基于上下文的访问控制和基于区域策略的防火墙（Cisco-PT）

一、拓扑图

Addressing Table

地址表

Device	Interface	IP Address	Subnet Mask	Default Gateway
R1	Fa0/0	192.118.1.1	255.255.255.0	N/A
	S0/0/0	10.118.1.1	255.255.255.252	N/A
R2	S0/0/0	10.118.1.2	255.255.255.252	N/A
	S0/0/1	10.118.2.2	255.255.255.252	N/A
R3	Fa0/0	192.118.3.1	255.255.255.0	N/A
	S0/0/1	10.118.2.1	255.255.255.252	N/A
PC-A	NIC	192.118.1.3	255.255.255.0	192.118.1.1
PC-C	NIC	192.118.3.3	255.255.255.0	192.118.3.1

基于上下文的访问控制与基于区域策略的防火墙拓扑基本没有太大差别，共用同一拓扑图以及地址表

 

 

 

配置基于上下文的访问控制

 

任务1：阻隔外网流量

 

第一步  验证基本的网络连通性

PC-A  PING   PC-C

PC-C  PING  PC-A

PC-C TELNET R2

PC-C  HTTP:// PC-A

第二步  在R3配置一个命名IP ACl阻隔所有外网产生的流量。

①创造一个已命名的IP ACL

R3(config)# ip access-list extended OUT-IN R3(config-ext-nacl)# deny ip any any R3(config-ext-nacl)# exit

 

②在s0/0/1应用ACl

R3(config)# interface s0/0/1

R3(config-if)# ip access-group OUT-IN in

 

③确保进入s0/0/1接口的流量被阻隔

任务2：创建一个CBAC检测规则

第一步  创建一个检测规则来检测ICMP，Telnet，和HTTP流量。

 

R3(config)# ip inspect name IN-OUT-IN  icmp

R3(config)# ip inspect name IN-OUT-IN  telnet

R3(config)# ip inspect name IN-OUT-IN  http

 

第二步   开启时间戳记记录和CBAC审计跟踪信息。

 

R3(config)# ip inspect audit-trail

R3(config)# service timestamps debug datetime msec

R3(config)# logging host 192.118.1.3

 

 

用ip inspect audit-trail指令去开启CBAC审计信息来提供关于通过防火墙的网络接入记录，包括非法访问尝试。用logging host指令在syslog服务器启用日志记录、关于192.168.1.3。确保登录消息打上时间标记。

 

 

第三步    对在s0/0/1的出口流量用检测规则。

 

R3(config-if)# ip inspect IN-OUT-IN out

 

第四步   验证审计跟踪信息正被syslog服务器记录

·在PC-C 成功ping、telnet访问PC-A来检测连通性。需要注意Telnet不了。

·在PC-A,ping,Telnet PC-C来检测连通性，这两步都被阻隔掉

回顾在服务器PC-A的syslog信息，在配置窗口点击syslog option。

 

 

总结：这次的作业，其实是一系列的作业的总集。课堂上也做的不少了，做起来的时候还是轻车熟路的。但是刚开始做时还是遇到了最最最基础的问题，网络不通，在询问过同学以后才知道是要用静态路由进行配置的。

跟着文档做，其实是没有特别大的问题出现的。按部就班的做基本都能配通，但是还是特别耗费时间的，也导致基于区域的防火墙并没有成功做成。

IT行业，还是得多练，多敲，练不多，做不多，很多思路都是断开的。