防火牆技術綜合實驗

時間 2019-11-09

標籤防火牆技術綜合實驗简体版

原文原文鏈接

一．訪問控制列表部分數據庫

ACL1：Established瀏覽器

一．拓撲圖安全

二．地址規劃服務器

R1網絡	F0/0session	172.43.1.2tcp	R2ide	S0/3/0測試	172.43.12.2lua
	F0/1	172.43.2.2		S0/3/1	172.43.23.2
	S0/3/0	172.43.12.1	R3	S0/3/1	172.43.23.3
PC1		172.43.1.100		F0/0	172.43.3.3
PC2		172.43.12.100	SEREVER		172.43.3.100

3、實驗步驟

要求：

� 拒絕PC1 所在網段訪問Server 172.16.3.100 的Web 服務

� 拒絕PC2 所在網段訪問Server 172.16.3.100 的Ftp 服務

� 拒絕PC1 所在網段訪問Server 172.16.3.100 的SQL 服務

� 拒絕PC1 所在網段訪問路由器R3 的Telnet 服務

� 拒絕PC2 所在網段訪問路由器R2 的Web 服務

� 拒絕PC1 和PC2 所在網段ping Server 服務器

� 只容許路由器R3 以接口s0/0/1 爲源ping 路由器R2 的接口s0/0/1 地址，而不容許路

由器R2 以接口s0/0/1 爲源ping 路由器R3 的接口s0/0/1 地址，即單向ping.

（一）配置路由器

R1(config)#access-list 110 deny tcp 172.43.1.0 0.0.0.255 host 172.43.3.100 eq 80

//拒絕PC1 所在網段訪問Server 172.16.3.100 的Web 服務

R1(config)#access-list 110 deny tcp 172.43.2.0 0.0.0.255 host 172.43.3.100 eq 21

R1(config)#access-list 110 deny tcp 172.43.2.0 0.0.0.255 host 172.43.3.100 eq 20

//拒絕PC2 所在網段訪問Server 172.16.3.100 的Ftp 服務

R1(config)#access-list 110 deny tcp 172.43.1.0 0.0.0.255 host 172.43.3.100 eq

1433

//拒絕PC1 所在網段訪問Server 172.16.3.100 的SQL 服務

R1(config)#access-list 110 deny tcp 172.43.1.0 0.0.0.255 host 172.43.23.3 eq 23

R1(config)#access-list 110 deny tcp 172.43.1.0 0.0.0.255 host 172.43.3.3 eq 23

//拒絕PC1 所在網段訪問路由器R3 的Telnet 服務

R1(config)#access-list 110 deny tcp 172.43.2.0 0.0.0.255 host 172.43.12.2 eq 80

R1(config)#access-list 110 deny tcp 172.43.2.0 0.0.0.255 host 172.43.23.2 eq 80

//拒絕PC2 所在網段訪問路由器R2 的Web 服務

R1(config)#access-list 110 deny icmp 172.43.1.0 0.0.0.255 host 172.43.3.100

R1(config)#access-list 110 deny icmp 172.43.2.0 0.0.0.255 host 172.43.3.100

//拒絕PC1 和PC2 所在網段ping Server 服務器

R1(config)#access-list 110 permit ip any any

R1(config)#int s0/0/0

R1(config-if)#ip access-group 110 out //接口下應用ACL

（二）配置路由器R3

R3(config)#access-list 120 deny icmp host 172.43.23.2 host 172.43.23.3 echo

R3(config)#access-list 120 permit ip any any

R3(config)#int s0/0/1

R3(config-if)#ip access-group 120 in

4、實驗調試

（一）路由器R1 上查看ACL110

（二）路由器R3 和路由器R2 互相ping

（三）路由器R3 查看ACL 120

ACL2：自反ACL

一．拓撲圖

二．網絡地址規劃

R1	F0/0	10.43.1.1	R3	F0/0	10.43.1.3
	F0/1	14.43.1.1	R4	F0/0	14.43.1.4
R2	F0/0	10.43.1.2

1.配置拒絕外網主動訪問內網

拒絕外網主動訪問內網，可是ICMP能夠不受限制

（1）配置容許ICMP能夠不用標記就進入內網，其它的必須被標記才返回

r1(config)#ip access-list extended come

r1(config-ext-nacl)#permit icmp any any 被容許的ICMP是不用標記便可進入內網的

r1(config-ext-nacl)#evaluate YYX 其它要進入內網的，必須是標記爲abc的

（2）應用ACL

r1(config)#int f0/1

r1(config-if)#ip access-group come in

2.測試結果

（1）測試外網R4的ICMP訪問內網

說明：能夠看到，ICMP是能夠任意訪問的

（2）測試外網R4 telnet內網

說明：能夠看到，除ICMP以外，其它流量是不能進入內網的。

（1） 測試內網R2的ICMP訪問外網

說明：能夠看到，內網發ICMP到外網，也正常返回了

（2） 測試內網R2發起telnet到外網

說明：能夠看到，除ICMP以外，其它流量是不能經過的。

3.配置內網向外網發起的telnet被返回

說明：外網和內網之間的ICMP能夠不受限制，外網不能telnet內網，但內網telnet外網時，須要配置記錄，讓其返回，根據上面的ACL配置，能夠返回的，必須是標爲abc的，因此在此爲內網發向外網的telnet標爲abc，返回時，就會有缺口，所以內網能正常telnet外網，但外網不可主動telnet內網。

（1）配置內網出去時，telnet被記錄爲abc,將會被容許返回

r1(config)#ip access-list extended goto

r1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60 telnet已記爲abc

r1(config-ext-nacl)#permit ip any any

（2）應用ACL

r1(config)#int f0/1

r1(config-if)#ip access-group goto out

4.測試結果

（1）查看R2到外網的ICMP

說明：ICMP屬正常

（3）查看內網向外網發起telnet

說明：能夠看出，此時內網發向外網的telnet由於被標記爲abc，因此在回來時，開了缺口，也就能夠容許返回了。

（3） 查看ACL

說明：能夠看到，有一條爲abc的ACL爲容許外網到內網的telnet，正是因爲內網發到外網的telnet被標記了，因此也自動產生了容許其返回的ACL，而且後面跟有剩餘時間。

ACL2：動態ACL

一．拓撲圖

三．網絡地址規劃

R1	F0/0	10.43.1.1	R3	F0/0	10.43.1.3
	F0/1	14.43.1.1	R4	F0/0	14.43.1.4
R2	F0/0	10.43.1.2

1.配置Dynamic ACL

（1）配置默認不須要認證就能夠經過的數據，如telnet

r1(config)#access-list 100 permit tcp an an eq telnet

(2)配置認證以後才能經過的數據，如ICMP，絕對時間爲2分鐘。

r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

（3）應用ACL

r1(config)#int f0/0

r1(config-if)#ip access-group 100 in

2.測試訪問

（1）測試內網R2 telnet外網R4

說明：從結果中看出，telnet不受限制。

（3）測試測試內網R2 ping外網R4

（4）

說明：內網在沒有認證以前，ICMP是沒法經過的。

3.配置本地用戶數據庫

r1(config)#username ccie password cisco

4.配置全部人的用戶名具備訪問功能

r1(config)#line vty 0 181

r1(config-line)#login local

r1(config-line)#autocommand access-enable 這條必加

5. 內網R2作認證

說明：當telnet路由器認證成功後，是會被關閉會話的。

6.測試內網到外網的ICMP通訊功能

說明：認證經過以後，ICMP被放行。

7.查看ACL狀態

說明：能夠看到動態容許的流量已放行。

8.host功能

第一種:r1(config-line)#autocommand access-enable //若是沒有加host,那麼內網一臺主機經過認證以後，全部主機都能訪問外網

第二種:r1(config-line)# autocommand access-enable host //加了host，就變成誰經過了認證，誰才能訪問外網。

有配置訪問功能時，命令有兩種，而且後面能夠跟時間，這裏的時間爲空閒時間，必須比以前的絕對時間要小，在配置訪問功能時，若是沒有加host，那麼內網一臺主機經過認證以後，全部主機都能訪問外網，加了host，就變成誰經過了認證，誰才能訪問外網。

ACL2：基於時間的ACL

一．拓撲圖

四．網絡地址規劃

R1	F0/0	10.43.1.1	R3	F0/0	10.43.1.3
	F0/1	14.43.1.1	R4	F0/0	14.43.1.4
R2	F0/0	10.43.1.2

1.配置time-range

r1(config)#time-range TELNET

r1(config-time-range)#periodic weekdays 9:00 to 15:00

說明：定義的時間範圍爲每週一到週五的9:00 to 15:00

2.配置ACL

說明：配置R1在上面的時間範圍內拒絕R2到R4的telnet，其它流量所有經過。

r1(config)#access-list 150 deny tcp host 10.43.1.2 any eq 23 time-range TELNET

r1(config)#access-list 150 permit ip any any

3.應用ACL

r1(config)#int f0/0

r1(config-if)#ip access-group 150 in

4.測試時間範圍內的流量狀況

（1）查看當前R1的時間

說明：當前時間爲週四14:34，即在所配置的時間範圍內。

（2）測試R2向R4發起telnet會話

說明：能夠看到，在規定的時間範圍內，R2向R4發起telnet會話是被拒絕的。

（3）測試除telnet外的其它流量

說明：能夠看到，在規定的時間範圍內，除了telnet以外，其它流量不受限制。

（4）測試除R2以外的設備telnet狀況

說明：能夠看到，除R2以外，其它設備telnet並不受限制。

5.測試時間範圍外的流量狀況

（1）查看當前R1的時間

說明：當前時間爲週四15:01，即在所配置的時間範圍以外。

（2）測試R2向R4發起telnet會話

說明：在時間範圍以外，所限制的流量被放開。

二．防火牆

基於上下文的訪問控制

一．拓撲圖

二．地址規劃

R1	Fa0/1	192.168.43.1	255.255.255.0	N/A
R1	S0/0/0	10.43.1.1	255.255.255.252	N/A
R2	S0/0/0	10.43.1.2	255.255.255.252	N/A
R2	S0/0/1	10.43.2.2	255.255.255.252	N/A
R3	Fa0/1	192.43.3.1	255.255.255.0	N/A
R3	S0/0/1	10.43.2.1	255.255.255.252	N/A
PC-A	NIC	192.43.1.3	255.255.255.0	192.43.1.1
PC-C	NIC	192.43.3.3	255.255.255.0	192.43.3.1

Task1:Block Traffic FromOutside

任務1：阻隔外網流量

第一步驗證基本的網絡連通性

配置防火牆以前先驗證網絡連通性

· 在PC-C的命令提示符中ping PC-A服務器

在PC-C命令提示符中telnet路由R2的s0/0/1接口：地址時10.2.2.2.退出telnet階段

· 在PC-C開一個網頁瀏覽器登入PC-A來展現網頁。關掉PC-C的瀏覽器。

· 在PC-A的命令提示符ping PC-C

第二步在R3配置一個命名IP ACl阻隔全部外網產生的流量。

用ip access-list extended指令創造一個已命名的IP ACL

R3(config)# ip access-list extended OUT-IN R3(config-ext-nacl)# deny ip any any R3(config-ext-nacl)# exit

第三步在s0/0/1應用ACl

R3(config)# interface s0/0/1

R3(config-if)# ip access-group OUT-IN in

第四步確保進入s0/0/1接口的流量被阻隔

在PC-C命令提示符ping PC-A服務器。ICMP回送響應會被ACL阻隔。

任務2：建立一個CBAC檢測規則

第一步建立一個檢測規則來檢測ICMP，Telnet，和HTTP流量。

第二步開啓時間戳記記錄和CBAC審計跟蹤信息。

用ip inspect audit-trail指令去開啓CBAC審計信息來提供關於經過防火牆的網絡接入記錄，包括非法訪問嘗試。用logging host指令在syslog服務器啓用日誌記錄、關於192.43.1.3。確保登陸消息打上時間標記。

R3(config)# ip inspect audit-trail

R3(config)# service timestamps debug datetime msec

R3(config)# logging host 192.43.1.3

第三步對在s0/0/1的出口流量用檢測規則。

R3(config-if)# ip inspect IN-OUT-IN out

第四步驗證審計跟蹤信息正被syslog服務器記錄

在PC-C 成功ping、telnet訪問PC-A來檢測連通性。須要注意Telnet不了。

在PC-A,ping,Telnet PC-C來檢測連通性，這兩步都被阻隔掉

查看icmp日誌

基於區域策略的防火牆

三．拓撲圖

四．地址規劃

R1	Fa0/1	192.168.43.1	255.255.255.0	N/A
R1	S0/0/0	10.43.1.1	255.255.255.252	N/A
R2	S0/0/0	10.43.1.2	255.255.255.252	N/A
R2	S0/0/1	10.43.2.2	255.255.255.252	N/A
R3	Fa0/1	192.43.3.1	255.255.255.0	N/A
R3	S0/0/1	10.43.2.1	255.255.255.252	N/A
PC-A	NIC	192.43.1.3	255.255.255.0	192.43.1.1
PC-C	NIC	192.43.3.3	255.255.255.0	192.43.3.1

驗證基本網絡連通性。

驗證網絡連通性以便配置ZPF

第一步 PC-A ping通PC-C。

第二步 PC-C telnet到s0/0/1接口。

第三步 PC-C登到PC-A的網頁。

Task 2:在R3建立區域防火牆

第一步建立一個內部區域。

用 zone security建立區域IN-ZONE

R3(config)# zone security IN-ZONE

第二步建立外部區域

.用 zone security建立區域OUT-ZONE

R3(config-sec-zone)# zone security OUT-ZONE

R3(config-sec-zone)# exit

定義一個流量級別和訪問列表

第一步建立一個用來定義內部流量的ACL

用access-list建立擴展ACL101來在IP層面容許全部從……源網絡地址訪問到任何其餘地址。

R3(config)# access-list 101 permit ip 192.43.3.0 0.0.0.255 any

第二步建立一個涉及內部流量ACL的class map

用 class map type inspect （match all）來建立一個叫 class map type inspect 的class map，用match access-group匹配ACL

R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)# match access-group 101

R3(config-cmap)# exit

指定防火牆策略

第一步建立一個策略圖來肯定對匹配的流量幹啥。

用 policy-map type inspect建立策略圖IN-2-OUT-PMAP

R3(config)# policy-map type inspect IN-2-OUT-PMAP

第二步定義一個檢測級別類型和參考策略圖。

R3(config-pmap)# class type inspect IN-NET-CLASS-MAP

第三步定義檢測策略圖

Inspect這個指令調用基於上下文的訪問控制（其餘還有經過和丟棄）

R3(config-pmap-c)# inspect

%No specific protocol configured in class IN-NET-CLASS-MAP for inspection. All protocols will be inspected.

輸exit兩次退出config-pmap-c模式，回到全局模式

R3(config-pmap-c)# exit

R3(config-pmap)# exit

應用防火牆策略

第一步建立一對區域

用zone-pair security建立一個區域對IN-2-OUT-ZPAIR對任務一中建立的區域進行源和目的區域定義

R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

第二步定義策略圖來控制兩個區域的流量。

用 service-policy type inspect把策略圖和關聯活動附加到區域對，參考以前建立的策略圖IN-2-OUT-PMAP.

R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R3(config-sec-zone-pair)# exit R3(config)#

第三步把端口調用到合適的安全區域。

在端口的全局模式用zone-member security來把F0/1調用到IN-ZONE ，把S0/0/1調用到OUT-ZONE

R3(config)# interface fa0/1

R3(config-if)# zone-member security IN-ZONE

R3(config-if)# exit

R3(config)# interface s0/0/1

R3(config-if)# zone-member security OUT-ZONE

R3(config-if)# exit

第四步寫入啓動配置

任務6 測試從IN-ZONE到OUT-ZONE的防火牆功能

驗證內配置ZPF後內部能訪問外部

第一步 PC_C ping PC-A服務器

從PC-C能成功ping到PC-A

第二步從PC-Ctelnet到R2 的s0/0/1口

從PC-C telnet到R2輸密碼ciscovtypa55，能telnet到。順便在R3輸show policy-map type inspect zone-pair sessions看完成狀況。

第三步關掉PC-C的Telnet

第四步 PC-C打開網頁登到PC-A的服務器

Task 7:Test Firewall Functionality from OUT-ZONE to IN-ZONE

第七步測試外部區域到內部區域的防火牆功能

驗證配置ZPF以後外部沒法訪問內部。

第一步 PC-A ping PC-C（ping 不通）

第二步 R2 ping PC-C也ping不通

S tep 3. C heck res ults .

第三步查看結果

你的完成狀況應該是100%。點擊測試結果去看結果反饋並驗證哪些部分須要補充完成。

三．實驗總結

此次試驗讓我對acl訪問控制列表和兩種防火牆有了很深的認識。首先是acl訪問列表的三種：自反，動態和時間。其中自反是經過標記來放行報文，動態是經過密碼認證而時間則是規定某個時間段能夠經過。這三中acl能夠同時使用來達到對用戶的多方面控制訪問，同時在實驗中還懂得了怎樣設置擴展acl，在已有的acl中加入額外的訪問控制。Acl的指令大同小異，可是在設計的邏輯和攔截的路由器上有很大的不一樣。

在防火牆這塊，基於報文的這個應用到了acl部分的操做，先建表在應用到牆上而不是應用到端口，再在端口應用防火牆。二區域策略則是規劃內外兩個區域。規定兩個區域的訪問權限，從而達到攔截攻擊的目的。

此次試驗是pt軟件跟gns3軟件分開始用，主要是有不少指令在兩個上面各有不支持的地方，可是實際操做應該都是能使用的。實驗的過程跟結果都很好的印證了上課的內容，從結果上很直觀的反應了各個acl和防火牆的做用和目的。

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。