防火牆技術

 

1、   拓撲圖

 

 

 

 

 

2、   地址規劃

路由	接口	地址
R1	F0/0	10.102.1.1/24
	F0/1	14.102.2.1/24
R2	F0/1	10.102.1.2/24
R3	F1/0	10.102.1.3/24
R4	F0/1	14.102.2.2/24

3、   配置步驟

(一)     靜態路由配置

先完成靜態路由基礎配置，實現路由器互通。

R1(config)#int f0/0

R1(config-if)#ip address 10.102.1.1 255.255.255.0

R1(config-if)#no shutdown

R1(config)#int f0/1

R1(config-if)#ip address 14.102.2.1 255.255.255.0

R1(config-if)#no shutdown

R4(config)#ip route 10. 102.1.0 255.255.255.0 14. 102.2.1

R3(config)#ip route 14. 102.2.0 255.255.255.0 10. 102.1.1

R2(config)#ip route 14. 102.2.0 255.255.255.0 10. 102.1.1

 

R2pingR4

 

 

R1pingR4

 

 

 

R4pingR2

 

 

路由已經能實現互通

 

(二)     標準acl：

R4(config)#access-list 1 deny 10.102.1.2 0.0.0.0

R4(config)#int f0/1

R4(config-if)# Ip access-group 1 in

R4(config-if)# end

 

Ping測試：

R2pingR4失敗,則R4爲外網，R2和R3爲內網。

 

 

 

(三)     自反acl配置：

R1(config)#ip access-list extended come

R1(config-ext-nacl)#permit icmp any any

R1(config-ext-nacl)#evaluate abc

R1(config)#int f0/1

R1(config-if)#ip access-group come in

R1(config)#ip access-list extended goto

R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60

R1(config-ext-nacl)#permit ip any any

R1(config)#int f0/1

R1(config-if)#ip access-group goto out

測試：說明ICMP是能夠任意訪問的

 

 

除ICMP以外，其餘流量是不能進入內網的\

 

R2telent

 

 

(四)     動態acl

R1(config)#access-list 100 permit tcp an an eq telnet

R1(config)#access-list 100 dynamic cc timeout 2 permit icmp any any

R1(config)#int f0/0

R1(config-if)#ip access-group 100 in

配置本地用戶數據庫

R1(config)#username cc password chufeng

R1(config)#line vty 0 181

R1(config-line)#login local

R1(config-line)#autocommand access-enable

 

測試內網R2 telnet外網R4

 

測試內網到外網的ICMP通訊功能

 

測試：R1#show ip access-lists

 

(五)     基於時間的acl

R1(config)#time-range  telnet

R1(config-time-range)#periodic weekdays 9:00 to 14:00

R1(config)#access-list 150 deny tcp host 10.56.1.2 any eq 23 time

R1(config)#$ 150 deny tcp host 10.56.1.2 any eq 23 time-range TELNET

R1(config)#access-list 150 permit ip any any

R1(config)#int f0/0

R1(config-if)#ip access-group 150 in

 

測試 ：

R2 Ping R4

測試除R2以外的設備telnet狀況

 

查看當前R1的時間

 

配置基於區域策略的防火牆

1、     拓撲圖

 

2、      地址規劃表

 

設別	接口	IP地址	子網掩碼	網關地址
R1	F0/0	10.102.10.3	255.255.255.0	N/A
	S0/1/0	10.102.20.1	255.255.255.0	N/A
R2	S0/1/0	10.102.20.2	255.255.255.0	N/A
	S0/1/1	10.102.30.2	255.255.255.0	N/A
R3	S0/1/0	10.102.30.1	255.255.255.0	N/A
	F0/0	10.102.40.1	255.255.255.0	N/A
PC-A	NIC	10.102.10.3	255.255.255.0	10.102.10.254
PC-C	NIC	10.102.40.3	255.255.255.0	10.102.40.254

 

3、     配置步驟

（一） 配置靜態路由使網絡通暢

R1(config)#ip route 10.102.30.0 255.255.255.0 10.102.20.2

R1(config)#ip route 10.102.40.0 255.255.255.0 10.102.20.2

R2(config)#ip route 10.102.40.0 255.255.255.0 10.102.30.1

R2(config)#ip route 10.102.10.0 255.255.255.0 10.102.20.1

R3(config)#ip route 10.102.20.0 255.255.255.0 10.102.20.2

R3(config)#ip route 10.102.10.0 255.255.255.0 10.102.30.2

 

Ping測試

PC-A PING PC-C

 

PC-C PING PC-A

 

PC-C TELNET 到接口

 

PC-C登錄 PC-A網頁

 

（二） 配置R3區域防火牆

R3(config)#zone security IN-ZONE

R3(config-sec-zone)#zone security OUT-ZONE

R3(config)#access-list 101 permit ip 10.102.40.0 0.0.0.255 any

R3(config)#class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)#match access-group 101

R3(config)#policy-map type inspect IN-2-OUT-PMAP

R3(config-pmap)#class type inspect IN-NET-CLASS-MAP

R3 (config-pmap-c)# No specific protocol configured in class IN-NET-CLASS-MAP for inspection. All protocols will be inspected

R3 (config)#zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

R3 (config-sec-zone-pair)#service-policy type inspect IN-2-OUT-PMAP

R3(config)#int f0/0

R3(config-if)#zone-member security IN-ZONE

R3(config)#int s0/0/1

R3(config-if)#zone-member security OUT-ZONE

R3(config-if)#show policy-map type inspect zone-pair sessions

 

 PING 測試

可見 PC -C能成功ping PC-A

 

 

4、     總結

通過這個實驗，讓我對於防火牆的配置有了更深的理解和領悟，對於acl的配置以及解決問題方面能更進一步。這次實驗作了三天的時間，經歷重重困難。但最終終於成功配置而且完成實驗。讓個人實踐理論的能力有更進一步的提高。