防火墻技術綜合實驗
擴展ACL
一,實驗拓撲
二,實驗步驟:
(1)測試網絡連通性,PC1 ping 服務器。
(2)配置路由器R0
R0(config)#access-list 110 remark this is an example for extended acl//添加備註,增加可讀性
R0(config)#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.100 eq 80
//拒絕PC1 所在網段訪問Server 172.9.3.100 的Web 服務
R0(config)#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.3.100 eq 21
R0(config)#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.3.100 eq 20
//拒絕PC2 所在網段訪問Server 172.9.3.100 的Ftp 服務
R0(config)#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.100 eq
1433//拒絕PC1 所在網段訪問Server 172.9.3.100 的SQL 服務
R0(config)#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.23.3 eq 23
R0(config)#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.3 eq 23
//拒絕PC1 所在網段訪問路由器R2 的Telnet 服務
R0(config)#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.12.2 eq 80
R0(config)#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.23.2 eq 80
//拒絕PC2 所在網段訪問路由器R2 的Web 服務
R0(config)#access-list 110 deny icmp 172.9.1.0 0.0.0.255 host 172.9.3.100
R0(config)#access-list 110 deny icmp 172.9.2.0 0.0.0.255 host 172.9.3.100
//拒絕PC1 和PC2 所在網段ping Server 服務器
R0(config)#access-list 110 permit ip any any
R0(config)#int s0/0/0
R0(config-if)#ip access-group 110 out //接口下應用ACL
(3)配置路由器R2
R2(config)#access-list 120 deny icmp host 172.9.23.2 host 172.9.23.3 echo
R2(config)#access-list 120 permit ip any any
R2(config)#int s0/0/1
R2(config-if)#ip access-group 120 in
三,實驗調試
(1) 路由器R0上查看ACL 110
(2) 路由器R2和路由器R1,互相ping
(3) 路由器R2上查看ACL 120
(4) 配置命令擴展ACL
R2(config)#ip access-list extended acl120
R2(config-ext-nacl)#deny icmp host 172.9.23.2 host 172.9.23.3 echo
R2(config-ext-nacl)#permit ip any any
R2(config-ext-nacl)#int s0/0/1
R2(config-if)#ip access-group acl120 in
自反ACL
一,實驗拓撲
一,實驗步驟
(1) 測試網絡連通性,R2 ping R4
(1) 配置拒絕外網主動訪問內網
i. 配置允許ICMP可以不用標記進入內網,其它的必須被標記才返回
r1(config-ext-nacl)#permit icmp any any 被允許的ICMP是不用標記即可進入內網的
r1(config-ext-nacl)#evaluate abc 其它要進入內網的,必須是標記為abc的
ii. 應用ACL
r1(config)#int f0/1
r1(config-if)#ip access-group come in
iii. 測試外網R4的ICMP訪問內網
說明:可以看到,ICMP是可以任意訪問的
iv. 測試外網R4 telnet 內網
說明:可以看到,除ICMP外,其它流量是不能進入內網的
v. 測試內網R2的ICMP訪問外網
說明:可以看到,內網發ICMP到外網,也正常返回了
vi. 測試內網R2發起telnet到外網
說明:可以看到,除ICMP外,其他流量是不能通過的
(3) 配置內網向外網發起的telnet被返回
說明:外網和內網之間的ICMP可以不受限制,外網不能telnet內網,但內網telnet外網時,需要配置記錄,讓其返回,根據上面的ACL配置,可以返回的,必須是標為abc的,所以在此為內網發向外網的telnet標為abc,返回時,就會有缺口,因此內網能正常telnet外網,但外網不可主動telnet內網。
A:配置內網出去時,telnet被記錄為abc,將會被允許返回
r1(config)#ip access-list extended goto
r1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60 telnet已記為abc
r1(config-ext-nacl)#permit ip any any
B:應用ACL
r1(config)#int f0/1
r1(config-if)#ip access-group goto out
三,實驗調試
(1) 查看R2到外網的ICMP
說明:ICMP屬於正常
(2) 查看內網向外網發起的telnet
說明:可以看出,此時內網向外網的telnet因為被標記為abc,所以再回來時,開了缺口,也就允許返回了
(3) 查看ACL
說明:可以看到,有一條為abc的ACL為允許外網到內網的telnet,正是由於內網發到外網的telnet被標記了,所以也自動產生了允許其返回的ACL,並且後面跟有剩余時間。
動態ACL
一,實驗原理
Dynamic ACL在一開始拒絕用戶相應的數據包通過,當用戶認證成功後,就臨時放行該數據,但是在會話結束後,再將ACL恢復最初的配置。要定義Dynamic ACL什麽時候恢復最初的配置,可以定義會話超時,即會話多久沒有傳數據,就斷開,也可以定義絕對時間,即無論會話有沒有結束,到了規定時間,也要斷開。
二,實驗拓撲
三,實驗步驟
1, 測試網絡連通性
2, 配置Dynamic ACL
r1(config)#access-list 100 permit tcp an an eq telnet
3, 配置認證之後才能通過的數據,如ICMP,絕對時間為2分鐘
r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any
4, 應用ACL
r1(config)#int f0/0
r1(config-if)#ip access-group 100 in
四,實驗調試
1, 測試內網R2 telnet 外網R4
說明:從結果中看出,telnet不受限制
2, 測試內網R2 ping 外網R4
說明:內網在沒有認證之前,ICMP是無法通過的
3, 配置本地用戶數據庫
r1(config)#username ccie password cisco
4, 配置所有人的用戶名具有訪問功能
r1(config)#line vty 0 181
r1(config-line)#login local
r1(config-line)#autocommand access-enable 這條必加
5, 內網R2做認證
說明:當telnet路由器認證成功後,是會被關閉會話的
6, 測試內網到外網的ICMP通信功能
說明:認證通過之後,ICMP被放行
7, 查看ACL狀態
基於時間的ACL
一,實驗原理
原理: 要通過ACL來限制用戶在規定的時間範圍內訪問特定的服務,首先設備上必須配置好正確的時間。在相應的時間要允許相應的服務,這樣的命令,在配置ACL時,是正常配置的,但是,如果就將命令正常配置之後,默認是在所有時間內允許的,要做到在相應時間內允許,還必須為該命令加上一個時間限制,這樣就使得這條ACL命令只在此時間範圍內才能生效。而要配置這樣的時間範圍,是通過配置time-range來實現的,在time-range中定義好時間,再將此time-range跟在某ACL的條目之後,那麽此條目就在該時間範圍內起作用,其它時間是不起作用的。
二,實驗拓撲
三,實驗步驟
1, 測試網絡連通性
2, 配置time-rang
r1(config)#time-range TELNET
r1(config-time-range)#periodic weekdays 9:00 to 15:00
說明:定義的時間範圍為每周一到周五的9:00 to 15:00
3, 配置ACL
說明:配置R1在上面的時間範圍內拒絕R2到R4的telnet,其它流量全部通過。
r1(config)#access-list 150 deny tcp host 10.1.1.2 any eq 23 time-range TELNET
r1(config)#access-list 150 permit ip any any
4, 應用ACL
r1(config)#int f0/0
r1(config-if)#ip access-group 150 in
四,實驗調試
1, 查看當前R1的時間
2, 測試R2向R4發起的telnet會話
說明:當時時間不再制定範圍,所以能TELNET成功
基於上下文的訪問控制
一,實驗拓撲
二,實驗步驟
1, 測試網絡連通性
2, 在R2上配置一個命名為IP ACL阻隔所有外網產生的流量
用ip access-list extended指令創造一個已命名的IP ACL
R2(config)# ip access-list extended OUT-IN
R2(config-ext-nacl)# deny ip any any
R2(config-ext-nacl)# exit
3, 應用ACL
R2(config)# interface s0/0/1
R2(config-if)# ip access-group OUT-IN in
說明:確保進入s0/0/1接口的流量被阻隔
4, 創建一個CBAC檢測規則
R2(config)# ip inspect name IN-OUT-IN icmp
R2(config)# ip inspect name IN-OUT-INtelnet
R2(config)# ip inspect name IN-OUT-INhttp
5, 開啟時間記錄和CBAC審計信息
R2(config)# ip inspect audit-trail
R2(config)# service timestamps debug datetime msec
R2(config)# logging host 192.168.1.3
R2(config-if)# ip inspect IN-OUT-IN out
三,實驗調試
1, 驗證審計跟蹤信息正被syslog服務器記錄
需要註意,telnet不了
2, show ip inspect sessions
3, show ip inspect config
區域策略防火墻
一,實驗拓撲
二,實驗步驟
1, 測試網絡連通性
PC ping 服務器
PC telnet 到R2上
PC登陸到服務器的網頁
2, 在R2創建區域防火墻
R2(config)# zone security IN-ZONE
R2(config-sec-zone)# zone security OUT-ZONE
R2(config-sec-zone)# exit
3, 定義一個流量級別和訪問列表
R2(config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 any
R2(config)# class-map type inspect match-all IN-NET-CLASS-MAP
R2(config-cmap)# match access-group 101
R2(config-cmap)# exit
4, 指定防火墻策略
R2(config)# policy-map type inspect IN-2-OUT-PMAP
R2(config-pmap)# class type inspect IN-NET-CLASS-MAP
R2(config-pmap-c)# inspect
5, 應用防火墻策略
R2(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE
R2(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP
R2(config-sec-zone-pair)# exit R2(config)#
R2(config)# interface fa0/1
R2(config-if)# zone-member security IN-ZONE
R2(config-if)# exit
R2(config)# interface s0/0/1
R2(config-if)# zone-member security OUT-ZONE
R2(config-if)# exit
三,實驗調制
1, 測試聰IN-ZONE到OUT-ZONE的防火墻功能
PC ping 服務器
PC telnet 到R2
R2上查看完成情況
2, 測試外部區域到內部區域的防火墻功能
驗證配置ZPF之後外部無法訪問內部
服務器ping PC(ping不通)
R2 ping PC(ping 不通)
實驗總結
本次實驗將前面所學的網絡安全知識進行重新的處理總結,通過重新做這些實驗,我發現了他們之間存在一定的聯系,比如配置防火墻是可以添加ACL規則進行安全加固,但是必須要理清他們的運作原理。本次實驗我對防火墻和ACL進行了大概的總結,就是這兩個協議都能抵禦來自外網的攻擊,提高網絡安全性,但是對於來自內網的攻擊難以抵禦,且在應用前都必須經過反復驗證,確保其可行性,不會阻礙正常的網絡運行。
防火墻技術綜合實驗