防火墙技术综合实验

标签：除了   png   word   led   做了   sub   访问内网   基于   line   

1、网络地址规划表（拓扑有两种，所以地址规划也有两种）

自反ACL、基于上下文的访问控制和区域策略防火墙的地址规划

动态ACL、基于时间的ACL

2、访问控制列表：自反ACL（GNS3）

（1）拓扑如下

（2）使用RIP协议使PC和路由器之间互通

R1(config)# router rip

R1(config-router)# network 10.0.0.0

R1(config-router)# network 192.41.1.0

R2(config)# router rip

R2(config-router)# network 10.0.0.0

R3(config)# router rip

R3(config-router)# network 10.0.0.0

R3(config-router)# network 192.41.3.0

将PC-A和PC-C路由器关闭路由并加入网关

PC-C(config)#no ip routing

PC-C(config)#int f1/0

PC-C(config-if)#ip address 192.41.3.3 255.255.255.0

PC-C(config-if)#ex

PC-C(config)#ip default-gateway 192.41.3.1

PC-A(config)#no ip routing

PC-A(config)#int f1/0

PC-A(config-if)#ip address 192.41.1.3 255.255.255.0

PC-A(config-if)#ex

PC-C(config)#ip default-gateway 192.41.1.1

测试网络连通性

PC-C ping PC-A

PC-A ping PC-A

实现全网互通，开始配置网络安全

（3）设置vty、enable、console密码（R1为例，R2、R3同样）

R1(config)#line vty 0 4

R1(config-line)#password ciscovtypa55

R1(config-line)#login

R1(config)#enable password ciscoenpa55

R1(config)#line console 0

R1(config-line)#password ciscoconpa55

R1(config-line)#login

（4）自反ACL的配置

配置拒绝外网主动访问内网，但是ICMP可不受限制

R2(config)#ip access-list extended come

R2(config-ext-nacl)#permit icmp any any  

被允许的ICMP是不用标记即可进入内网

R2(config-ext-nacl)#permit udp any any   

因为使用rip协议配置网络，所以要通过让udp也通过，不然网络不通

R2(config-ext-nacl)#evaluate abc        

其它要进入内网的，必须是标记为abc的

R2(config-ext-nacl)#int s0/1

R2(config-if)#ip access-group come in   

 应用ACL

测试外网PC-C的ICMP访问内网

可以看到，ICMP可任意访问

测试外网PC-C telnet 内网

可以看到，其他流量不能进入内网

测试内网PC-A的ICMP访问外网

可以看到，内网发ICMP到外网，也正常返回了

测试内网PC-A发起telnet到外网

可以看到，其他流量不能进入外网

配置内网向外网发起的telnet被返回

telnet被记录为abc,将会被允许返回

R2(config)#ip access-list extended goto

R2(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60

R2(config-ext-nacl)#permit ip any any

R2(config-ext-nacl)#int s0/1                

应用ACL

R2(config-if)#ip access-group goto out

查看PC-A到外网的ICMP

ICMP正常

查看内网PC-A向外网发起telnet

可以看出，此时内网发向外网的telnet因为被标记为abc，所以在回来时，开了缺口，也就可以允许返回了。

查看ACL

从图可以看到，有一条为abc的ACL为允许外网到内网的telnet，正是由于内网发到外网的telnet被标记了，所以也自动产生了允许其返回的ACL，并且后面跟有剩余时间。

自反ACL完成。

3、访问控制列表：动态ACL（GNS3）

（1）拓扑如下

（2）使用RIP协议使路由器之间互通

R1(config)# router rip

R1(config-router)# network 10.0.0.0

R1(config-router)# network 14.0.0.0

R2(config)# router rip

R2(config-router)# network 10.0.0.0

R3(config)# router rip

R3(config-router)# network 10.0.0.0

R4(config)# router rip

R4(config-router)# network 14.0.0.0

测试网络连通性

R2 ping R4

R4 ping R2

实现全网互通，开始配置网络安全

（2）设置vty、enable、console密码（R1为例，R2、R3、R4同）

R1(config)#line vty 0 4

R1(config-line)#password ciscovtypa55

R1(config-line)#login

R1(config)#enable password ciscoenpa55

R1(config)#line console 0

R1(config-line)#password ciscoconpa55

R1(config-line)#login

（4）动态ACL的配置

R1(config)#access-list 100 permit tcp any any eq telnet

配置默认不需要认证就可以通过的数据，如telnet

R1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

配置认证之后才能通过的数据，如ICMP，绝对时间为2分钟

R1(config)#int f0/0

R1(config-if)#ip access-group 100 in

应用ACL

测试内网R2 telnet外网R4

从结果中看出，telnet不受限制。

测试测试内网R2 ping外网R4

内网在没有认证之前，ICMP是无法通过的。

（2）配置本地用户数据库

R1(config)#username ccie password cisco

（5）配置所有人的用户名具有访问功能

R1(config)#line vty 0 181

R1(config-line)#login local

R1(config-line)#autocommand access-enable

没有加host,那么内网一台主机通过认证之后，所有主机都能访问外网

R1(config-line)#autocommand access-enable host

加了host，就变成谁通过了认证，谁才能访问外网。

内网R2认证 并ping外网

当telnet路由器认证成功后ICMP被放行。

查看ACL

动态ACL完成。

4、访问控制列表：基于时间的ACL（GNS3）

（1）拓扑如下

（2）配置静态路由使网络互通

R2(config)#ip route 14.41.1.0 255.255.255.0 10.41.1.1

R3(config)#ip route 14.41.1.0 255.255.255.0 10.41.1.1

R4(config)#ip route 10.41.1.0 255.255.255.0 14.41.1.1

（3）设置vty、enable、console密码（R1为例，R2、R3、R4同样）

R1(config)#line vty 0 4

R1(config-line)#password ciscovtypa55

R1(config-line)#login

R1(config)#enable password ciscoenpa55

R1(config)#line console 0

R1(config-line)#password ciscoconpa55

R1(config-line)#login

（4）基于时间的ACL配置

R1(config)#time-range TELNET

R1(config-time-range)#periodic weekdays 9:00 to 15:00

定义的时间范围为每周一到周五的9:00 to 15:00

R1(config)#access-list 150  deny tcp host 10.41.1.2 any eq 23 time-range TELNET

R1(config)#access-list 150 permit ip any any

配置R1在上面的时间范围内拒绝R2到R4的telnet，其它流量全部通过。

R1(config)#int f0/0

R1(config-if)#ip access-group 150 in

应用ACL

查看当前时间

在范围内

R2向R4发起telnet会话

可以看到，在规定的时间范围内，R2向R4发起telnet会话是被拒绝的。

R2向R4发起ping会话

可以看到，在规定的时间范围内，除了telnet之外，其它流量不受限制。

测试除R2之外的设备telnet情况

修改时间

在范围外

R2向R4发起telnet会话

在时间范围之外，所限制的流量被放开

基于时间的ACL配置完成。

5、基于上下文的访问控制（PT）

（1）拓扑如下

（2）配置静态路由使网络互通

R1(config)#ip route 10.41.2.0 255.255.255.252 10.41.1.2

R1(config)#ip route 192.41.3.0 255.255.255.0 10.41.1.2

R2(config)#ip route 192.41.3.0 255.255.255.0 10.41.2.1

R2(config)#ip route 192.41.1.0 255.255.255.0 10.41.1.1

R3(config)#ip route 10.41.1.0 255.255.255.252 10.41.2.2

R3(config)#ip route 192.41.1.0 255.255.255.0 10.41.2.2

连通性测试

PC-A ping PC-C

PC-C ping PC-A

实现全网互通，开始配置网络安全

（1）设置vty、enable、console密码（R1为例，R2、R3同样）

R1(config)#line vty 0 4

R1(config-line)#password ciscovtypa55

R1(config-line)#login

R1(config)#enable password ciscoenpa55

R1(config)#line console 0

R1(config-line)#password ciscoconpa55

R1(config-line)#login

（2）基于上下文的访问控制的配置

R3(config)#ip access-list extended OUT-IN

R3(config-ext-nacl)#deny ip any any

R3(config-ext-nacl)#exit

在R3配置一个命名IP ACl阻隔所有外网产生的流量。

R3(config)# interface s0/0/1

R3(config-if)# ip access-group OUT-IN in

确保进入s0/0/1接口的流量被阻隔

创建一个检测规则来检测ICMP，Telnet，和HTTP流量

R3(config)#ip inspect name IN-OUT-IN icmp

R3(config)#ip inspect name IN-OUT-IN telnet

R3(config)#ip inspect name IN-OUT-IN http

R3(config)# ip inspect audit-trail

R3(config)# service timestamps debug datetime msec

R3(config)# logging host 192.41.1.3

R3(config-if)# ip inspect IN-OUT-IN out

PC-C ping PC-A 通，Telnet不通

PC-A ping、telnet PC-C 都不通

使用PC-C的浏览器登入PC-A然后

R3#show ip inspect sessions

检查接口

检查配置

用PC-C 的浏览器登入PC-A后

R3#show debug ip inspect datailed

基于上下文的访问控制的配置完成。

5、基于区域策略的防火墙（PT）

（1）拓扑如下

Addressing Table

地址表

验证基本网络连通性

PC-A ping通PC-C。

PC-C登到PC-A的网页。

创建一个内部区域。

R3(config)# zone security IN-ZONE

R3(config-sec-zone）# zone security OUT-ZONE

R3(config-sec-zone)# exit

创建一个用来定义内部流量的ACL

R3(config)# access-list 101 permit ip 192.41.3.0 0.0.0.255 any

创建一个涉及内部流量ACL的class map

R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)# match access-group 101

R3(config-cmap)# exit

创建一个策略图

R3(config)# policy-map type inspect IN-2-OUT-PMAP.

定义一个检测级别类型和参考策略图。

R3(config-pmap)# class type inspect IN-NET-CLASS-MAP

定义检测策略图

R3(config-pmap-c)# inspect

创建一对区域

R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

定义策略图来控制两个区域的流量。

R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R3(config-sec-zone-pair)# exit R3(config)#

把端口调用到合适的安全区域。

R3(config)# interface fa0/1

R3(config-if)# zone-member security IN-ZONE

R3(config-if)# exit

R3(config)# interface s0/0/1

R3(config-if)# zone-member security OUT-ZONE

R3(config-if)# exit

验证内配置ZPF后内部能访问外部

PC_C ping PC-A服务器

从PC-Ctelnet到R2 的s0/0/1口

测试外部区域到内部区域的防火墙功能

R2 ping PC-C

总结

1.基于时间的 ACL 功能类似于扩展 ACL，但它允许根据时间执行访问控制。要使用基于时间的 ACL，您需要创建一个时间范围，指定一周和一天内的时段。您可以为时间范围命名，然后对相应功能应用此范围。时间限制会应用到该功能本身。基于时间的 ACL 具有许多优点，例如：

在允许或拒绝资源访问方面为网络管理员提供了更多的控制权。

允许网络管理员控制日志消息。ACL 条目可在每天定时记录流量，而不是一直记录流量。因此，管理员无需分析高峰时段产生的大量日志就可轻松地拒绝访问。

2.扩展 ACL 比标准 ACL 更常用，因为其控制范围更广，可以提升安全性。与标准 ACL 类似，扩展 ACL 可以检查数据包源地址，但除此之外，它们还可以检查目的地址、协议和端口号（或服务）。扩展 ACL 可以允许从某网络到指定目的地的电子邮件流量，同时拒绝文件传输和网页浏览流量。适用范围：编号在 100 到 199 之间以及 2000 到 2699 之间（最多可使用 800 个扩展 ACL）。

3. 自反 ACL 允许最近出站数据包的目的地发出的应答流量回到该出站数据包的源地址。这样您可以更加严格地控制哪些流量能进入您的网络，并提升了扩展访问列表的能力。

自反 ACL 具有以下优点： 帮助保护您的网络免遭网络黑客攻击，并可内嵌在防火墙防护中。 　　提供一定级别的安全性，防御欺骗攻击和某些 DoS 攻击。自反 ACL 方式较难以欺骗，因为允许通过的数据包需要满足更多的过滤条件。例如，源和目的地址及端口号都会检查到，而不只是 ACK 和 RST 位。

4.经过这次的防火墙作业中，学会了标准ACL之外还有这些功能强大且又便利的ACL应用，每个技术都可以应你所需的去使用，在以后的防火墙配置中也能够对配置以及各个防火墙的作用有印象去更深入研究，对于各类防火墙的优缺点要更深入了解，总的来说自己做了一遍才知道各个防火墙的特点所在很有收获。

防火墙技术综合实验

标签：除了   png   word   led   做了   sub   访问内网   基于   line   

原文地址：https://www.cnblogs.com/ljq123/p/10916438.html