第13組_16通訊1班_084_防火牆技術

 

網絡安全做業2 

題目：防火牆技術綜合實驗

 

擴展ACL

實驗拓撲以及地址規劃

 

 

 

要求：

拒絕PC0 所在網段訪問Server 172.84.3.100 的Web 服務

拒絕PC1 所在網段訪問Server 172.84.3.100 的Ftp 服務

拒絕PC0 所在網段訪問Server 172.84.3.100 的SQL 服務

拒絕PC0 所在網段訪問路由器R3 的Telnet 服務

拒絕PC1 所在網段訪問路由器R2 的Web 服務

拒絕PC0 和PC2 所在網段ping Server 服務器

只容許路由器R3 以接口s1/0 爲源ping 路由器R2 的接口s0/0/1 地址，而不容許路

由器R2 以接口s1/0 爲源ping 路由器R3 的接口s1/0 地址，即單向ping.

 

（一）        配置路由器(確保網絡連通)

 

R1(config)#access-list 110 deny tcp 172.84.1.0 0.0.0.255 host 172.84.3.100 eq 80

//拒絕PC1 所在網段訪問Server 172.84.3.100 的Web 服務

 

R1(config)#access-list 110 deny tcp 172.84.2.0 0.0.0.255 host 172.84.3.100 eq 21

R1(config)#access-list 110 deny tcp 172.84.2.0 0.0.0.255 host 172.84.3.100 eq 20

//拒絕PC2 所在網段訪問Server 172.84.3.100 的Ftp 服務

R1(config)#access-list 110 deny tcp 172.84.1.0 0.0.0.255 host 172.84.3.100 eq

1433

//拒絕PC1 所在網段訪問Server 172.84.3.100 的SQL 服務

 

R1(config)#access-list 110 deny tcp 172.84.1.0 0.0.0.255 host 172.84.23.3 eq 23

R1(config)#access-list 110 deny tcp 172.84.1.0 0.0.0.255 host 172.84.3.3 eq 23

//拒絕PC1 所在網段訪問路由器R3 的Telnet 服務

 

R1(config)#access-list 110 deny tcp 172.84.2.0 0.0.0.255 host 172.84.12.2 eq 80

R1(config)#access-list 110 deny tcp 172.84.2.0 0.0.0.255 host 172.84.23.2 eq 80

//拒絕PC2 所在網段訪問路由器R2 的Web 服務

 

R1(config)#access-list 110 deny icmp 172.84.1.0 0.0.0.255 host 172.84.3.100

R1(config)#access-list 110 deny icmp 172.84.2.0 0.0.0.255 host 172.84.3.100

//拒絕PC1 和PC2 所在網段ping Server 服務器

R1(config)#access-list 110 permit ip any any

R1(config)#int s1/0

R1(config-if)#ip access-group 110 out //接口下應用ACL

（二）配置路由器R3

R3(config)#access-list 120 deny icmp host 172.84.23.2 host 172.84.23.3 echo

R3(config)#access-list 120 permit ip any any

R3(config)#int s1/0

R3(config-if)#ip access-group 120 in

4、實驗調試

（一）路由器R1 上查看ACL110

R1#show ip access-lists 110

 

 

（二）路由器R3 和路由器R2 互相ping

 

 

 

 

（三）路由器R3 查看ACL 120

R3#show ip access-lists 120

 

 

（四）配置命令擴展ACL

R3(config)#ip access-list extended acl120

R3(config-ext-nacl)#deny icmp host 172.84.23.2 host 172.84.23.3 echo

R3(config-ext-nacl)#permit ip any any

R3(config-ext-nacl)#int s1/0

R3(config-if)#ip access-group acl120 in

R3#show ip access-lists

 

 

 

 

 

 

 

 

 

 

自反ACL

拓撲以及地址規劃

 

 

Ping 通截圖

 

 

 

 

1. 配置拒絕外網主動訪問內網

配置容許ICMP能夠不用標記就進入內網，其它的必須被標記才返回

r1(config)#ip access-list extended come

r1(config-ext-nacl)#permit icmp any any    被容許的ICMP是不用標記便可進入內網的

r1(config-ext-nacl)#evaluate abc                其它要進入內網的，必須是標記爲abc的

r1(config)#int f0/1

r1(config-if)#ip access-group come in

測試外網R4的ICMP訪問內網以及外網R4 telnet內網

 

 

ICMP可進入內網  Telnet不能進入內網

測試內網R3的ICMP訪問外網以及內網R3發起telnet到外網

 

 

1. 配置內網向外網發起的telnet被返回

配置內網出去，telnet被記錄爲abc,將會被容許返回

r1(config)#ip access-list extended  goto

r1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60   telnet已記爲abc

r1(config-ext-nacl)#permit ip any any  

r1(config)#int f0/1

r1(config-if)#ip access-group goto out

測試R3到外網的ICMP以及內網向外網發起telnet

 

 

查看ACL

Show ip access-lists

 

 

可知abc的ACL爲容許外網到內網的telnet，正是因爲內網發到外網的telnet被標記了，因此也自動產生了容許其返回的ACL，而且後面跟有剩餘時間。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

動態ACL

拓撲以及地址規劃

 

 

實驗前確保網絡連通

 

 

 

 

1.配置Dynamic ACL

（1）配置默認不須要認證就能夠經過的數據，如telnet

r1(config)#access-list 100 permit tcp an an eq telnet

(2)配置認證以後才能經過的數據，如ICMP，絕對時間爲2分鐘。

r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

r1(config)#int f0/0

r1(config-if)#ip access-group 100 in

測試內網R2 telnet外網以及內網R2 ping外網R4

 

 

說明內網在沒有認證以前，ICMP是沒法經過的

3.配置本地用戶數據庫

r1(config)#username ccie password cisco

4.配置全部人的用戶名具備訪問功能

r1(config)#line vty 0 181

r1(config-line)#login local

r1(config-line)#autocommand access-enable 

R2內網認證先後的內網到外網的ICMP結果對比  可知認證後的ICMP包容許經過

 

 

查看ACL狀態

r1#show ip access-lists

 

 

 

 

 

配置基於上下文的訪問控制

拓撲以及地址規

 

 驗證網絡的聯通性

server-0pingPC-0

 

 

 

1.在R2配置一個命名IP ACl阻隔全部外網產生的流量

R2(config)# ip access-list extended OUT-IN

R2(config-ext-nacl)# deny ip any any

R2(config-ext-nacl)# exit

R2(config)# interface s1/1

R2(config-if)# ip access-group OUT-IN in

在PC-0命令提示符ping service-0服務器。ICMP回送響應會被ACL阻隔。

 

 

2.建立一個CBAC檢測規則

R2(config)# ip inspect name in-out-in icmp

R2(config)# ip inspect name in-out-in telnet

R2(config)# ip inspect name in-out-in http

R2(config)# ip inspect audit-trail

R2(config)# service timestamps debug datetime msec

R2(config)# logging host 192.84.1.3

R2(config)# interface s1/1

R2(config-if)# ip inspect in-out-in out

驗證審計跟蹤信息正被syslog服務器記錄

在PC-0 成功經過ping、telnet訪問service-0

 

 

在service-0沒法經過ping,Telnet 訪問PC-0

 

 

回顧在服務器service-0的syslog信息，在配置窗口點擊syslog

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

配置基於區域策略的防火牆

拓撲以及地址規劃

 

實驗前確保網絡連通

service-0 ping通PC-0

 

 

 

 

建立一個內部區域。

R2(config)# zone security IN-ZONE

R2(config-sec-zone）# zone security OUT-ZONE

R2(config-sec-zone)# exit

 

建立一個用來定義內部流量的ACL

R2(config)# access-list 101 permit ip 192.84.3.0 0.0.0.255 any

 

建立一個涉及內部流量ACL的class map

R2(config)# class-map type inspect match-all IN-NET-CLAA-MAP

R2(config-cmap)# match access-group 101

R2(config-cmap)# exit

 

建立一個策略圖

R2(config)# policy-map type inspect IN-2-OUT-PMAP.

 

定義一個檢測級別類型和參考策略圖。

R2(config-pmap)# class type inspect IN-NET-CLAA-MAP

 

定義檢測策略圖

R2(config-pmap-c)# inspect

 

建立一對區域

R2(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

 

定義策略圖來控制兩個區域的流量。

R2(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R2(config-sec-zone-pair)# exit

R2(config)#

把端口調用到合適的安全區域。

R2(config)# interface fa0/1

R2(config-if)# zone-member security IN-ZONE

R2(config-if)# exit

 

R2(config)# interface s1/1

R2(config-if)# zone-member security OUT-ZONE

R2(config-if)# exit

 

驗證內配置ZPF後內部能訪問外部

PC-0 ping service-0服務器而且telnet到R1的s1/1口

 

 

 

 

 測試外部區域到內部區域的防火牆功能

 

 

 R2ping PC-0

 

 

總結

這是個十分複雜、難度大的實驗，在不斷錯誤中過來，須要大量的時間、精力和較好配置的電腦。在配置過程當中要細心配置每一條命令。經過此次實驗，我對本門課程有了更多的瞭解。