防火墙技术综合实验 柔情只为你懂 2022-01-06 11:17 233阅读 0赞 ## ## ## ## ## ## ## 扩展ACL ## 一,实验拓扑 ![1616210-20190515203526421-1348015570.png][] 二,实验步骤: (1)测试网络连通性,PC1 ping 服务器。 ![1616210-20190515203547743-2074509408.png][] (2)配置路由器R0 R0(config)\#access-list 110 remark this is an example for extended acl//添加备注,增加可读性 R0(config)\#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.100 eq 80 //拒绝PC1 所在网段访问Server 172.9.3.100 的Web 服务 R0(config)\#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.3.100 eq 21 R0(config)\#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.3.100 eq 20 //拒绝PC2 所在网段访问Server 172.9.3.100 的Ftp 服务 R0(config)\#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.100 eq 1433//拒绝PC1 所在网段访问Server 172.9.3.100 的SQL 服务 R0(config)\#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.23.3 eq 23 R0(config)\#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.3 eq 23 //拒绝PC1 所在网段访问路由器R2 的Telnet 服务 R0(config)\#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.12.2 eq 80 R0(config)\#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.23.2 eq 80 //拒绝PC2 所在网段访问路由器R2 的Web 服务 R0(config)\#access-list 110 deny icmp 172.9.1.0 0.0.0.255 host 172.9.3.100 R0(config)\#access-list 110 deny icmp 172.9.2.0 0.0.0.255 host 172.9.3.100 //拒绝PC1 和PC2 所在网段ping Server 服务器 R0(config)\#access-list 110 permit ip any any R0(config)\#int s0/0/0 R0(config-if)\#ip access-group 110 out //接口下应用ACL (3)配置路由器R2 R2(config)\#access-list 120 deny icmp host 172.9.23.2 host 172.9.23.3 echo R2(config)\#access-list 120 permit ip any any R2(config)\#int s0/0/1 R2(config-if)\#ip access-group 120 in 三,实验调试 (1) 路由器R0上查看ACL 110 ![1616210-20190515203611199-849497143.png][] (2) 路由器R2和路由器R1,互相ping ![1616210-20190515203638568-241688836.png][] ![1616210-20190515203647400-1589376233.png][] (3) 路由器R2上查看ACL 120 ![1616210-20190515203705769-2032694416.png][] (4) 配置命令扩展ACL R2(config)\#ip access-list extended acl120 R2(config-ext-nacl)\#deny icmp host 172.9.23.2 host 172.9.23.3 echo R2(config-ext-nacl)\#permit ip any any R2(config-ext-nacl)\#int s0/0/1 R2(config-if)\#ip access-group acl120 in ![1616210-20190515203753916-978772916.png][] ## 自反ACL ## 一,实验拓扑 ![1616210-20190515203816882-1430666661.png][] 一,实验步骤 (1) 测试网络连通性,R2 ping R4 ![1616210-20190515203837665-1024392977.png][] (1) 配置拒绝外网主动访问内网 i. 配置允许ICMP可以不用标记进入内网,其它的必须被标记才返回 r1(config-ext-nacl)\#permit icmp any any 被允许的ICMP是不用标记即可进入内网的 r1(config-ext-nacl)\#evaluate abc 其它要进入内网的,必须是标记为abc的 ii. 应用ACL r1(config)\#int f0/1 r1(config-if)\#ip access-group come in iii. 测试外网R4的ICMP访问内网 ![1616210-20190515204048572-439937068.png][] 说明:可以看到,ICMP是可以任意访问的 iv. 测试外网R4 telnet 内网 ![1616210-20190515204135674-878705230.png][] 说明:可以看到,除ICMP外,其它流量是不能进入内网的 v. 测试内网R2的ICMP访问外网 ![1616210-20190515204228103-1014990344.png][] 说明:可以看到,内网发ICMP到外网,也正常返回了 vi. 测试内网R2发起telnet到外网 ![1616210-20190515204315770-39093257.png][] 说明:可以看到,除ICMP外,其他流量是不能通过的 (3) 配置内网向外网发起的telnet被返回 说明:外网和内网之间的ICMP可以不受限制,外网不能telnet内网,但内网telnet外网时,需要配置记录,让其返回,根据上面的ACL配置,可以返回的,必须是标为abc的,所以在此为内网发向外网的telnet标为abc,返回时,就会有缺口,因此内网能正常telnet外网,但外网不可主动telnet内网。 A:配置内网出去时,telnet被记录为abc,将会被允许返回 r1(config)\#ip access-list extended goto r1(config-ext-nacl)\#permit tcp any any eq telnet reflect abc timeout 60 telnet已记为abc r1(config-ext-nacl)\#permit ip any any B:应用ACL r1(config)\#int f0/1 r1(config-if)\#ip access-group goto out 三,实验调试 (1) 查看R2到外网的ICMP ![1616210-20190515204404820-2000966318.png][] 说明:ICMP属于正常 (2) 查看内网向外网发起的telnet ![1616210-20190515204436423-1285316966.png][] 说明:可以看出,此时内网向外网的telnet因为被标记为abc,所以再回来时,开了缺口,也就允许返回了 (3) 查看ACL ![1616210-20190515204504048-1230260795.png][] 说明:可以看到,有一条为abc的ACL为允许外网到内网的telnet,正是由于内网发到外网的telnet被标记了,所以也自动产生了允许其返回的ACL,并且后面跟有剩余时间。 ## 动态ACL ## 一,实验原理 Dynamic ACL在一开始拒绝用户相应的数据包通过,当用户认证成功后,就临时放行该数据,但是在会话结束后,再将ACL恢复最初的配置。要定义Dynamic ACL什么时候恢复最初的配置,可以定义会话超时,即会话多久没有传数据,就断开,也可以定义绝对时间,即无论会话有没有结束,到了规定时间,也要断开。 二,实验拓扑 ![1616210-20190515204605936-2008892174.png][] 三,实验步骤 1, 测试网络连通性 ![1616210-20190515204628282-930018067.png][] 2, 配置Dynamic ACL r1(config)\#access-list 100 permit tcp an an eq telnet 3, 配置认证之后才能通过的数据,如ICMP,绝对时间为2分钟 r1(config)\#access-list 100 dynamic ccie timeout 2 permit icmp any any 4, 应用ACL r1(config)\#int f0/0 r1(config-if)\#ip access-group 100 in 四,实验调试 1, 测试内网R2 telnet 外网R4 ![1616210-20190515204659893-945858963.png][] 说明:从结果中看出,telnet不受限制 2, 测试内网R2 ping 外网R4 ![1616210-20190515204733180-864945220.png][] 说明:内网在没有认证之前,ICMP是无法通过的 3, 配置本地用户数据库 r1(config)\#username ccie password cisco 4, 配置所有人的用户名具有访问功能 r1(config)\#line vty 0 181 r1(config-line)\#login local r1(config-line)\#autocommand access-enable 这条必加 5, 内网R2做认证 ![1616210-20190515204840293-314545410.png][] 说明:当telnet路由器认证成功后,是会被关闭会话的 6, 测试内网到外网的ICMP通信功能 ![1616210-20190515204904872-275958968.png][] 说明:认证通过之后,ICMP被放行 7, 查看ACL状态 ![1616210-20190515204930492-1830472562.png][] ## 基于时间的ACL ## 一,实验原理 原理: 要通过ACL来限制用户在规定的时间范围内访问特定的服务,首先设备上必须配置好正确的时间。在相应的时间要允许相应的服务,这样的命令,在配置ACL时,是正常配置的,但是,如果就将命令正常配置之后,默认是在所有时间内允许的,要做到在相应时间内允许,还必须为该命令加上一个时间限制,这样就使得这条ACL命令只在此时间范围内才能生效。而要配置这样的时间范围,是通过配置time-range来实现的,在time-range中定义好时间,再将此time-range跟在某ACL的条目之后,那么此条目就在该时间范围内起作用,其它时间是不起作用的。 二,实验拓扑 ![1616210-20190515205000712-941008338.png][] 三,实验步骤 1, 测试网络连通性 ![1616210-20190515205024699-2076950245.png][] 2, 配置time-rang r1(config)\#time-range TELNET r1(config-time-range)\#periodic weekdays 9:00 to 15:00 说明:定义的时间范围为每周一到周五的9:00 to 15:00 3, 配置ACL 说明:配置R1在上面的时间范围内拒绝R2到R4的telnet,其它流量全部通过。 r1(config)\#access-list 150 deny tcp host 10.1.1.2 any eq 23 time-range TELNET r1(config)\#access-list 150 permit ip any any 4, 应用ACL r1(config)\#int f0/0 r1(config-if)\#ip access-group 150 in 四,实验调试 1, 查看当前R1的时间 ![1616210-20190515205052845-248120548.png][] 2, 测试R2向R4发起的telnet会话 ![1616210-20190515205116893-817608676.png][] 说明:当时时间不再制定范围,所以能TELNET成功 ## 基于上下文的访问控制 ## 一,实验拓扑 ![1616210-20190515205141605-1704443528.png][] 二,实验步骤 1, 测试网络连通性 ![1616210-20190515205201264-1516802510.png][] 2, 在R2上配置一个命名为IP ACL阻隔所有外网产生的流量 用ip access-list extended指令创造一个已命名的IP ACL R2(config)\# ip access-list extended OUT-IN R2(config-ext-nacl)\# deny ip any any R2(config-ext-nacl)\# exit 3, 应用ACL R2(config)\# interface s0/0/1 R2(config-if)\# ip access-group OUT-IN in ![1616210-20190515205233078-362894536.png][] 说明:确保进入s0/0/1接口的流量被阻隔 4, 创建一个CBAC检测规则 R2(config)\# ip inspect name IN-OUT-IN icmp R2(config)\# ip inspect name IN-OUT-INtelnet R2(config)\# ip inspect name IN-OUT-INhttp 5, 开启时间记录和CBAC审计信息 R2(config)\# ip inspect audit-trail R2(config)\# service timestamps debug datetime msec R2(config)\# logging host 192.168.1.3 R2(config-if)\# ip inspect IN-OUT-IN out 三,实验调试 1, 验证审计跟踪信息正被syslog服务器记录 ![1616210-20190515205258355-627092270.png][] ![1616210-20190515205305087-926727039.png][] 需要注意,telnet不了 2, show ip inspect sessions ![1616210-20190515205334079-2018202114.png][] 3, show ip inspect config ![1616210-20190515205352132-669482736.png][] ## 区域策略防火墙 ## 一,实验拓扑 ![1616210-20190515205427172-614735595.png][] 二,实验步骤 1, 测试网络连通性 PC ping 服务器 ![1616210-20190515205454240-910999664.png][] PC telnet 到R2上 ![1616210-20190515205509035-211125150.png][] PC登陆到服务器的网页 ![1616210-20190515205522792-22968472.png][] 2, 在R2创建区域防火墙 R2(config)\# zone security IN-ZONE R2(config-sec-zone)\# zone security OUT-ZONE R2(config-sec-zone)\# exit 3, 定义一个流量级别和访问列表 R2(config)\# access-list 101 permit ip 192.168.3.0 0.0.0.255 any R2(config)\# class-map type inspect match-all IN-NET-CLASS-MAP R2(config-cmap)\# match access-group 101 R2(config-cmap)\# exit 4, 指定防火墙策略 R2(config)\# policy-map type inspect IN-2-OUT-PMAP R2(config-pmap)\# class type inspect IN-NET-CLASS-MAP R2(config-pmap-c)\# inspect 5, 应用防火墙策略 R2(config)\# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE R2(config-sec-zone-pair)\# service-policy type inspect IN-2-OUT-PMAP R2(config-sec-zone-pair)\# exit R2(config)\# R2(config)\# interface fa0/1 R2(config-if)\# zone-member security IN-ZONE R2(config-if)\# exit R2(config)\# interface s0/0/1 R2(config-if)\# zone-member security OUT-ZONE R2(config-if)\# exit 三,实验调制 1, 测试聪IN-ZONE到OUT-ZONE的防火墙功能 PC ping 服务器 ![1616210-20190515205601889-435216255.png][] PC telnet 到R2 ![1616210-20190515205616973-1896928291.png][] R2上查看完成情况 ![1616210-20190515205631184-1286559353.png][] 2, 测试外部区域到内部区域的防火墙功能 验证配置ZPF之后外部无法访问内部 服务器ping PC(ping不通) ![1616210-20190515205703440-917262656.png][] R2 ping PC(ping 不通) ![1616210-20190515205716544-62947810.png][] ## 实验总结 ## 本次实验将前面所学的网络安全知识进行重新的处理总结,通过重新做这些实验,我发现了他们之间存在一定的联系,比如配置防火墙是可以添加ACL规则进行安全加固,但是必须要理清他们的运作原理。本次实验我对防火墙和ACL进行了大概的总结,就是这两个协议都能抵御来自外网的攻击,提高网络安全性,但是对于来自内网的攻击难以抵御,且在应用前都必须经过反复验证,确保其可行性,不会阻碍正常的网络运行。 转载于:https://www.cnblogs.com/cheng409/p/10872148.html [1616210-20190515203526421-1348015570.png]: /images/20211227/3442ab4f4bd84c2ebe9e89aa96b311d1.png [1616210-20190515203547743-2074509408.png]: /images/20211227/bf4ec02b53f4440a9ab63ead4ffd4950.png [1616210-20190515203611199-849497143.png]: /images/20211227/94d3c4690f8d40cd921aece7f1902606.png [1616210-20190515203638568-241688836.png]: /images/20211227/49178353a90645298d44e37d88d457ca.png [1616210-20190515203647400-1589376233.png]: /images/20211227/5c985020d5204601a5146632f04b2435.png [1616210-20190515203705769-2032694416.png]: /images/20211227/98eb3e2345fc4c728bb46a1b49fb7f53.png [1616210-20190515203753916-978772916.png]: /images/20211227/015be69c4e5d4c5685b8e87afa3269dd.png [1616210-20190515203816882-1430666661.png]: /images/20211227/7802a92ed9744dae93f42d9a052b6157.png [1616210-20190515203837665-1024392977.png]: /images/20211227/7721f1f14354450fad960497e5716fbf.png [1616210-20190515204048572-439937068.png]: /images/20211227/92cef84efd6d45e687b8f25677d7b8d7.png [1616210-20190515204135674-878705230.png]: /images/20211227/1ee9340ca0fe4d88959f460cb7c0005d.png [1616210-20190515204228103-1014990344.png]: /images/20211227/e87d820899644b3794641d861e43c976.png [1616210-20190515204315770-39093257.png]: /images/20211227/2b949b557b5b4d399e1da771ccde9c3c.png [1616210-20190515204404820-2000966318.png]: /images/20211227/7419280a4a4445eea55fc7b11d94393e.png [1616210-20190515204436423-1285316966.png]: /images/20211227/c8a85667fd63490d80c4ae3bb4557555.png [1616210-20190515204504048-1230260795.png]: /images/20211227/17330dd569f54009912ebe170bd0a5f9.png [1616210-20190515204605936-2008892174.png]: /images/20211227/1686d3e91aec42c9b7fbaee3ffd85b1f.png [1616210-20190515204628282-930018067.png]: /images/20211227/dbb7f61bc779446ea7edecb5aec4bb68.png [1616210-20190515204659893-945858963.png]: /images/20211227/02bb645b2f0c43b79816317c90e5ce23.png [1616210-20190515204733180-864945220.png]: /images/20211227/3f034545717748d197879bcb21074f80.png [1616210-20190515204840293-314545410.png]: /images/20211227/aeed8ddecdab4217ac9c5d280aaf78a4.png [1616210-20190515204904872-275958968.png]: /images/20211227/3de6a69cbee446dcb7e30898ff189e38.png [1616210-20190515204930492-1830472562.png]: /images/20211227/efed58448d024307a35a111ea8c44c9e.png [1616210-20190515205000712-941008338.png]: /images/20211227/992f05c844e9439a86741deac070ae25.png [1616210-20190515205024699-2076950245.png]: /images/20211227/d77d67dda3224c4193ce09fd67e96217.png [1616210-20190515205052845-248120548.png]: /images/20211227/2b3159b806ac4c1eb0d749d0e0bdd2f8.png [1616210-20190515205116893-817608676.png]: /images/20211227/7c3c257c09c84c36a8349b33d0c0a182.png [1616210-20190515205141605-1704443528.png]: /images/20211227/d3c769d8df2542d281396a7372af0195.png [1616210-20190515205201264-1516802510.png]: /images/20211227/81ddb948eb38417ba2757cfe0a4c3455.png [1616210-20190515205233078-362894536.png]: /images/20211227/a3031cd282304c1a88de68901fae6c6f.png [1616210-20190515205258355-627092270.png]: /images/20211227/4164b780c27c4c2481d8157290bfd0c6.png [1616210-20190515205305087-926727039.png]: /images/20211227/dba38c643f944504b9ebded26cf6a5c1.png [1616210-20190515205334079-2018202114.png]: /images/20211227/a6eeb40d94f64f88bdea97c457e3a9b5.png [1616210-20190515205352132-669482736.png]: /images/20211227/17a0aa751b7a44e8866f9a5b455f9295.png [1616210-20190515205427172-614735595.png]: /images/20211227/b29bbabc081d49eaaed69d1cfdafc7e1.png [1616210-20190515205454240-910999664.png]: /images/20211227/b18a23d7145e44aa91c9eb70c0582c41.png [1616210-20190515205509035-211125150.png]: /images/20211227/921ff8dd1f14428f947b308acb13349c.png [1616210-20190515205522792-22968472.png]: /images/20211227/c7eb395cdd16423098842bbd5e602349.png [1616210-20190515205601889-435216255.png]: /images/20211227/97730c9b89974f6c8c30e74a2097a871.png [1616210-20190515205616973-1896928291.png]: /images/20211227/91962a470d8342488062659d49a3759d.png [1616210-20190515205631184-1286559353.png]: /images/20211227/9cedc76df39b4dc3b647009831aa3cd9.png [1616210-20190515205703440-917262656.png]: /images/20211227/fb22c75e77ac42ea88baca72c9991e93.png [1616210-20190515205716544-62947810.png]: /images/20211227/5066b889d5c643c59716ff2be446084e.png
还没有评论,来说两句吧...