一.访问控制列表部分

ACL1:Established

一.拓扑图

 

二.地址规划

R1

F0/0

172.43.1.2

R2

S0/3/0

172.43.12.2

 

F0/1

172.43.2.2

 

S0/3/1

172.43.23.2

 

S0/3/0

172.43.12.1

R3

S0/3/1

172.43.23.3

PC1

 

172.43.1.100

 

F0/0

172.43.3.3

PC2

 

172.43.12.100

SEREVER

 

172.43.3.100

三、实验步骤

要求:

 拒绝PC1 所在网段访问Server 172.16.3.100 Web 服务

 拒绝PC2 所在网段访问Server 172.16.3.100 Ftp 服务

 拒绝PC1 所在网段访问Server 172.16.3.100 SQL 服务

 拒绝PC1 所在网段访问路由器R3 Telnet 服务

 拒绝PC2 所在网段访问路由器R2 Web 服务

 拒绝PC1 PC2 所在网段ping Server 服务器

 只允许路由器R3 以接口s0/0/1 为源ping 路由器R2 的接口s0/0/1 地址,而不允许路

由器R2 以接口s0/0/1 为源ping 路由器R3 的接口s0/0/1 地址,即单向ping.

(一)配置路由器

R1(config)#access-list 110 deny tcp 172.43.1.0 0.0.0.255 host 172.43.3.100 eq 80

//拒绝PC1 所在网段访问Server 172.16.3.100 Web 服务

 

R1(config)#access-list 110 deny tcp 172.43.2.0 0.0.0.255 host 172.43.3.100 eq 21

R1(config)#access-list 110 deny tcp 172.43.2.0 0.0.0.255 host 172.43.3.100 eq 20

//拒绝PC2 所在网段访问Server 172.16.3.100 Ftp 服务

R1(config)#access-list 110 deny tcp 172.43.1.0 0.0.0.255 host 172.43.3.100 eq

1433

//拒绝PC1 所在网段访问Server 172.16.3.100 SQL 服务

 

R1(config)#access-list 110 deny tcp 172.43.1.0 0.0.0.255 host 172.43.23.3 eq 23

R1(config)#access-list 110 deny tcp 172.43.1.0 0.0.0.255 host 172.43.3.3 eq 23

//拒绝PC1 所在网段访问路由器R3 Telnet 服务

 

R1(config)#access-list 110 deny tcp 172.43.2.0 0.0.0.255 host 172.43.12.2 eq 80

R1(config)#access-list 110 deny tcp 172.43.2.0 0.0.0.255 host 172.43.23.2 eq 80

//拒绝PC2 所在网段访问路由器R2 Web 服务

 

R1(config)#access-list 110 deny icmp 172.43.1.0 0.0.0.255 host 172.43.3.100

R1(config)#access-list 110 deny icmp 172.43.2.0 0.0.0.255 host 172.43.3.100

//拒绝PC1 PC2 所在网段ping Server 服务器

R1(config)#access-list 110 permit ip any any

R1(config)#int s0/0/0

R1(config-if)#ip access-group 110 out //接口下应用ACL

(二)配置路由器R3

R3(config)#access-list 120 deny icmp host 172.43.23.2 host 172.43.23.3 echo

R3(config)#access-list 120 permit ip any any

R3(config)#int s0/0/1

R3(config-if)#ip access-group 120 in

四、实验调试

(一)路由器R1 上查看ACL110

 

(二)路由器R3 和路由器R2 互相ping

 

 

(三)路由器R3 查看ACL 120

 

ACL2:自反ACL

一.拓扑图

 

二.网络地址规划

R1

F0/0

10.43.1.1

R3

F0/0

10.43.1.3

 

F0/1

14.43.1.1

R4

F0/0

14.43.1.4

R2

F0/0

10.43.1.2

 

 

 

1.配置拒绝外网主动访问内网

拒绝外网主动访问内网,但是ICMP可以不受限制

1)配置允许ICMP可以不用标记就进入内网,其它的必须被标记才返回

r1(config)#ip access-list extended come

r1(config-ext-nacl)#permit icmp any any         被允许的ICMP是不用标记即可进入内网的

r1(config-ext-nacl)#evaluate YYX                其它要进入内网的,必须是标记为abc

2)应用ACL

r1(config)#int f0/1

r1(config-if)#ip access-group come in

2.测试结果

1)测试外网R4ICMP访问内网

 

说明:可以看到,ICMP是可以任意访问的

(2)测试外网R4 telnet内网

 

说明:可以看到,除ICMP之外,其它流量是不能进入内网的。

(1) 测试内网R2ICMP访问外网

 

说明:可以看到,内网发ICMP到外网,也正常返回了

(2) 测试内网R2发起telnet到外网

 

说明:可以看到,除ICMP之外,其它流量是不能通过的。

 

3.配置内网向外网发起的telnet被返回

说明:外网和内网之间的ICMP可以不受限制,外网不能telnet内网,但内网telnet外网时,需要配置记录,让其返回,根据上面的ACL配置,可以返回的,必须是标为abc的,所以在此为内网发向外网的telnet标为abc,返回时,就会有缺口,因此内网能正常telnet外网,但外网不可主动telnet内网。

1)配置内网出去时,telnet被记录为abc,将会被允许返回

r1(config)#ip access-list extended  goto

r1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60   telnet已记为abc

r1(config-ext-nacl)#permit ip any any                  

2)应用ACL

r1(config)#int f0/1

r1(config-if)#ip access-group goto out

4.测试结果

1)查看R2到外网的ICMP

 

说明:ICMP属正常

3)查看内网向外网发起telnet

 

说明:可以看出,此时内网发向外网的telnet因为被标记为abc,所以在回来时,开了缺口,也就可以允许返回了。

(3) 查看ACL

 

说明:可以看到,有一条为abcACL为允许外网到内网的telnet,正是由于内网发到外网的telnet被标记了,所以也自动产生了允许其返回的ACL,并且后面跟有剩余时间。

 

ACL2:动态ACL

一.拓扑图

 

三.网络地址规划

R1

F0/0

10.43.1.1

R3

F0/0

10.43.1.3

 

F0/1

14.43.1.1

R4

F0/0

14.43.1.4

R2

F0/0

10.43.1.2

 

 

 

1.配置Dynamic ACL

1)配置默认不需要认证就可以通过的数据,如telnet

r1(config)#access-list 100 permit tcp an an eq telnet

(2)配置认证之后才能通过的数据,如ICMP,绝对时间为2分钟。

r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

3)应用ACL

r1(config)#int f0/0

r1(config-if)#ip access-group 100 in

2.测试访问

1)测试内网R2 telnet外网R4

 

说明:从结果中看出,telnet不受限制。

(3)测试测试内网R2 ping外网R4

(4)

说明:内网在没有认证之前,ICMP是无法通过的。

3.配置本地用户数据库

r1(config)#username ccie password cisco

4.配置所有人的用户名具有访问功能

r1(config)#line vty 0 181

r1(config-line)#login local

r1(config-line)#autocommand access-enable  这条必加

5. 内网R2做认证

 

说明:telnet路由器认证成功后,是会被关闭会话的。

6.测试内网到外网的ICMP通信功能

说明:认证通过之后,ICMP被放行。

7.查看ACL状态

说明:可以看到动态允许的流量已放行。

8.host功能

第一种:r1(config-line)#autocommand access-enable     //如果没有加host,那么内网一台主机通过认证之后,所有主机都能访问外网

第二种:r1(config-line)# autocommand  access-enable host   //加了host,就变成谁通过了认证,谁才能访问外网。

 

有配置访问功能时,命令有两种,并且后面可以跟时间,这里的时间为空闲时间,必须比之前的绝对时间要小,在配置访问功能时,如果没有加host,那么内网一台主机通过认证之后,所有主机都能访问外网,加了host,就变成谁通过了认证,谁才能访问外网。

 

ACL2:基于时间的ACL

一.拓扑图

 

四.网络地址规划

R1

F0/0

10.43.1.1

R3

F0/0

10.43.1.3

 

F0/1

14.43.1.1

R4

F0/0

14.43.1.4

R2

F0/0

10.43.1.2

 

 

 

1.配置time-range

r1(config)#time-range TELNET

r1(config-time-range)#periodic weekdays 9:00 to 15:00

说明:定义的时间范围为每周一到周五的9:00 to 15:00

2.配置ACL

说明:配置R1在上面的时间范围内拒绝R2R4telnet,其它流量全部通过。

r1(config)#access-list 150 deny tcp host 10.43.1.2 any eq 23 time-range TELNET

r1(config)#access-list 150 permit ip any any

3.应用ACL

r1(config)#int f0/0

r1(config-if)#ip access-group 150 in

4.测试时间范围内的流量情况

1)查看当前R1的时间

说明:当前时间为周四14:34,即在所配置的时间范围内。

2)测试R2R4发起telnet会话

说明:可以看到,在规定的时间范围内,R2R4发起telnet会话是被拒绝的。

3)测试除telnet外的其它流量

说明:可以看到,在规定的时间范围内,除了telnet之外,其它流量不受限制。

4)测试除R2之外的设备telnet情况

说明:可以看到,除R2之外,其它设备telnet并不受限制。

5.测试时间范围外的流量情况

1)查看当前R1的时间

说明:当前时间为周四15:01,即在所配置的时间范围之外。

2)测试R2R4发起telnet会话

说明:在时间范围之外,所限制的流量被放开。

二.防火墙

基于上下文的访问控制

一.拓扑图

 

二.地址规划

 

R1

Fa0/1

192.168.43.1

255.255.255.0

N/A

S0/0/0

10.43.1.1

255.255.255.252

N/A

 

R2

S0/0/0

10.43.1.2

255.255.255.252

N/A

S0/0/1

10.43.2.2

255.255.255.252

N/A

 

R3

Fa0/1

192.43.3.1

255.255.255.0

N/A

S0/0/1

10.43.2.1

255.255.255.252

N/A

PC-A

NIC

192.43.1.3

255.255.255.0

192.43.1.1

PC-C

NIC

192.43.3.3

255.255.255.0

192.43.3.1

 

 

 

 

Task1:Block Traffic FromOutside

任务1:阻隔外网流量

第一步  验证基本的网络连通性

配置防火墙之前先验证网络连通性

· PC-C的命令提示符中ping PC-A服务器

 

PC-C命令提示符中telnet路由R2s0/0/1接口:地址时10.2.2.2.退出telnet阶段

         

· PC-C开一个网页浏览器登入PC-A来展示网页。关掉PC-C的浏览器。

· 

· PC-A的命令提示符ping PC-C

· 

 

第二步  R3配置一个命名IP ACl阻隔所有外网产生的流量。

ip access-list extended指令创造一个已命名的IP ACL

R3(config)# ip access-list extended OUT-IN R3(config-ext-nacl)# deny ip any any R3(config-ext-nacl)# exit

第三步  s0/0/1应用ACl

R3(config)# interface s0/0/1

R3(config-if)# ip access-group OUT-IN in

 

第四步  确保进入s0/0/1接口的流量被阻隔

PC-C命令提示符ping PC-A服务器。ICMP回送响应会被ACL阻隔。

 

任务2:创建一个CBAC检测规则

 
 

第一步  创建一个检测规则来检测ICMPTelnet,和HTTP流量。

第二步   开启时间戳记记录和CBAC审计跟踪信息。

ip inspect audit-trail指令去开启CBAC审计信息来提供关于通过防火墙的网络接入记录,包括非法访问尝试。用logging host指令在syslog服务器启用日志记录、关于192.43.1.3。确保登录消息打上时间标记。

R3(config)# ip inspect audit-trail

R3(config)# service timestamps debug datetime msec

R3(config)# logging host 192.43.1.3

 

第三步    对在s0/0/1的出口流量用检测规则。

 

R3(config-if)# ip inspect IN-OUT-IN out

 

第四步   验证审计跟踪信息正被syslog服务器记录

PC-C 成功pingtelnet访问PC-A来检测连通性。需要注意Telnet不了。

 

PC-A,ping,Telnet PC-C来检测连通性,这两步都被阻隔掉

 

查看icmp日志

         

 

基于区域策略的防火墙

三.拓扑图

 

四.地址规划

 

R1

Fa0/1

192.168.43.1

255.255.255.0

N/A

S0/0/0

10.43.1.1

255.255.255.252

N/A

 

R2

S0/0/0

10.43.1.2

255.255.255.252

N/A

S0/0/1

10.43.2.2

255.255.255.252

N/A

 

R3

Fa0/1

192.43.3.1

255.255.255.0

N/A

S0/0/1

10.43.2.1

255.255.255.252

N/A

PC-A

NIC

192.43.1.3

255.255.255.0

192.43.1.1

PC-C

NIC

192.43.3.3

255.255.255.0

192.43.3.1

 

验证基本网络连通性。

 

 

 

 

 

 

 

验证网络连通性以便配置ZPF

 

第一步   PC-A pingPC-C

 

 

 

第二步  PC-C telnets0/0/1接口。

 

第三步  PC-C登到PC-A的网页。

 

 

 

Task 2:R3创建区域防火墙

第一步   创建一个内部区域。

 zone security创建区域IN-ZONE

R3(config)# zone security IN-ZONE

 

第二步 创建外部区域

. zone security创建区域OUT-ZONE

R3(config-sec-zone)# zone security OUT-ZONE

R3(config-sec-zone)# exit

    定义一个流量级别和访问列表

.

第一步   创建一个用来定义内部流量的ACL

access-list创建扩展ACL101来在IP层面允许所有从……源网络地址访问到任何其他地址。

R3(config)# access-list 101 permit ip 192.43.3.0 0.0.0.255 any

第二步 创建一个涉及内部流量ACLclass map

 class map type inspect match all)来创建一个叫 class map type inspect class map,用match access-group匹配ACL

R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)# match access-group 101

R3(config-cmap)# exit

指定防火墙策略

第一步 创建一个策略图来确定对匹配的流量干啥。

 policy-map type inspect创建策略图IN-2-OUT-PMAP

R3(config)# policy-map type inspect IN-2-OUT-PMAP

 

第二步 定义一个检测级别类型和参考策略图。

R3(config-pmap)# class type inspect IN-NET-CLASS-MAP

第三步  定义检测策略图

Inspect这个指令调用基于上下文的访问控制(其他还有通过和丢弃)

R3(config-pmap-c)# inspect

 

%No specific protocol configured in class IN-NET-CLASS-MAP for inspection. All protocols will be inspected.

exit两次退出config-pmap-c模式,回到全局模式

R3(config-pmap-c)# exit

R3(config-pmap)# exit

应用防火墙策略

第一步 创建一对区域

zone-pair security创建一个区域对IN-2-OUT-ZPAIR对任务一中创建的区域进行源和目的区域定义

R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

 

第二步 定义策略图来控制两个区域的流量。

 service-policy type inspect把策略图和关联活动附加到区域对,参考之前创建的策略图IN-2-OUT-PMAP.

R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R3(config-sec-zone-pair)# exit R3(config)#

 

第三步 把端口调用到合适的安全区域。

在端口的全局模式用zone-member security来把F0/1调用到IN-ZONE ,把S0/0/1调用到OUT-ZONE

R3(config)# interface fa0/1

R3(config-if)# zone-member security IN-ZONE

R3(config-if)# exit

 

R3(config)# interface s0/0/1

R3(config-if)# zone-member security OUT-ZONE

R3(config-if)# exit

第四步 写入启动配置

任务6  测试从IN-ZONEOUT-ZONE的防火墙功能

     验证内配置ZPF后内部能访问外部

第一步 PC_C ping PC-A服务器

 

PC-C能成功pingPC-A

第二步 PC-CtelnetR2 s0/0/1

 

PC-C telnetR2输密码ciscovtypa55,能telnet到。顺便在R3show policy-map type inspect zone-pair sessions看完成情况。

 

第三步  关掉PC-CTelnet

第四步 PC-C打开网页登到PC-A的服务器

 

 

Task 7:Test Firewall Functionality from OUT-ZONE to IN-ZONE

第七步 测试外部区域到内部区域的防火墙功能

       验证配置ZPF之后外部无法访问内部。

第一步 PC-A ping PC-Cping 不通)

 

 

第二步 R2 ping PC-Cping不通

 

 

S tep 3. C heck res ults .

第三步 查看结果

你的完成情况应该是100%。点击测试结果去看结果反馈并验证哪些部分需要补充完成。

 

 

三.实验总结

  这次试验让我对acl访问控制列表和两种防火墙有了很深的认识。首先是acl访问列表的三种:自反,动态和时间。其中自反是通过标记来放行报文,动态是通过密码认证而时间则是规定某个时间段可以通过。这三中acl可以同时使用来达到对用户的多方面控制访问,同时在实验中还懂得了怎样设置扩展acl,在已有的acl中加入额外的访问控制。Acl的指令大同小异,但是在设计的逻辑和拦截的路由器上有很大的不同。

  在防火墙这块,基于报文的这个应用到了acl部分的操作,先建表在应用到墙上而不是应用到端口,再在端口应用防火墙。二区域策略则是规划内外两个区域。规定两个区域的访问权限,从而达到拦截攻击的目的。

  这次试验是pt软件跟gns3软件分开始用,主要是有很多指令在两个上面各有不支持的地方,但是实际操作应该都是能使用的。实验的过程跟结果都很好的印证了上课的内容,从结果上很直观的反应了各个acl和防火墙的作用和目的。