防火牆技術綜合實驗

 

 

 

擴展ACL

 

一，實驗拓撲

 

二，實驗步驟：

（1）測試網絡連通性，PC1 ping 服務器。

（2）配置路由器R0

R0(config)#access-list 110 remark this is an example for extended acl//添加備註，增長可讀性

R0(config)#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.100 eq 80

//拒絕PC1 所在網段訪問Server 172.9.3.100 的Web 服務

R0(config)#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.3.100 eq 21

R0(config)#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.3.100 eq 20

//拒絕PC2 所在網段訪問Server 172.9.3.100 的Ftp 服務

R0(config)#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.100 eq

1433//拒絕PC1 所在網段訪問Server 172.9.3.100 的SQL 服務

R0(config)#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.23.3 eq 23

R0(config)#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.3 eq 23

//拒絕PC1 所在網段訪問路由器R2 的Telnet 服務

R0(config)#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.12.2 eq 80

R0(config)#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.23.2 eq 80

//拒絕PC2 所在網段訪問路由器R2 的Web 服務

R0(config)#access-list 110 deny icmp 172.9.1.0 0.0.0.255 host 172.9.3.100

R0(config)#access-list 110 deny icmp 172.9.2.0 0.0.0.255 host 172.9.3.100

//拒絕PC1 和PC2 所在網段ping Server 服務器

R0(config)#access-list 110 permit ip any any

R0(config)#int s0/0/0

R0(config-if)#ip access-group 110 out //接口下應用ACL

（3）配置路由器R2

R2(config)#access-list 120 deny icmp host 172.9.23.2 host 172.9.23.3 echo

R2(config)#access-list 120 permit ip any any

R2(config)#int s0/0/1

R2(config-if)#ip access-group 120 in

 

三，實驗調試

（1）     路由器R0上查看ACL 110

（2）     路由器R2和路由器R1，互相ping

（3）     路由器R2上查看ACL 120

（4）     配置命令擴展ACL

R2(config)#ip access-list extended acl120

R2(config-ext-nacl)#deny icmp host 172.9.23.2 host 172.9.23.3 echo

R2(config-ext-nacl)#permit ip any any

R2(config-ext-nacl)#int s0/0/1

R2(config-if)#ip access-group acl120 in

自反ACL

一，實驗拓撲

一，實驗步驟

（1）     測試網絡連通性，R2 ping R4

（1）     配置拒絕外網主動訪問內網

  i.            配置容許ICMP能夠不用標記進入內網，其它的必須被標記才返回

 r1(config-ext-nacl)#permit icmp any any         被容許的ICMP是不用標記便可進入內網的

r1(config-ext-nacl)#evaluate abc                其它要進入內網的，必須是標記爲abc的

ii.            應用ACL

r1(config)#int f0/1

r1(config-if)#ip access-group come in

iii.            測試外網R4的ICMP訪問內網

說明：能夠看到，ICMP是能夠任意訪問的

 iv.            測試外網R4 telnet 內網

說明：能夠看到，除ICMP外，其它流量是不能進入內網的

v.            測試內網R2的ICMP訪問外網

說明：能夠看到，內網發ICMP到外網，也正常返回了

vi.            測試內網R2發起telnet到外網

說明：能夠看到，除ICMP外，其餘流量是不能經過的

（3）     配置內網向外網發起的telnet被返回

 

說明：外網和內網之間的ICMP能夠不受限制，外網不能telnet內網，但內網telnet外網時，須要配置記錄，讓其返回，根據上面的ACL配置，能夠返回的，必須是標爲abc的，因此在此爲內網發向外網的telnet標爲abc，返回時，就會有缺口，所以內網能正常telnet外網，但外網不可主動telnet內網。

A：配置內網出去時，telnet被記錄爲abc,將會被容許返回

 

r1(config)#ip access-list extended  goto

r1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60   telnet已記爲abc

r1(config-ext-nacl)#permit ip any any       

 

B：應用ACL

r1(config)#int f0/1

r1(config-if)#ip access-group goto out

 

三，實驗調試

（1）     查看R2到外網的ICMP

說明：ICMP屬於正常

（2）     查看內網向外網發起的telnet

說明：能夠看出，此時內網向外網的telnet由於被標記爲abc，因此再回來時，開了缺口，也就容許返回了

（3）     查看ACL

說明：能夠看到，有一條爲abc的ACL爲容許外網到內網的telnet，正是因爲內網發到外網的telnet被標記了，因此也自動產生了容許其返回的ACL，而且後面跟有剩餘時間。

動態ACL

一，實驗原理

Dynamic ACL在一開始拒絕用戶相應的數據包經過，當用戶認證成功後，就臨時放行該數據，可是在會話結束後，再將ACL恢復最初的配置。要定義Dynamic ACL何時恢復最初的配置，能夠定義會話超時，即會話多久沒有傳數據，就斷開，也能夠定義絕對時間，即不管會話有沒有結束，到了規定時間，也要斷開。

二，實驗拓撲

三，實驗步驟

1， 測試網絡連通性

2， 配置Dynamic ACL

r1(config)#access-list 100 permit tcp an an eq telnet

3， 配置認證以後才能經過的數據，如ICMP，絕對時間爲2分鐘

r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

4， 應用ACL

r1(config)#int f0/0

r1(config-if)#ip access-group 100 in

四，實驗調試

1， 測試內網R2 telnet 外網R4

說明：從結果中看出，telnet不受限制

2， 測試內網R2 ping 外網R4

說明：內網在沒有認證以前，ICMP是沒法經過的

3， 配置本地用戶數據庫

r1(config)#username ccie password cisco

4， 配置全部人的用戶名具備訪問功能

r1(config)#line vty 0 181

r1(config-line)#login local

r1(config-line)#autocommand access-enable  這條必加

5， 內網R2作認證

說明：當telnet路由器認證成功後，是會被關閉會話的

6， 測試內網到外網的ICMP通訊功能

說明：認證經過以後，ICMP被放行

7， 查看ACL狀態

基於時間的ACL

一，實驗原理

原理： 要經過ACL來限制用戶在規定的時間範圍內訪問特定的服務，首先設備上必須配置好正確的時間。在相應的時間要容許相應的服務，這樣的命令，在配置ACL時，是正常配置的，可是，若是就將命令正常配置以後，默認是在全部時間內容許的，要作到在相應時間內容許，還必須爲該命令加上一個時間限制，這樣就使得這條ACL命令只在此時間範圍內才能生效。而要配置這樣的時間範圍，是經過配置time-range來實現的，在time-range中定義好時間，再將此time-range跟在某ACL的條目以後，那麼此條目就在該時間範圍內起做用，其它時間是不起做用的。

二，實驗拓撲

三，實驗步驟

1， 測試網絡連通性

2， 配置time-rang

r1(config)#time-range TELNET

r1(config-time-range)#periodic weekdays 9:00 to 15:00

說明：定義的時間範圍爲每週一到週五的9:00 to 15:00

3， 配置ACL

說明：配置R1在上面的時間範圍內拒絕R2到R4的telnet，其它流量所有經過。

r1(config)#access-list 150 deny tcp host 10.1.1.2 any eq 23 time-range TELNET

r1(config)#access-list 150 permit ip any any

4， 應用ACL

r1(config)#int f0/0

r1(config-if)#ip access-group 150 in

四，實驗調試

1， 查看當前R1的時間

2， 測試R2向R4發起的telnet會話

說明：當時時間再也不制定範圍，因此能TELNET成功

基於上下文的訪問控制

一，實驗拓撲

二，實驗步驟

1， 測試網絡連通性

2， 在R2上配置一個命名爲IP ACL阻隔全部外網產生的流量

    用ip access-list extended指令創造一個已命名的IP ACL

    R2(config)# ip access-list extended OUT-IN

    R2(config-ext-nacl)# deny ip any any

R2(config-ext-nacl)# exit

3， 應用ACL

R2(config)# interface s0/0/1

R2(config-if)# ip access-group OUT-IN in

說明：確保進入s0/0/1接口的流量被阻隔

4， 建立一個CBAC檢測規則

R2(config)# ip inspect name IN-OUT-IN icmp

R2(config)# ip inspect name IN-OUT-INtelnet

R2(config)# ip inspect name IN-OUT-INhttp

5， 開啓時間記錄和CBAC審計信息

R2(config)# ip inspect audit-trail

R2(config)# service timestamps debug datetime msec

R2(config)# logging host 192.168.1.3

R2(config-if)# ip inspect IN-OUT-IN out

三，實驗調試

1， 驗證審計跟蹤信息正被syslog服務器記錄

須要注意，telnet不了

2， show ip inspect sessions

 

3， show ip inspect config

 

區域策略防火牆

一，實驗拓撲

二，實驗步驟

1， 測試網絡連通性

PC ping 服務器

PC telnet 到R2上

PC登錄到服務器的網頁

2， 在R2建立區域防火牆

R2(config)# zone security IN-ZONE

R2(config-sec-zone)# zone security OUT-ZONE

R2(config-sec-zone)# exit

3， 定義一個流量級別和訪問列表

R2(config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 any

R2(config)# class-map type inspect match-all IN-NET-CLASS-MAP

R2(config-cmap)# match access-group 101

R2(config-cmap)# exit

4， 指定防火牆策略

R2(config)# policy-map type inspect IN-2-OUT-PMAP

R2(config-pmap)# class type inspect IN-NET-CLASS-MAP

R2(config-pmap-c)# inspect

5， 應用防火牆策略

R2(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

R2(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R2(config-sec-zone-pair)# exit R2(config)#

R2(config)# interface fa0/1

R2(config-if)# zone-member security IN-ZONE

R2(config-if)# exit

R2(config)# interface s0/0/1

R2(config-if)# zone-member security OUT-ZONE

R2(config-if)# exit

三，實驗調製

1， 測試聰IN-ZONE到OUT-ZONE的防火牆功能

PC ping 服務器

PC telnet 到R2

R2上查看完成狀況

2， 測試外部區域到內部區域的防火牆功能

驗證配置ZPF以後外部沒法訪問內部

服務器ping PC（ping不通）

R2 ping PC（ping 不通）

實驗總結

  本次實驗將前面所學的網絡安全知識進行從新的處理總結，經過從新作這些實驗，我發現了他們之間存在必定的聯繫，好比配置防火牆是能夠添加ACL規則進行安全加固，可是必需要理清他們的運做原理。本次實驗我對防火牆和ACL進行了大概的總結，就是這兩個協議都能抵禦來自外網的攻擊，提升網絡安全性，可是對於來自內網的攻擊難以抵禦，且在應用前都必須通過反覆驗證，確保其可行性，不會阻礙正常的網絡運行。