码迷,mamicode.com
首页 > 系统相关 > 详细

防火墙配置(CiscoPT&GNS3)

时间:2019-04-29 21:11:37      阅读:203      评论:0      收藏:0      [点我收藏+]

标签:3.1   ccie   ble   cells   pair   缺点   提示   默认   类型   

第一部分:扩展ACL

拓扑图

技术图片

地址表

Device

Interface

IP address

R1

F 0/0

172.16.19.1

F 0/1

10.3.19.1

S 0/0/1

10.1.19.1

R2

S 0/0/1

10.1.19.2

S 0/0/0

10.2.19.2

R3

F 0/0

192.168.19.3

S 0/0/0

10.2.19.3

PC-1

NIC

172.16.19.100

Default Gateway

172.16.19.1

PC-2

NIC

10.3.19.100

Default Gateway

10.3.19.1

Server1

NIC

192.168.19.100

Default Gateway

192.168.19.3

配置扩展ACL前先把地址分配端口,网络连通,然后配置静态路由。

R1(config)#ip route 172.16.19.0 255.255.255.0 10.1.19.2

R1(config)#ip route 10.2.19.0 255.255.255.0 10.1.19.2

R1(config)#ip route 192.168.19.0 255.255.255.0 10.1.19.2

 

R2(config)#ip route 172.16.19.0 255.255.255.0 10.1.19.1

R2(config)#ip route 10.3.19.0 255.255.255.0 10.1.19.1

R2(config)#ip route 192.168.19.0 255.255.255.0 10.2.19.3

 

R3(config)#ip route 10.1.19.0 255.255.255.0 10.2.19.2

R3(config)#ip route 172.16.19.0 255.255.255.0 10.2.19.2

R3(config)#ip route 10.3.19.0 255.255.255.0 10.2.19.2

 

R1#show ip route 查看路由表:

技术图片

试从PC-1 ping 到Server1,查看测试结果:

技术图片

静态路由配置完成,开始完成扩展ACL实验。

要求:

?? 拒绝PC1 所在网段访问Server 192.168.19.100 的Web 服务

?? 拒绝PC2 所在网段访问Server 192.168.19.100 的Ftp 服务

?? 拒绝PC1 所在网段访问Server 192.168.19.100 的SQL 服务

?? 拒绝PC1 所在网段访问路由器R3 的Telnet 服务

?? 拒绝PC2 所在网段访问路由器R2 的Web 服务

?? 拒绝PC1 和PC2 所在网段ping Server 服务器

?? 只允许路由器R3 以接口s0/1/0 为源ping 路由器R2 的接口s0/1/1 地址,而不允许路

由器R2 以接口s0/1/1 为源ping 路由器R3 的接口s0/1/0 地址,即单向ping.

 

实验步骤:

(一)配置路由器

R1(config)#access-list 110 remark this is an example for extended acl

R1(config)#access-list 110 deny tcp 172.16.19.0 0.0.0.255 host 192.168.19.100 eq 80

R1(config)#access-list 110 deny tcp 10.3.19.0 0.0.0.255 host 192.168.19.100 eq 21

R1(config)#access-list 110 deny tcp 10.3.19.0 0.0.0.255 host 192.168.19.100 eq 20

R1(config)#access-list 110 deny tcp 172.16.19.0 0.0.0.255 host 192.168.19.100 eq 1433

R1(config)#access-list 110 deny tcp 172.16.19.0 0.0.0.255 host 10.2.19.3 eq 23

R1(config)#access-list 110 deny tcp 172.16.19.0 0.0.0.255 host 192.168.19.3 eq 23

R1(config)#access-list 110 deny tcp 10.3.19.0 0.0.0.255 host 10.1.19.2 eq 80

R1(config)#access-list 110 deny tcp 10.3.19.0 0.0.0.255 host 10.2.19.2 eq 80

 

R1(config)#access-list 110 deny icmp 172.16.19.0 0.0.0.255 host 192.168.19.100

R1(config)#access-list 110 deny icmp 10.3.19.0 0.0.0.255 host 192.168.19.100

R1(config)#access-list 110 permit ip any any

R1(config)#int s0/0/0

R1(config-if)#ip access-group 110 out

(二)配置路由器R3

R3(config)#access-list 120 deny icmp host 10.2.19.2 host 10.2.19.3 echo

R3(config)#access-list 120 permit ip any any

R3(config)#int s0/0/0

R3(config-if)#ip access-group 120 in

四、实验调试

(一)路由器R1上查看ACL110

R1#show ip access-lists 110

技术图片

(二)路由器R3和路由器R2互ping

技术图片

技术图片

(三)路由器R3查看ACL120

R3#show ip access-lists 120

技术图片

(四)配置命令扩展ACL

R3(config)#ip access-list extended acl120

R3(config-ext-nacl)#deny icmp host 10.2.19.2 host 10.2.19.3 echo

R3(config-ext-nacl)#permit ip any any

R3(config-ext-nacl)#int s0/0/0

R3(config-if)#ip access-group acl120 in

R3#show ip access-lists

技术图片

扩展ACL实验配置完成,验证成功。

 

第二部分:自反ACL

拓扑图

技术图片

R4为外网,R2和R3为内网。

地址表

Device

Interface

IP address

R1

F 0/0

10.1.63.1

F 0/1

14.1.63.1

R2

F 0/0

10.1.63.2

R3

F 0/0

10.1.63.3

R4

F 0/0

14.1.63.4

先在R2、R3与R4上配置配置静态路由

R2(config)#ip route 14.1.19.0 255.255.255.0 10.1.19.1

R3(config)#ip route 14.1.19.0 255.255.255.0 10.1.19.1

R4(config)#ip route 10.1.19.0 255.255.255.0 14.1.19.1

配置静态路由完成,路由之间互通,即可做自反ACL

1.配置拒绝外网主动访问内网(拒绝外网主动访问内网,但是ICMP可以不受限制)

(1)配置允许ICMP可以不用标记就进入内网,其它的必须被标记才返回

R1(config)#ip access-list extended come

R1(config-ext-nacl)#permit icmp any any        

R1(config-ext-nacl)#evaluate abc            

(2)应用ACL

R1(config)#int f0/1

R1(config-if)#ip access-group come in

2.测试结果

(1)测试外网R4的ICMP访问内网

技术图片

可以看到,ICMP是可以任意访问的

(2)测试外网R4 telnet内网

技术图片

可以看到,除ICMP之外,其它流量是不能进入内网的。

(1) 测试内网R3的ICMP访问外网

技术图片

可以看到,内网发ICMP到外网,也正常返回了

(2) 测试内网R3发起telnet到外网

技术图片

可以看到,除ICMP之外,其它流量是不能通过的。

 

3.配置内网向外网发起的telnet被返回

(1)配置内网出去时,telnet被记录为abc,将会被允许返回

R1(config)#ip access-list extended  goto

R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60  

R1(config-ext-nacl)#permit ip any any  

                

(2)应用ACL

R1(config)#int f0/1

R1(config-if)#ip access-group goto out

4.测试结果

(1)查看R3到外网的ICMP

技术图片

ICMP属正常

(3)查看内网向外网发起telnet

技术图片

可以看出,此时内网发向外网的telnet因为被标记为abc,所以在回来时,存在缺口,可以允许返回。

 

(4)查看ACL

技术图片

可以看到,有一条为abc的ACL为允许外网到内网的telnet,正是由于内网发到外网的telnet被标记了,所以也自动产生了允许其返回的ACL,并且后面跟有剩余时间。

 

第三部分:动态ACL

拓扑图

技术图片

R2和R3为内网,R4为外网,配置R1,默认允许所有telnet通过,因为要使用telnet做认证,然后只有当认证通过之后,ICMP才可以通过。

这里静态路由配置与地址表自反ACL相同,参照上面配置做通路由即可开始该实验配置。

1.配置Dynamic ACL

(1)配置默认不需要认证就可以通过的数据,如telnet

R1(config)#access-list 100 permit tcp any any eq telnet

(2)配置认证之后才能通过的数据,如ICMP,绝对时间为2分钟。

R1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

(3)应用ACL

R1(config)#int f0/0

R1(config-if)#ip access-group 100 in

  1. 测试访问

(1)测试内网R3 telnet外网R4

技术图片

结果中看出,telnet不受限制。

(2)测试测试内网R3 ping外网R4

技术图片

内网在没有认证之前,ICMP是无法通过的。

3.配置本地用户数据库

R1(config)#username ccie password cisco

4.配置所有人的用户名具有访问功能

R1(config)#line vty 0 181

R1(config-line)#login local

R1(config-line)#autocommand access-enable 

5.内网R3做认证

技术图片

当telnet路由器认证成功后,是会被关闭会话的。

6.测试内网到外网的ICMP通信功能

技术图片

认证通过之后,ICMP被放行。

7.查看ACL状态

技术图片

可以看到动态允许的流量已放行。

 

第四部分:基于时间的ACL

拓扑图

技术图片

前提:在R1路由器上需要提前配置好正确的时间

R1#clock set 20:00:00 apr 28 2019

本实验静态路由配置与地址表与第一个实验自反ACL相同,参照上面配置做通路由。

1.配置time-range

R1(config)#time-range TELNET

R1(config-time-range)#periodic weekend 10:00 to 22:00

(定义的时间范围为周末的10:00 to 22:00)

2.配置ACL(配置R1在上面的时间范围内拒绝R2到R4的telnet,其它流量全部通过。)

R1(config)#access-list 150 deny tcp host 10.1.19.2 any eq 23 time-range TELNET

R1(config)#access-list 150 permit ip any any

3.应用ACL

R1(config)#int f0/0

R1(config-if)#ip access-group 150 in

4.测试时间范围内的流量情况

(1)查看当前R1的时间

技术图片

当前时间为周日20:00,即在所配置的时间范围内。

(2)测试R3向R4发起telnet会话

技术图片

在规定的时间范围内,R3向R4发起telnet会话是被拒绝的。

(3)测试除telnet外的其它流量

技术图片

在规定的时间范围内,除了telnet之外,其它流量不受限制。

(4)测试除R3之外的设备telnet情况

技术图片

可以看到,除R3之外,其它设备telnet并不受限制。

5.测试时间范围外的流量情况

(1)更改当前R1的时间

技术图片

更改时间为周日23:00,即在所配置的时间范围之外。

(2)测试R3向R4发起telnet会话

技术图片

在时间范围之外,所限制的流量被放开。

 

第五部分:基于上下文的访问控制

拓扑图

技术图片

地址表

Device

Interface

IP address

R1

F 0/0

192.168.19.1

S 0/0/0

10.1.19.1

R2

S 0/0/0

10.1.19.2

S 0/0/1

10.2.19.2

R3

F 0/0

172.16.19.3

S 0/0/0

10.2.19.3

PC-A

NIC

192.168.19.4

Default Gateway

192.168.19.1

PC-B

NIC

172.16.19.4

Default Gateway

172.16.19.3

预配置:

在配置防火墙之前验证设备间连通性,即先配置静态路由

R1(config)#ip route 10.2.19.0 255.255.255.0 10.1.19.2

R1(config)#ip route 172.16.19.0 255.255.255.0 10.1.19.2

 

R2(config)#ip route 192.168.19.0 255.255.255.0 10.1.19.1

R2(config)#ip route 172.16.19.0 255.255.255.0 10.2.19.3

 

R3(config)#ip route 10.1.19.0 255.255.255.0 10.2.19.2

R3(config)#ip route 192.168.19.0 255.255.255.0 10.2.19.2

 

在R3启用密码

R3(config)#enable password a123

启用console口密码

R3(config)#line console 0

R3(config-line)#password b123

 

启用vty行接入密码

R3(config)#line vty 0 4

R3(config-line)#password c123

 

把S1、S2所有交换机接口都在Vlan1(S2配置相同)

S1(config)#int f0/1

S1(config-if)# switchport access vlan 1

S1(config-if)# switchport trunk allowed vlan 1

S1(config)#int f0/2

S1(config-if)# switchport access vlan 1

S1(config-if)# switchport trunk allowed vlan 1

预配置完成

验证:在PC-B的命令提示符中ping PC-A服务器

技术图片

在PC-B命令提示符中telnet路由R2的s0/0/1接口:地址时10.2.19.2.退出telnet阶段:

技术图片

在PC-B开一个网页浏览器登入PC-A来展示网页。关掉PC-B的浏览器。

技术图片

在PC-A的命令提示符ping PC-B:

技术图片

在R3配置一个命名IP ACl阻隔所有外网产生的流量

用ip access-list extended指令创造一个已命名的IP ACL

R3(config)#ip access-list extended out-in

R3(config-ext-nacl)# deny ip any any

R3(config-ext-nacl)# exit

 

在s0/0/0应用ACl

R3(config)#int s0/0/0

R3(config-if)# ip access-group out-in in

 

确保进入s0/0/1接口的流量被阻隔

在PC-B命令提示符ping PC-A服务器。ICMP回送响应会被ACL阻隔:

技术图片

创建一个CBAC检测规则

第一步  创建一个检测规则来检测ICMP,Telnet,和HTTP流量。

R3(config)# ip inspect name IN-OUT-IN icmp

R3(config)# ip inspect name IN-OUT-IN telnet

R3(config)# ip inspect name IN-OUT-IN http

 

第二步   开启时间戳记记录和CBAC审计跟踪信息。

R3(config)# ip inspect audit-trail

R3(config)# service timestamps debug datetime msec

R3(config)# logging host 192.168.19.4

 

第三步    对在s0/0/0的出口流量用检测规则。

R3(config-if)#int s0/0/0

R3(config-if)# ip inspect IN-OUT-IN out

第四步   验证审计跟踪信息正被syslog服务器记录

在PC-B 成功ping、telnet访问PC-A来检测连通性,注意Telnet不了。

技术图片

在PC-A ping 、Telnet PC-B来检测连通性,这两步都被阻隔掉:

技术图片

CBAC基于上下文的访问控制配置完成。

 

第六部分:基于区域策略的防火墙

拓扑图

技术图片

地址表与预配置和上一实验(基于上下文的访问控制)完全一致,参照上面配置即可。

 

验证基本网络连通性

PC-A ping通PC-B

技术图片

PC-B telnet到R3的s0/0/0接口:

技术图片

在R3创建区域防火墙

第一步  创建一个内部区域。

R3(config)# zone security IN-ZONE

第二步 创建外部区域

R3(config-sec-zone)# zone security OUT-ZONE

R3(config-sec-zone)# exit

 

定义一个流量级别和访问列表

第一步   创建一个用来定义内部流量的ACL

R3(config)# access-list 101 permit ip 172.16.19.0 0.0.0.255 any

第二步 创建一个涉及内部流量ACL的class map

R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)# match access-group 101

R3(config-cmap)# exit

指定防火墙策略

第一步 创建一个策略图来确定对匹配的流量干啥。

R3(config)# policy-map type inspect IN-2-OUT-PMAP

第二步 定义一个检测级别类型和参考策略图。

R3(config-pmap)# class type inspect IN-NET-CLASS-MAP

第三步  定义检测策略图

Inspect这个指令调用基于上下文的访问控制(其他还有通过和丢弃)

R3(config-pmap-c)#inspect

 

应用防火墙策略

第一步 创建一对区域

R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

第二步 定义策略图来控制两个区域的流量。

R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R3(config-sec-zone-pair)# exit

第三步 把端口调用到合适的安全区域。

R3(config)# interface fa0/0

R3(config-if)# zone-member security IN-ZONE

R3(config-if)# exit

 

R3(config)# interface s0/0/0

R3(config-if)# zone-member security OUT-ZONE

R3(config-if)# exit

 

测试从IN-ZONE到OUT-ZONE的防火墙功能

第一步 PC-B ping PC-A服务器

第二步 从PC-B telnet到R2的s0/0/1口

技术图片

PC-B打开网页登到PC-A的服务器:

技术图片

测试外部区域到内部区域的防火墙功能,验证配置ZPF之后外部无法访问内部。

第一步 PC-A ping PC-B(注意不能ping通):

技术图片

第二步 R2 ping PC-B也不能ping通:

技术图片

基于区域策略的防火墙配置验证完成。

 

作业总结:

本次作业一共涉及了6个实验,内容包括自反ACL、扩展ACL、动态ACL、基于时间的ACL、基于上下文的访问控制和基于区域策略的防火墙。

针对于扩展ACL,与标准ACL不同之处在于:标准ACL禁止或者允许的是某一主机,或者某一网段的全部数据流量,也就是只对数据流量的来源进行控制;而扩展ACL检查数据的来源地址也检查数据的目的地址,还能检查特定的协议类型和端口号,可以这么说,它可以做到允许外来的web通信,可以去禁止外来的FTP和telnet等通信,这点标准ACL是做不到的。但从ACL整体来说,优点在于表述直观、易于理解,比较容易查出对某一特定资源拥有访问权限的所有用户,有效地实施授权管理。缺点也显而易见,那就是应用到规模大的企业内部网时,单纯使用ACL不易实现最小权限原则及复杂的安全政策。

在实验过程中,针对于扩展ACL实验中,发现PC端始终无法ping通到Server端,而且常常会出现“overlaps with”的端口占用错误提示,经过和小组成员的探究,发现是不同类型端口不能占用同一网段,修改后能够正常并成功完成实验,对之后的学习提供了参考经验。

防火墙配置(CiscoPT&GNS3)

标签:3.1   ccie   ble   cells   pair   缺点   提示   默认   类型   

原文地址:https://www.cnblogs.com/chn-paradise/p/10792625.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!