一.访问控制列表部分
ACL1:Established
一.拓扑图
二.地址规划
|
R1 |
F0/0 |
172.43.1.2 |
R2 |
S0/3/0 |
172.43.12.2 |
|
|
F0/1 |
172.43.2.2 |
|
S0/3/1 |
172.43.23.2 |
|
|
S0/3/0 |
172.43.12.1 |
R3 |
S0/3/1 |
172.43.23.3 |
|
PC1 |
|
172.43.1.100 |
|
F0/0 |
172.43.3.3 |
|
PC2 |
|
172.43.12.100 |
SEREVER |
|
172.43.3.100 |
三、实验步骤
要求:
� 拒绝PC1 所在网段访问Server 172.16.3.100 的Web 服务
� 拒绝PC2 所在网段访问Server 172.16.3.100 的Ftp 服务
� 拒绝PC1 所在网段访问Server 172.16.3.100 的SQL 服务
� 拒绝PC1 所在网段访问路由器R3 的Telnet 服务
� 拒绝PC2 所在网段访问路由器R2 的Web 服务
� 拒绝PC1 和PC2 所在网段ping Server 服务器
� 只允许路由器R3 以接口s0/0/1 为源ping 路由器R2 的接口s0/0/1 地址,而不允许路
由器R2 以接口s0/0/1 为源ping 路由器R3 的接口s0/0/1 地址,即单向ping.
(一)配置路由器
R1(config)#access-list 110 deny tcp 172.43.1.0 0.0.0.255 host 172.43.3.100 eq 80
//拒绝PC1 所在网段访问Server 172.16.3.100 的Web 服务
R1(config)#access-list 110 deny tcp 172.43.2.0 0.0.0.255 host 172.43.3.100 eq 21
R1(config)#access-list 110 deny tcp 172.43.2.0 0.0.0.255 host 172.43.3.100 eq 20
//拒绝PC2 所在网段访问Server 172.16.3.100 的Ftp 服务
R1(config)#access-list 110 deny tcp 172.43.1.0 0.0.0.255 host 172.43.3.100 eq
1433
//拒绝PC1 所在网段访问Server 172.16.3.100 的SQL 服务
R1(config)#access-list 110 deny tcp 172.43.1.0 0.0.0.255 host 172.43.23.3 eq 23
R1(config)#access-list 110 deny tcp 172.43.1.0 0.0.0.255 host 172.43.3.3 eq 23
//拒绝PC1 所在网段访问路由器R3 的Telnet 服务
R1(config)#access-list 110 deny tcp 172.43.2.0 0.0.0.255 host 172.43.12.2 eq 80
R1(config)#access-list 110 deny tcp 172.43.2.0 0.0.0.255 host 172.43.23.2 eq 80
//拒绝PC2 所在网段访问路由器R2 的Web 服务
R1(config)#access-list 110 deny icmp 172.43.1.0 0.0.0.255 host 172.43.3.100
R1(config)#access-list 110 deny icmp 172.43.2.0 0.0.0.255 host 172.43.3.100
//拒绝PC1 和PC2 所在网段ping Server 服务器
R1(config)#access-list 110 permit ip any any
R1(config)#int s0/0/0
R1(config-if)#ip access-group 110 out //接口下应用ACL
(二)配置路由器R3
R3(config)#access-list 120 deny icmp host 172.43.23.2 host 172.43.23.3 echo
R3(config)#access-list 120 permit ip any any
R3(config)#int s0/0/1
R3(config-if)#ip access-group 120 in
四、实验调试
(一)路由器R1 上查看ACL110
(二)路由器R3 和路由器R2 互相ping
(三)路由器R3 查看ACL 120
ACL2:自反ACL
一.拓扑图
二.网络地址规划
|
R1 |
F0/0 |
10.43.1.1 |
R3 |
F0/0 |
10.43.1.3 |
|
|
F0/1 |
14.43.1.1 |
R4 |
F0/0 |
14.43.1.4 |
|
R2 |
F0/0 |
10.43.1.2 |
|
|
|
1.配置拒绝外网主动访问内网
拒绝外网主动访问内网,但是ICMP可以不受限制
(1)配置允许ICMP可以不用标记就进入内网,其它的必须被标记才返回
r1(config)#ip access-list extended come
r1(config-ext-nacl)#permit icmp any any 被允许的ICMP是不用标记即可进入内网的
r1(config-ext-nacl)#evaluate YYX 其它要进入内网的,必须是标记为abc的
(2)应用ACL
r1(config)#int f0/1
r1(config-if)#ip access-group come in
2.测试结果
(1)测试外网R4的ICMP访问内网
说明:可以看到,ICMP是可以任意访问的
(2)测试外网R4 telnet内网
说明:可以看到,除ICMP之外,其它流量是不能进入内网的。
(1) 测试内网R2的ICMP访问外网
说明:可以看到,内网发ICMP到外网,也正常返回了
(2) 测试内网R2发起telnet到外网
说明:可以看到,除ICMP之外,其它流量是不能通过的。
3.配置内网向外网发起的telnet被返回
说明:外网和内网之间的ICMP可以不受限制,外网不能telnet内网,但内网telnet外网时,需要配置记录,让其返回,根据上面的ACL配置,可以返回的,必须是标为abc的,所以在此为内网发向外网的telnet标为abc,返回时,就会有缺口,因此内网能正常telnet外网,但外网不可主动telnet内网。
(1)配置内网出去时,telnet被记录为abc,将会被允许返回
r1(config)#ip access-list extended goto
r1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60 telnet已记为abc
r1(config-ext-nacl)#permit ip any any
(2)应用ACL
r1(config)#int f0/1
r1(config-if)#ip access-group goto out
4.测试结果
(1)查看R2到外网的ICMP
说明:ICMP属正常
(3)查看内网向外网发起telnet
说明:可以看出,此时内网发向外网的telnet因为被标记为abc,所以在回来时,开了缺口,也就可以允许返回了。
(3) 查看ACL
说明:可以看到,有一条为abc的ACL为允许外网到内网的telnet,正是由于内网发到外网的telnet被标记了,所以也自动产生了允许其返回的ACL,并且后面跟有剩余时间。
ACL2:动态ACL
一.拓扑图
三.网络地址规划
|
R1 |
F0/0 |
10.43.1.1 |
R3 |
F0/0 |
10.43.1.3 |
|
|
F0/1 |
14.43.1.1 |
R4 |
F0/0 |
14.43.1.4 |
|
R2 |
F0/0 |
10.43.1.2 |
|
|
|
1.配置Dynamic ACL
(1)配置默认不需要认证就可以通过的数据,如telnet
r1(config)#access-list 100 permit tcp an an eq telnet
(2)配置认证之后才能通过的数据,如ICMP,绝对时间为2分钟。
r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any
(3)应用ACL
r1(config)#int f0/0
r1(config-if)#ip access-group 100 in
2.测试访问
(1)测试内网R2 telnet外网R4
说明:从结果中看出,telnet不受限制。
(3)测试测试内网R2 ping外网R4
(4)
说明:内网在没有认证之前,ICMP是无法通过的。
3.配置本地用户数据库
r1(config)#username ccie password cisco
4.配置所有人的用户名具有访问功能
r1(config)#line vty 0 181
r1(config-line)#login local
r1(config-line)#autocommand access-enable 这条必加
5. 内网R2做认证
说明:当telnet路由器认证成功后,是会被关闭会话的。
6.测试内网到外网的ICMP通信功能
说明:认证通过之后,ICMP被放行。
7.查看ACL状态
说明:可以看到动态允许的流量已放行。
8.host功能
第一种:r1(config-line)#autocommand access-enable //如果没有加host,那么内网一台主机通过认证之后,所有主机都能访问外网
第二种:r1(config-line)# autocommand access-enable host //加了host,就变成谁通过了认证,谁才能访问外网。
有配置访问功能时,命令有两种,并且后面可以跟时间,这里的时间为空闲时间,必须比之前的绝对时间要小,在配置访问功能时,如果没有加host,那么内网一台主机通过认证之后,所有主机都能访问外网,加了host,就变成谁通过了认证,谁才能访问外网。
ACL2:基于时间的ACL
一.拓扑图
四.网络地址规划
|
R1 |
F0/0 |
10.43.1.1 |
R3 |
F0/0 |
10.43.1.3 |
|
|
F0/1 |
14.43.1.1 |
R4 |
F0/0 |
14.43.1.4 |
|
R2 |
F0/0 |
10.43.1.2 |
|
|
|
1.配置time-range
r1(config)#time-range TELNET
r1(config-time-range)#periodic weekdays 9:00 to 15:00
说明:定义的时间范围为每周一到周五的9:00 to 15:00
2.配置ACL
说明:配置R1在上面的时间范围内拒绝R2到R4的telnet,其它流量全部通过。
r1(config)#access-list 150 deny tcp host 10.43.1.2 any eq 23 time-range TELNET
r1(config)#access-list 150 permit ip any any
3.应用ACL
r1(config)#int f0/0
r1(config-if)#ip access-group 150 in
4.测试时间范围内的流量情况
(1)查看当前R1的时间
说明:当前时间为周四14:34,即在所配置的时间范围内。
(2)测试R2向R4发起telnet会话
说明:可以看到,在规定的时间范围内,R2向R4发起telnet会话是被拒绝的。
(3)测试除telnet外的其它流量
说明:可以看到,在规定的时间范围内,除了telnet之外,其它流量不受限制。
(4)测试除R2之外的设备telnet情况
说明:可以看到,除R2之外,其它设备telnet并不受限制。
5.测试时间范围外的流量情况
(1)查看当前R1的时间
说明:当前时间为周四15:01,即在所配置的时间范围之外。
(2)测试R2向R4发起telnet会话
说明:在时间范围之外,所限制的流量被放开。
二.防火墙
基于上下文的访问控制
一.拓扑图
二.地址规划
|
R1 |
Fa0/1 |
192.168.43.1 |
255.255.255.0 |
N/A |
|
S0/0/0 |
10.43.1.1 |
255.255.255.252 |
N/A |
|
|
R2 |
S0/0/0 |
10.43.1.2 |
255.255.255.252 |
N/A |
|
S0/0/1 |
10.43.2.2 |
255.255.255.252 |
N/A |
|
|
R3 |
Fa0/1 |
192.43.3.1 |
255.255.255.0 |
N/A |
|
S0/0/1 |
10.43.2.1 |
255.255.255.252 |
N/A |
|
|
PC-A |
NIC |
192.43.1.3 |
255.255.255.0 |
192.43.1.1 |
|
PC-C |
NIC |
192.43.3.3 |
255.255.255.0 |
192.43.3.1 |
Task1:Block Traffic FromOutside
任务1:阻隔外网流量
第一步 验证基本的网络连通性
配置防火墙之前先验证网络连通性
· 在PC-C的命令提示符中ping PC-A服务器
在PC-C命令提示符中telnet路由R2的s0/0/1接口:地址时10.2.2.2.退出telnet阶段
· 在PC-C开一个网页浏览器登入PC-A来展示网页。关掉PC-C的浏览器。
·
· 在PC-A的命令提示符ping PC-C
·
第二步 在R3配置一个命名IP ACl阻隔所有外网产生的流量。
用ip access-list extended指令创造一个已命名的IP ACL
R3(config)# ip access-list extended OUT-IN R3(config-ext-nacl)# deny ip any any R3(config-ext-nacl)# exit
第三步 在s0/0/1应用ACl
R3(config)# interface s0/0/1
R3(config-if)# ip access-group OUT-IN in
第四步 确保进入s0/0/1接口的流量被阻隔
在PC-C命令提示符ping PC-A服务器。ICMP回送响应会被ACL阻隔。
任务2:创建一个CBAC检测规则
第一步 创建一个检测规则来检测ICMP,Telnet,和HTTP流量。
第二步 开启时间戳记记录和CBAC审计跟踪信息。
用ip inspect audit-trail指令去开启CBAC审计信息来提供关于通过防火墙的网络接入记录,包括非法访问尝试。用logging host指令在syslog服务器启用日志记录、关于192.43.1.3。确保登录消息打上时间标记。
R3(config)# ip inspect audit-trail
R3(config)# service timestamps debug datetime msec
R3(config)# logging host 192.43.1.3
第三步 对在s0/0/1的出口流量用检测规则。
R3(config-if)# ip inspect IN-OUT-IN out
第四步 验证审计跟踪信息正被syslog服务器记录
在PC-C 成功ping、telnet访问PC-A来检测连通性。需要注意Telnet不了。
在PC-A,ping,Telnet PC-C来检测连通性,这两步都被阻隔掉
查看icmp日志
基于区域策略的防火墙
三.拓扑图
四.地址规划
|
R1 |
Fa0/1 |
192.168.43.1 |
255.255.255.0 |
N/A |
|
S0/0/0 |
10.43.1.1 |
255.255.255.252 |
N/A |
|
|
R2 |
S0/0/0 |
10.43.1.2 |
255.255.255.252 |
N/A |
|
S0/0/1 |
10.43.2.2 |
255.255.255.252 |
N/A |
|
|
R3 |
Fa0/1 |
192.43.3.1 |
255.255.255.0 |
N/A |
|
S0/0/1 |
10.43.2.1 |
255.255.255.252 |
N/A |
|
|
PC-A |
NIC |
192.43.1.3 |
255.255.255.0 |
192.43.1.1 |
|
PC-C |
NIC |
192.43.3.3 |
255.255.255.0 |
192.43.3.1 |
验证基本网络连通性。
验证网络连通性以便配置ZPF
第一步 PC-A ping通PC-C。
第二步 PC-C telnet到s0/0/1接口。
第三步 PC-C登到PC-A的网页。
Task 2:在R3创建区域防火墙
第一步 创建一个内部区域。
用 zone security创建区域IN-ZONE
R3(config)# zone security IN-ZONE
第二步 创建外部区域
.用 zone security创建区域OUT-ZONE
R3(config-sec-zone)# zone security OUT-ZONE
R3(config-sec-zone)# exit
定义一个流量级别和访问列表
.
第一步 创建一个用来定义内部流量的ACL
用access-list创建扩展ACL101来在IP层面允许所有从……源网络地址访问到任何其他地址。
R3(config)# access-list 101 permit ip 192.43.3.0 0.0.0.255 any
第二步 创建一个涉及内部流量ACL的class map
用 class map type inspect (match all)来创建一个叫 class map type inspect 的class map,用match access-group匹配ACL
R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP
R3(config-cmap)# match access-group 101
R3(config-cmap)# exit
指定防火墙策略
第一步 创建一个策略图来确定对匹配的流量干啥。
用 policy-map type inspect创建策略图IN-2-OUT-PMAP
R3(config)# policy-map type inspect IN-2-OUT-PMAP
第二步 定义一个检测级别类型和参考策略图。
R3(config-pmap)# class type inspect IN-NET-CLASS-MAP
第三步 定义检测策略图
Inspect这个指令调用基于上下文的访问控制(其他还有通过和丢弃)
R3(config-pmap-c)# inspect
%No specific protocol configured in class IN-NET-CLASS-MAP for inspection. All protocols will be inspected.
输exit两次退出config-pmap-c模式,回到全局模式
R3(config-pmap-c)# exit
R3(config-pmap)# exit
应用防火墙策略
第一步 创建一对区域
用zone-pair security创建一个区域对IN-2-OUT-ZPAIR对任务一中创建的区域进行源和目的区域定义
R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE
第二步 定义策略图来控制两个区域的流量。
用 service-policy type inspect把策略图和关联活动附加到区域对,参考之前创建的策略图IN-2-OUT-PMAP.
R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP
R3(config-sec-zone-pair)# exit R3(config)#
第三步 把端口调用到合适的安全区域。
在端口的全局模式用zone-member security来把F0/1调用到IN-ZONE ,把S0/0/1调用到OUT-ZONE
R3(config)# interface fa0/1
R3(config-if)# zone-member security IN-ZONE
R3(config-if)# exit
R3(config)# interface s0/0/1
R3(config-if)# zone-member security OUT-ZONE
R3(config-if)# exit
第四步 写入启动配置
任务6 测试从IN-ZONE到OUT-ZONE的防火墙功能
验证内配置ZPF后内部能访问外部
第一步 PC_C ping PC-A服务器
从PC-C能成功ping到PC-A
第二步 从PC-Ctelnet到R2 的s0/0/1口
从PC-C telnet到R2输密码ciscovtypa55,能telnet到。顺便在R3输show policy-map type inspect zone-pair sessions看完成情况。
第三步 关掉PC-C的Telnet
第四步 PC-C打开网页登到PC-A的服务器
Task 7:Test Firewall Functionality from OUT-ZONE to IN-ZONE
第七步 测试外部区域到内部区域的防火墙功能
验证配置ZPF之后外部无法访问内部。
第一步 PC-A ping PC-C(ping 不通)
第二步 R2 ping PC-C也ping不通
S tep 3. C heck res ults .
第三步 查看结果
你的完成情况应该是100%。点击测试结果去看结果反馈并验证哪些部分需要补充完成。
三.实验总结
这次试验让我对acl访问控制列表和两种防火墙有了很深的认识。首先是acl访问列表的三种:自反,动态和时间。其中自反是通过标记来放行报文,动态是通过密码认证而时间则是规定某个时间段可以通过。这三中acl可以同时使用来达到对用户的多方面控制访问,同时在实验中还懂得了怎样设置扩展acl,在已有的acl中加入额外的访问控制。Acl的指令大同小异,但是在设计的逻辑和拦截的路由器上有很大的不同。
在防火墙这块,基于报文的这个应用到了acl部分的操作,先建表在应用到墙上而不是应用到端口,再在端口应用防火墙。二区域策略则是规划内外两个区域。规定两个区域的访问权限,从而达到拦截攻击的目的。
这次试验是pt软件跟gns3软件分开始用,主要是有很多指令在两个上面各有不支持的地方,但是实际操作应该都是能使用的。实验的过程跟结果都很好的印证了上课的内容,从结果上很直观的反应了各个acl和防火墙的作用和目的。
