防火墙作业

自反ACL实验配置

拓扑图

 

 

R4为外网，R2和R3为内网。

地址表

Device	Interface	IP address
R1	F 0/0	10.1.17.1
	F 0/1	14.1.17.1
R2	F 0/0	10.1.17.2
R3	F 0/0	10.1.17.3
R4	F 0/0	14.1.17.4

 

先在R2、R3与R4上配置配置静态路由

R2(config)#ip route 14.1.17.0 255.255.255.0 10.1.17.1

R3(config)#ip route 14.1.17.0 255.255.255.0 10.1.17.1

R4(config)#ip route 10.1.17.0 255.255.255.0 14.1.17.1

配置静态路由完成，路由之间互通，即可做自反ACL

 

1.配置拒绝外网主动访问内网

说明：拒绝外网主动访问内网，但是ICMP可以不受限制

（1）配置允许ICMP可以不用标记就进入内网，其它的必须被标记才返回

R1(config)#ip access-list extended come

R1(config-ext-nacl)#permit icmp any any        

R1(config-ext-nacl)#evaluate abc            

（2）应用ACL

R1(config)#int f0/1

R1(config-if)#ip access-group come in

2.测试结果

（1）测试外网R4的ICMP访问内网

 

说明：可以看到，ICMP是可以任意访问的

（2）测试外网R4 telnet内网

 

 

说明：可以看到，除ICMP之外，其它流量是不能进入内网的。

 

 

（1） 测试内网R2的ICMP访问外网

 

 

说明：可以看到，内网发ICMP到外网，也正常返回了

（2） 测试内网R2发起telnet到外网

 

说明：可以看到，除ICMP之外，其它流量是不能通过的。

3.配置内网向外网发起的telnet被返回

（1）配置内网出去时，telnet被记录为abc,将会被允许返回

R1(config)#ip access-list extended  goto

R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60  

R1(config-ext-nacl)#permit ip any any                  

（2）应用ACL

R1(config)#int f0/1

R1(config-if)#ip access-group goto out

 

 

 

 

4.测试结果

（1）查看R2到外网的ICMP

 

 

 

说明：ICMP属正常

（3）查看内网向外网发起telnet

 

 

说明：可以看出，此时内网发向外网的telnet因为被标记为abc，所以在回来时，开了缺口，也就可以允许返回了。

（4）查看ACL

 

说明：可以看到，有一条为abc的ACL为允许外网到内网的telnet，正是由于内网发到外网的telnet被标记了，所以也自动产生了允许其返回的ACL，并且后面跟有剩余时间。

 

 

动态ACL

拓扑图

 

说明：

R2和R3为内网，R4为外网，配置R1，默认允许所有telnet通过，因为要使用telnet做认证，然后只有当认证通过之后，ICMP才可以通过。

这里静态路由配置与地址表与第一个实验自反ACL完全相同，参照上面配置做通路由即可开始此实验配置。

1.配置Dynamic ACL

（1）配置默认不需要认证就可以通过的数据，如telnet

R1(config)#access-list 100 permit tcp an an eq telnet

(2)配置认证之后才能通过的数据，如ICMP，绝对时间为2分钟。

R1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

（3）应用ACL

R1(config)#int f0/0

R1(config-if)#ip access-group 100 in

2.测试访问

（1）测试内网R2 telnet外网R4

 

 

 

说明：从结果中看出，telnet不受限制。

（2）测试测试内网R2 ping外网R4

 

 

说明：内网在没有认证之前，ICMP是无法通过的。

3.配置本地用户数据库

R1(config)#username gggggg password cisco

4.配置所有人的用户名具有访问功能

R1(config)#line vty 0 117

R1(config-line)#login local

R1(config-line)#autocommand access-enable 

 

 

 

 

 

5.内网R2做认证

 

 

说明：当telnet路由器认证成功后，是会被关闭会话的。

6.测试内网到外网的ICMP通信功能

 

 

 

说明：认证通过之后，ICMP被放行。

7.查看ACL状态

 

说明：可以看到动态允许的流量已放行。

 

 

 

基于上下文的访问控制

拓扑图

 

地址表

Device	Interface	IP address
R0	F 0/0	192.168.17.1
	S 0/0/0	10.1.17.1
R1	S 0/0/0	10.1.17.2
	S 0/0/1	10.2.17.2
R2	F 0/0	172.16.17.3
	S 0/0/0	10.2.17.3
PC-A	NIC	192.168.17.4
	Default Gateway	192.168.17.1
PC-C	NIC	172.16.17.4
	Default Gateway	172.16.17.3

预配置：

在配置防火墙之前验证设备间连通性，即先配置静态路由

R0(config)#ip route 10.2.17.0 255.255.255.0 10.1.17.2

R0(config)#ip route 172.16.17.0 255.255.255.0 10.1.17.2

 

R1(config)#ip route 192.168.17.0 255.255.255.0 10.1.17.1

R1(config)#ip route 172.16.17.0 255.255.255.0 10.2.17.3

 

R2(config)#ip route 10.1.17.0 255.255.255.0 10.2.17.2

R2(config)#ip route 192.168.17.0 255.255.255.0 10.2.17.2

 

在R2启用密码

R2(config)#enable password abc123

启用console口密码

R2(config)#line console 0

R2(config-line)#password abd123

 

 

启用vty行接入密码

R2(config)#line vty 0 4

R2(config-line)#password abe123

 

把S0、S1所有交换机接口都在Vlan1(S2同理)

S0(config)#int f 0/1

S0(config-if)# switchport access vlan 1

S0(config-if)# switchport trunk allowed vlan 1

S0(config)#int f 0/2

S0(config-if)# switchport access vlan 1

S0(config-if)# switchport trunk allowed vlan 1

在PC-A的命令提示符ping PC-C

 

 

 

 

在R2配置一个命名IP ACl阻隔所有外网产生的流量

用ip access-list extended指令创造一个已命名的IP ACL

R2(config)#ip access-list extended out-in

R2(config-ext-nacl)# deny ip any any

R2(config-ext-nacl)# exit

 

在s0/0/0应用ACl

R2(config)#int s 0/0/0

R2(config-if)# ip access-group out-in in

 

确保进入s0/0/1接口的流量被阻隔

在PC-C命令提示符ping PC-A服务器。ICMP回送响应会被ACL阻隔

 

创建一个CBAC检测规则

第一步  创建一个检测规则来检测ICMP，Telnet，和HTTP流量。

R2(config)# ip inspect name IN-OUT-IN icmp

R2(config)# ip inspect name IN-OUT-IN telnet

R2(config)# ip inspect name IN-OUT-IN http

 

第二步   开启时间戳记记录和CBAC审计跟踪信息。

R2(config)# ip inspect audit-trail

R2(config)# service timestamps debug datetime msec

R2(config)# logging host 192.168.17.3

 

第三步    对在s0/0/0的出口流量用检测规则。

R2(config-if)# ip inspect IN-OUT-IN out

 

第四步   验证审计跟踪信息正被syslog服务器记录

在PC-C 成功ping、telnet访问PC-A来检测连通性

 

 

 

需要注意Telnet不了

 

 

 

 

CBAC基于上下文的访问控制配置完成。

 

 

总结：我们在这次实验是对ACL全面的了解，不仅有基本ACL还有自反ACL和扩展ACL，这次的实验可谓非常的难，我们通过ACL对网络进行管理，屏蔽禁止访问的网络，和如何对网页进行禁止访问从而达到防火墙的目的。我们根据预先定义好的规则，如时间，地址等，对包进行过滤，从而达到访问控制的目的。总的来说本次实验还是非常有意义的，让我们深刻的了解到了，防火墙的工作原理，以及自己可以控制进出地址时还是蛮有成就感