tcp 172.92.2.0 0.0.0.255 host 172.92.12.2 eq 80
R1(config)#access-list 110 deny tcp 172.92.2.0 0.0.0.255 host 172.92.23.2 eq 80
R1(config)#access-list 110 deny icmp 172.92.1.0 0.0.0.255 host 172.92.3.100
R1(config)#access-list 110 deny icmp 172.92.2.0 0.0.0.255 host 172.92.3.100
R1(config)#access-list 110 permit ip any any
R1(config)#int s0/0/0
R1(config-if)#ip access-group 110 out //接口下应用ACL
(二)配置路由器R3
R3(config)#access-list 120 deny icmp host 172.92.23.2 host 172.92.23.3 echo
R3(config)#access-list 120 permit ip any any
R3(config)#int s0/0/1
R3(config-if)#ip access-group 120 in
四、实验调试
(一)路由器R1 上查看ACL110
R1#show ip access-lists 110
(二)R3pingR2
R3#ping 172.92.23.2
(三)路由器R3 查看ACL 120
R3#show ip access-lists 120
(四)配置命令扩展ACL
R3(config)#ip access-list extended acl120
R3(config-ext-nacl)#deny icmp host 172.92.23.2 host 172.92.23.3 echo
R3(config-ext-nacl)#permit ip any any
R3(config-ext-nacl)#int s0/0/1
R3(config-if)#ip access-group acl120 in
R3#show ip access-lists
自反ACL
拓扑:
动态ACL与基于时间的ACL都使用该拓扑
地址表:
|
设备名 |
端口 |
地址 |
|
R1 |
F 0/0 |
10.92.1.1/24 |
|
F 0/1 |
14.92.1.1/24 |
|
|
R2 |
F 0/0 |
10.92.1.2/24 |
|
R3 |
F 0/0 |
10.92.1.3/24 |
|
R4 |
F 0/1 |
14.92.1.4/24 |
|
Ethernetswitch-1 |
|
|
动态ACL与基于时间的ACL都使用该地址表
配置步骤:
为R1,R2,R3,R4配置静态路由
R3pingR4
R3pingR2
R4pingR3
1.配置拒绝外网主动访问内网
(1)配置允许ICMP可以不用标记就进入内网,其它的必须被标记才返回
r1(config)#ip access-list extended come
r1(config-ext-nacl)#permit icmp any any
r1(config-ext-nacl)#evaluate abc
(2)应用ACL
r1(config)#int f0/1
r1(config-if)#ip access-group come in
2.测试实验结果
(1)测试外网R4的ICMP访问内网
r4#ping 10.92.1.2
ICMP可以访问
(2)测试外网R4 telnet内网
r4#telnet 10.92.1.2
除ICMP之外,其它流量不能进入内网。
(1) 测试内网R2的ICMP访问外网
r2#ping 14.92.1.4
内网发ICMP到外网,正常返回。
(2) 测试内网R2发起telnet到外网
r2#telnet 14.92.1.4
除ICMP之外,其它流量不能通过
配置内网向外网发起的Telnet 被返回
(1)配置内网出去时,telnet被记录为abc,将会被允许返回
r1(config)#ip access-list extended goto
r1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60
r1(config-ext-nacl)#permit ip any any
(2)应用ACL
r1(config)#int f0/1
r1(config-if)#ip access-group goto out
4.测试结果
(1)查看R2到外网的ICMP
r2#ping 14.92.1.4
ICMP正常
(3)查看内网向外网发起telnet
r2#telnet 14.92.1.4
(4)查看ACL
r1#sh ip access-lists
动态ACL
拓扑与地址表与自反ACL相同
为R1,R2,R3,R4配置静态路由
1.配置Dynamic ACL
(1)配置默认不需要认证就可以通过的数据
r1(config)#access-list 100 permit tcp an an eq telnet
(2)配置认证之后才能通过的数据,如ICMP,绝对时间为2分钟。
r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any
(3)应用ACL
r1(config)#int f0/0
r1(config-if)#ip access-group 100 in
2.测试访问
(1)测试内网R2 telnet外网R4
r2#telnet 14.92.1.4
telnet不受限制。
(2)测试测试内网R2 ping外网R4
r2#ping 14.92.1.4
内网在没有认证之前,ICMP无法通过。
3.配置本地用户数据库
r1(config)#username ccie password cisco
4.配置所有人的用户名具有访问功能
r1(config)#line vty 0 181
r1(config-line)#login local
r1(config-line)#autocommand access-enable 这条必加
5.内网R2做认证
r2#telnet 10.92.1.1
telnet路由器认证成功后,关闭会话。
6.测试内网到外网的ICMP通信功能
r2#ping 14.92.1.4
认证通过之后,ICMP被放行。
7.查看ACL状态
r1#sh ip access-lists
可以看到动态允许的流量已放行。
基于时间的ACL
拓扑与地址表与自反ACL相同
为R1,R2,R3,R4配置静态路由
实验步骤
在R1路由器上配置好正确的时间
R1#clock set 9:30:00 April 29 2019
1.配置time-range
r1(config)#time-range TELNET
r1(config-time-range)#periodic weekdays 9:00 to 15:00
说明:定义的时间范围为每周一到周五的9:00 to 15:00
2.配置ACL
配置R1在上面的时间范围内拒绝R2到R4的telnet,其它流量全部通过。
r1(config)#access-list 150 deny tcp host 10.92.1.2 any eq 23 time-range TELNET
r1(config)#access-list 150 permit ip any any
3.应用ACL
r1(config)#int f0/0
r1(config-if)#ip access-group 150 in
4.测试时间范围内的流量情况
(1)查看当前R1的时间
r1#sh clock
9:34:33.002 GMT Thu Apr 29 2019
当前时间为周一9:34,即在所配置的时间范围内。
(2)测试R2向R4发起telnet会话
r2#telnet 14.92.1.4
在规定的时间范围内,R2向R4发起telnet会话被拒绝。
(3)测试除telnet外的其它流量
r2#ping 14.92.1.4
在规定的时间范围内,除了telnet之外,其它流量不受限制。
(4)测试除R2之外的设备telnet情况
r3#telnet 14.92.1.4
Trying 14.92.1.4 ... Open
除R2之外,其它设备telnet不受限制。
5.测试时间范围外的流量情况
(1)查看当前R1的时间
r1#sh clock
9:34:33.002 GMT Thu Apr 29 2019
(2)测试R2向R4发起telnet会话
r2#telnet 14.92.1.4
在时间范围之外,所限制的流量被放开。
基于上下文的访问控制
拓扑:
地址表:
|
Device |
Interface |
IP Address |
Subnet Mask |
Default Gateway |
|
R1 |
Fa0/1 |
192.92.1.1 |
255.255.255.0 |
N/A |
|
S0/0/0 |
10.92.1.1 |
255.255.255.252 |
N/A |
|
|
R2 |
S0/0/0 |
10.92.1.2 |
255.255.255.252 |
N/A |
|
S0/0/1 |
10.92.2.2 |
255.255.255.252 |
N/A |
|
|
R3 |
Fa0/1 |
192.92.3.1 |
255.255.255.0 |
N/A |
|
S0/0/1 |
10.92.2.1 |
255.255.255.252 |
N/A |
|
|
PC-A |
NIC |
192.92.1.3 |
255.255.255.0 |
192.168.1.1 |
|
PC-C |
NIC |
192.92.3.3 |
255.255.255.0 |
192.168.3.1 |
配置步骤
为R1,R2,R3配置静态路由
R1pingR3
R3pingR1
在R3配置一个命名IP ACl阻隔所有外网产生的流量。
R3(config)# ip access-list extended OUT-IN R3(config-ext-nacl)# deny ip any any R3(config-ext-nacl)# exit
在s0/0/1应用ACl
R3(config)# interface s0/0/1
R3(config-if)# ip access-group OUT-IN in
创建一个检测规则来检测ICMP,Telnet,和HTTP流量。
开启时间戳记记录和CBAC审计跟踪信息。
R3(config)# ip inspect audit-trail
R3(config)# service timestamps debug datetime msec
R3(config)# logging host 192.168.1.3
对在s0/0/1的出口流量用检测规则。
R3(config-if)# ip inspect IN-OUT-IN out
R3# show ip inspect sessions
R3# show ip inspect interfaces
R3# show ip inspect config
R3# debug ip inspect detailed
配置区域策略防火墙
拓扑和地址表与基于上下文的访问配置相同
实验步骤
为R1,R2,R3配置静态路由
R1pingR3
R3pingR1
使用AAA认证为路由器配置用户名与密码
用户名:luser
Console 密码: ciscoconpa55
vty 密码: ciscovtypa55
Enable密码: ciscoenpa55
创建一个内部区域。
R3(config)# zone security IN-ZONE
创建外部区域
R3(config-sec-zone)# zone security OUT-ZONE
R3(config-sec-zone)# exit
创建一个用来定义内部流量的ACL
R3(config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 any
创建一个涉及内部流量ACL的class map
R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP
R3(config-cmap)# match access-group 101
R3(config-cmap)# exit
创建一个策略图来确定对匹配的流量干啥。
R3(config)# policy-map type inspect IN-2-OUT-PMAP
定义一个检测级别类型和参考策略图。
R3(config-pmap)# class type inspect IN-NET-CLASS-MAP
定义检测策略图
R3(config-pmap-c)# inspect
回到全局模式
R3(config-pmap-c)# exit
R3(config-pmap)# exit
创建一对区域
R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE
定义策略图来控制两个区域的流量。
R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP
把端口调用到合适的安全区域。
R3(config)# interface fa0/1
R3(config-if)# zone-member security IN-ZONE
R3(config-if)# exit
R3(config)# interface s0/0/1
R3(config-if)# zone-member security OUT-ZONE
R3(config-if)# exit
R3# show policy-map type inspect zone-pair sessions
实验完成
实验总结:
包过滤防火墙、应用层网关(代理技术)防火墙。
包过滤的优点:一个过滤路由器能协助保护整个网络;数据包过滤对用户透明;过滤路由器速度快、效率高。缺点:不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略。
代理技术的优点:代理易于配置;代理能生成各项记录;代理能灵活、完全地控制进出的流量、内容;代理能过滤数据内容;代理能为用户提供透明的加密机制;代理可以方便地与其他安全手段集成。缺点:代理速度较路由器慢;代理对用户不透明;代理服务不能保证你免受所有协议弱点的限制;代理不能改进底层协议的安全性。
通过这次的作业,我学会了防火墙的配置,ACL的配置,虽然实验过程没有遇到很大的问题,很好地完成了实验,但是之后我依然刻苦学习知识,提高自己的实践水平,争取下一次能更好地完成实验。
