防火墙技术综合实验

柔情只为你懂 2022-01-06 11:17 252阅读 0赞

##  ##

## 扩展ACL ##

一，实验拓扑

![1616210-20190515203526421-1348015570.png][]

二，实验步骤：

（1）测试网络连通性，PC1 ping 服务器。

![1616210-20190515203547743-2074509408.png][]

（2）配置路由器R0

R0(config)\#access-list 110 remark this is an example for extended acl//添加备注，增加可读性

R0(config)\#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.100 eq 80

//拒绝PC1 所在网段访问Server 172.9.3.100 的Web 服务

R0(config)\#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.3.100 eq 21

R0(config)\#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.3.100 eq 20

//拒绝PC2 所在网段访问Server 172.9.3.100 的Ftp 服务

R0(config)\#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.100 eq

1433//拒绝PC1 所在网段访问Server 172.9.3.100 的SQL 服务

R0(config)\#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.23.3 eq 23

R0(config)\#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.3 eq 23

//拒绝PC1 所在网段访问路由器R2 的Telnet 服务

R0(config)\#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.12.2 eq 80

R0(config)\#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.23.2 eq 80

//拒绝PC2 所在网段访问路由器R2 的Web 服务

R0(config)\#access-list 110 deny icmp 172.9.1.0 0.0.0.255 host 172.9.3.100

R0(config)\#access-list 110 deny icmp 172.9.2.0 0.0.0.255 host 172.9.3.100

//拒绝PC1 和PC2 所在网段ping Server 服务器

R0(config)\#access-list 110 permit ip any any

R0(config)\#int s0/0/0

R0(config-if)\#ip access-group 110 out //接口下应用ACL

（3）配置路由器R2

R2(config)\#access-list 120 deny icmp host 172.9.23.2 host 172.9.23.3 echo

R2(config)\#access-list 120 permit ip any any

R2(config)\#int s0/0/1

R2(config-if)\#ip access-group 120 in

三，实验调试

（1） 路由器R0上查看ACL 110

![1616210-20190515203611199-849497143.png][]

（2） 路由器R2和路由器R1，互相ping

![1616210-20190515203638568-241688836.png][]

![1616210-20190515203647400-1589376233.png][]

（3） 路由器R2上查看ACL 120

![1616210-20190515203705769-2032694416.png][]

（4） 配置命令扩展ACL

R2(config)\#ip access-list extended acl120

R2(config-ext-nacl)\#deny icmp host 172.9.23.2 host 172.9.23.3 echo

R2(config-ext-nacl)\#permit ip any any

R2(config-ext-nacl)\#int s0/0/1

R2(config-if)\#ip access-group acl120 in

![1616210-20190515203753916-978772916.png][]

## 自反ACL ##

一，实验拓扑

![1616210-20190515203816882-1430666661.png][]

一，实验步骤

（1） 测试网络连通性，R2 ping R4

![1616210-20190515203837665-1024392977.png][]

（1） 配置拒绝外网主动访问内网

i. 配置允许ICMP可以不用标记进入内网，其它的必须被标记才返回

r1(config-ext-nacl)\#permit icmp any any 被允许的ICMP是不用标记即可进入内网的

r1(config-ext-nacl)\#evaluate abc 其它要进入内网的，必须是标记为abc的

ii. 应用ACL

r1(config)\#int f0/1

r1(config-if)\#ip access-group come in

iii. 测试外网R4的ICMP访问内网

![1616210-20190515204048572-439937068.png][]

说明：可以看到，ICMP是可以任意访问的

iv. 测试外网R4 telnet 内网

![1616210-20190515204135674-878705230.png][]

说明：可以看到，除ICMP外，其它流量是不能进入内网的

v. 测试内网R2的ICMP访问外网

![1616210-20190515204228103-1014990344.png][]

说明：可以看到，内网发ICMP到外网，也正常返回了

vi. 测试内网R2发起telnet到外网

![1616210-20190515204315770-39093257.png][]

说明：可以看到，除ICMP外，其他流量是不能通过的

（3） 配置内网向外网发起的telnet被返回

说明：外网和内网之间的ICMP可以不受限制，外网不能telnet内网，但内网telnet外网时，需要配置记录，让其返回，根据上面的ACL配置，可以返回的，必须是标为abc的，所以在此为内网发向外网的telnet标为abc，返回时，就会有缺口，因此内网能正常telnet外网，但外网不可主动telnet内网。

A：配置内网出去时，telnet被记录为abc,将会被允许返回

r1(config)\#ip access-list extended goto

r1(config-ext-nacl)\#permit tcp any any eq telnet reflect abc timeout 60 telnet已记为abc

r1(config-ext-nacl)\#permit ip any any

B：应用ACL

r1(config)\#int f0/1

r1(config-if)\#ip access-group goto out

三，实验调试

（1） 查看R2到外网的ICMP

![1616210-20190515204404820-2000966318.png][]

说明：ICMP属于正常

（2） 查看内网向外网发起的telnet

![1616210-20190515204436423-1285316966.png][]

说明：可以看出，此时内网向外网的telnet因为被标记为abc，所以再回来时，开了缺口，也就允许返回了

（3） 查看ACL

![1616210-20190515204504048-1230260795.png][]

说明：可以看到，有一条为abc的ACL为允许外网到内网的telnet，正是由于内网发到外网的telnet被标记了，所以也自动产生了允许其返回的ACL，并且后面跟有剩余时间。

## 动态ACL ##

一，实验原理

Dynamic ACL在一开始拒绝用户相应的数据包通过，当用户认证成功后，就临时放行该数据，但是在会话结束后，再将ACL恢复最初的配置。要定义Dynamic ACL什么时候恢复最初的配置，可以定义会话超时，即会话多久没有传数据，就断开，也可以定义绝对时间，即无论会话有没有结束，到了规定时间，也要断开。

二，实验拓扑

![1616210-20190515204605936-2008892174.png][]

三，实验步骤

1， 测试网络连通性

![1616210-20190515204628282-930018067.png][]

2， 配置Dynamic ACL

r1(config)\#access-list 100 permit tcp an an eq telnet

3， 配置认证之后才能通过的数据，如ICMP，绝对时间为2分钟

r1(config)\#access-list 100 dynamic ccie timeout 2 permit icmp any any

4， 应用ACL

r1(config)\#int f0/0

r1(config-if)\#ip access-group 100 in

四，实验调试

1， 测试内网R2 telnet 外网R4

![1616210-20190515204659893-945858963.png][]

说明：从结果中看出，telnet不受限制

2， 测试内网R2 ping 外网R4

![1616210-20190515204733180-864945220.png][]

说明：内网在没有认证之前，ICMP是无法通过的

3， 配置本地用户数据库

r1(config)\#username ccie password cisco

4， 配置所有人的用户名具有访问功能

r1(config)\#line vty 0 181

r1(config-line)\#login local

r1(config-line)\#autocommand access-enable 这条必加

5， 内网R2做认证

![1616210-20190515204840293-314545410.png][]

说明：当telnet路由器认证成功后，是会被关闭会话的

6， 测试内网到外网的ICMP通信功能

![1616210-20190515204904872-275958968.png][]

说明：认证通过之后，ICMP被放行

7， 查看ACL状态

![1616210-20190515204930492-1830472562.png][]

## 基于时间的ACL ##

一，实验原理

原理： 要通过ACL来限制用户在规定的时间范围内访问特定的服务，首先设备上必须配置好正确的时间。在相应的时间要允许相应的服务，这样的命令，在配置ACL时，是正常配置的，但是，如果就将命令正常配置之后，默认是在所有时间内允许的，要做到在相应时间内允许，还必须为该命令加上一个时间限制，这样就使得这条ACL命令只在此时间范围内才能生效。而要配置这样的时间范围，是通过配置time-range来实现的，在time-range中定义好时间，再将此time-range跟在某ACL的条目之后，那么此条目就在该时间范围内起作用，其它时间是不起作用的。

二，实验拓扑

![1616210-20190515205000712-941008338.png][]

三，实验步骤

1， 测试网络连通性

![1616210-20190515205024699-2076950245.png][]

2， 配置time-rang

r1(config)\#time-range TELNET

r1(config-time-range)\#periodic weekdays 9:00 to 15:00

说明：定义的时间范围为每周一到周五的9:00 to 15:00

3， 配置ACL

说明：配置R1在上面的时间范围内拒绝R2到R4的telnet，其它流量全部通过。

r1(config)\#access-list 150 deny tcp host 10.1.1.2 any eq 23 time-range TELNET

r1(config)\#access-list 150 permit ip any any

4， 应用ACL

r1(config)\#int f0/0

r1(config-if)\#ip access-group 150 in

四，实验调试

1， 查看当前R1的时间

![1616210-20190515205052845-248120548.png][]

2， 测试R2向R4发起的telnet会话

![1616210-20190515205116893-817608676.png][]

说明：当时时间不再制定范围，所以能TELNET成功

## 基于上下文的访问控制 ##

一，实验拓扑

![1616210-20190515205141605-1704443528.png][]

二，实验步骤

1， 测试网络连通性

![1616210-20190515205201264-1516802510.png][]

2， 在R2上配置一个命名为IP ACL阻隔所有外网产生的流量

用ip access-list extended指令创造一个已命名的IP ACL

R2(config)\# ip access-list extended OUT-IN

R2(config-ext-nacl)\# deny ip any any

R2(config-ext-nacl)\# exit

3， 应用ACL

R2(config)\# interface s0/0/1

R2(config-if)\# ip access-group OUT-IN in

![1616210-20190515205233078-362894536.png][]

说明：确保进入s0/0/1接口的流量被阻隔

4， 创建一个CBAC检测规则

R2(config)\# ip inspect name IN-OUT-IN icmp

R2(config)\# ip inspect name IN-OUT-INtelnet

R2(config)\# ip inspect name IN-OUT-INhttp

5， 开启时间记录和CBAC审计信息

R2(config)\# ip inspect audit-trail

R2(config)\# service timestamps debug datetime msec

R2(config)\# logging host 192.168.1.3

R2(config-if)\# ip inspect IN-OUT-IN out

三，实验调试

1， 验证审计跟踪信息正被syslog服务器记录

![1616210-20190515205258355-627092270.png][]

![1616210-20190515205305087-926727039.png][]

需要注意，telnet不了

2， show ip inspect sessions

![1616210-20190515205334079-2018202114.png][]

3， show ip inspect config

![1616210-20190515205352132-669482736.png][]

## 区域策略防火墙 ##

一，实验拓扑

![1616210-20190515205427172-614735595.png][]

二，实验步骤

1， 测试网络连通性

PC ping 服务器

![1616210-20190515205454240-910999664.png][]

PC telnet 到R2上

![1616210-20190515205509035-211125150.png][]

PC登陆到服务器的网页

![1616210-20190515205522792-22968472.png][]

2， 在R2创建区域防火墙

R2(config)\# zone security IN-ZONE

R2(config-sec-zone)\# zone security OUT-ZONE

R2(config-sec-zone)\# exit

3， 定义一个流量级别和访问列表

R2(config)\# access-list 101 permit ip 192.168.3.0 0.0.0.255 any

R2(config)\# class-map type inspect match-all IN-NET-CLASS-MAP

R2(config-cmap)\# match access-group 101

R2(config-cmap)\# exit

4， 指定防火墙策略

R2(config)\# policy-map type inspect IN-2-OUT-PMAP

R2(config-pmap)\# class type inspect IN-NET-CLASS-MAP

R2(config-pmap-c)\# inspect

5， 应用防火墙策略

R2(config)\# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

R2(config-sec-zone-pair)\# service-policy type inspect IN-2-OUT-PMAP

R2(config-sec-zone-pair)\# exit R2(config)\#

R2(config)\# interface fa0/1

R2(config-if)\# zone-member security IN-ZONE

R2(config-if)\# exit

R2(config)\# interface s0/0/1

R2(config-if)\# zone-member security OUT-ZONE

R2(config-if)\# exit

三，实验调制

1， 测试聪IN-ZONE到OUT-ZONE的防火墙功能

PC ping 服务器

![1616210-20190515205601889-435216255.png][]

PC telnet 到R2

![1616210-20190515205616973-1896928291.png][]

R2上查看完成情况

![1616210-20190515205631184-1286559353.png][]

2， 测试外部区域到内部区域的防火墙功能

验证配置ZPF之后外部无法访问内部

服务器ping PC（ping不通）

![1616210-20190515205703440-917262656.png][]

R2 ping PC（ping 不通）

![1616210-20190515205716544-62947810.png][]

## 实验总结 ##

本次实验将前面所学的网络安全知识进行重新的处理总结，通过重新做这些实验，我发现了他们之间存在一定的联系，比如配置防火墙是可以添加ACL规则进行安全加固，但是必须要理清他们的运作原理。本次实验我对防火墙和ACL进行了大概的总结，就是这两个协议都能抵御来自外网的攻击，提高网络安全性，但是对于来自内网的攻击难以抵御，且在应用前都必须经过反复验证，确保其可行性，不会阻碍正常的网络运行。

转载于:https://www.cnblogs.com/cheng409/p/10872148.html

[1616210-20190515203526421-1348015570.png]: /images/20211227/3442ab4f4bd84c2ebe9e89aa96b311d1.png
[1616210-20190515203547743-2074509408.png]: /images/20211227/bf4ec02b53f4440a9ab63ead4ffd4950.png
[1616210-20190515203611199-849497143.png]: /images/20211227/94d3c4690f8d40cd921aece7f1902606.png
[1616210-20190515203638568-241688836.png]: /images/20211227/49178353a90645298d44e37d88d457ca.png
[1616210-20190515203647400-1589376233.png]: /images/20211227/5c985020d5204601a5146632f04b2435.png
[1616210-20190515203705769-2032694416.png]: /images/20211227/98eb3e2345fc4c728bb46a1b49fb7f53.png
[1616210-20190515203753916-978772916.png]: /images/20211227/015be69c4e5d4c5685b8e87afa3269dd.png
[1616210-20190515203816882-1430666661.png]: /images/20211227/7802a92ed9744dae93f42d9a052b6157.png
[1616210-20190515203837665-1024392977.png]: /images/20211227/7721f1f14354450fad960497e5716fbf.png
[1616210-20190515204048572-439937068.png]: /images/20211227/92cef84efd6d45e687b8f25677d7b8d7.png
[1616210-20190515204135674-878705230.png]: /images/20211227/1ee9340ca0fe4d88959f460cb7c0005d.png
[1616210-20190515204228103-1014990344.png]: /images/20211227/e87d820899644b3794641d861e43c976.png
[1616210-20190515204315770-39093257.png]: /images/20211227/2b949b557b5b4d399e1da771ccde9c3c.png
[1616210-20190515204404820-2000966318.png]: /images/20211227/7419280a4a4445eea55fc7b11d94393e.png
[1616210-20190515204436423-1285316966.png]: /images/20211227/c8a85667fd63490d80c4ae3bb4557555.png
[1616210-20190515204504048-1230260795.png]: /images/20211227/17330dd569f54009912ebe170bd0a5f9.png
[1616210-20190515204605936-2008892174.png]: /images/20211227/1686d3e91aec42c9b7fbaee3ffd85b1f.png
[1616210-20190515204628282-930018067.png]: /images/20211227/dbb7f61bc779446ea7edecb5aec4bb68.png
[1616210-20190515204659893-945858963.png]: /images/20211227/02bb645b2f0c43b79816317c90e5ce23.png
[1616210-20190515204733180-864945220.png]: /images/20211227/3f034545717748d197879bcb21074f80.png
[1616210-20190515204840293-314545410.png]: /images/20211227/aeed8ddecdab4217ac9c5d280aaf78a4.png
[1616210-20190515204904872-275958968.png]: /images/20211227/3de6a69cbee446dcb7e30898ff189e38.png
[1616210-20190515204930492-1830472562.png]: /images/20211227/efed58448d024307a35a111ea8c44c9e.png
[1616210-20190515205000712-941008338.png]: /images/20211227/992f05c844e9439a86741deac070ae25.png
[1616210-20190515205024699-2076950245.png]: /images/20211227/d77d67dda3224c4193ce09fd67e96217.png
[1616210-20190515205052845-248120548.png]: /images/20211227/2b3159b806ac4c1eb0d749d0e0bdd2f8.png
[1616210-20190515205116893-817608676.png]: /images/20211227/7c3c257c09c84c36a8349b33d0c0a182.png
[1616210-20190515205141605-1704443528.png]: /images/20211227/d3c769d8df2542d281396a7372af0195.png
[1616210-20190515205201264-1516802510.png]: /images/20211227/81ddb948eb38417ba2757cfe0a4c3455.png
[1616210-20190515205233078-362894536.png]: /images/20211227/a3031cd282304c1a88de68901fae6c6f.png
[1616210-20190515205258355-627092270.png]: /images/20211227/4164b780c27c4c2481d8157290bfd0c6.png
[1616210-20190515205305087-926727039.png]: /images/20211227/dba38c643f944504b9ebded26cf6a5c1.png
[1616210-20190515205334079-2018202114.png]: /images/20211227/a6eeb40d94f64f88bdea97c457e3a9b5.png
[1616210-20190515205352132-669482736.png]: /images/20211227/17a0aa751b7a44e8866f9a5b455f9295.png
[1616210-20190515205427172-614735595.png]: /images/20211227/b29bbabc081d49eaaed69d1cfdafc7e1.png
[1616210-20190515205454240-910999664.png]: /images/20211227/b18a23d7145e44aa91c9eb70c0582c41.png
[1616210-20190515205509035-211125150.png]: /images/20211227/921ff8dd1f14428f947b308acb13349c.png
[1616210-20190515205522792-22968472.png]: /images/20211227/c7eb395cdd16423098842bbd5e602349.png
[1616210-20190515205601889-435216255.png]: /images/20211227/97730c9b89974f6c8c30e74a2097a871.png
[1616210-20190515205616973-1896928291.png]: /images/20211227/91962a470d8342488062659d49a3759d.png
[1616210-20190515205631184-1286559353.png]: /images/20211227/9cedc76df39b4dc3b647009831aa3cd9.png
[1616210-20190515205703440-917262656.png]: /images/20211227/fb22c75e77ac42ea88baca72c9991e93.png
[1616210-20190515205716544-62947810.png]: /images/20211227/5066b889d5c643c59716ff2be446084e.png