防火墙综合实验
?
?防火墻技術(shù)綜合實驗
?一、實驗目的:本次實驗是將多種訪問控制列表以及防火墻部分的知識做一個匯總
?
二、實驗內(nèi)容
?
A:Established控制列表
?
拓撲圖
?
配置步驟
?
1:配置各端口ip地址,配置登陸密碼
?
R4:
登陸賬號:ys
密碼:123
?
2:測試連通性
?
服務器遠程登陸R2
?
?
?
Pc0 ping 服務器
?
?
?
?
3 關(guān)鍵命令
?
在檢測連通性,確保無誤后,配置acl
?
R0(config)#access-list 100 permit ospf any any????//因為我是通過ospf建立路由表,所以這里要添加一條允許ospf數(shù)據(jù)包通過的規(guī)則
R0(config)#access-list 100 permit tcp any any established??//運用 established 命令檢測數(shù)據(jù)包是否設置了ack,從而防止外網(wǎng)主動訪問內(nèi)網(wǎng)
R0(config)#access-list 100 deny ip any any
將ACL應用到端口
R0(config)#interface Serial0/1/0
R0(config-if)#ip access-group 100 in
R0(config-if)#exit
?
?
4測試ACL
?
Pc0 ping??路由器R1(ICMP數(shù)據(jù)包默認拒絕,所以不通)
?
?
?
?
服務器 telnet 內(nèi)網(wǎng)路由器R2(主動訪問被拒絕)
?
?
?
Pc 采用http服務訪問服務器
?
?
?
?
B:自反ACL
?
原理:通過對經(jīng)過該端口的請求數(shù)據(jù)包打上標記,對回復的數(shù)據(jù)包進行檢測,據(jù)有該標記的數(shù)據(jù)包允許通過,否則被拒絕。
?
拓撲圖
?
?
1:配置各端口ip地址,配置登陸密碼
?
R2:??????????????????????????????????????????????????R4:
登陸賬號:R2???????????????????????????????登陸賬號:R4
密碼:123?????????????????????????????????????密碼:123
Enable passwork:123??????????????????????enable passwork:123
?
?
2:測試連通性
?
R2 telnet R4
?
?
R4 telnet R2
?
?
?
3:配置命令
??在檢測連通性,確保無誤后,配置acl
?
R3(config)#ip access-list extended goin
R3(config-ext-nacl)#permit tcp any any eq 23 reflect YS
R3(config-ext-nacl)#evaluate YS
R3(config-ext-nacl)#exit
?
應用到端口
R3(config)#int f0/1
R3(config-if)#ip access-group?goin out??//應用到端口的out方向上
?
?
測試結(jié)果
?
查看acl表
?
?
?
?
?
R2 telnet R4
?
?
?
R4 telnet R2
?
?
?
?
?
至此,自反ACL應用成功
?
?
C:動態(tài)ACL
?
原理:Dynamic ACL在一開始拒絕用戶相應的數(shù)據(jù)包通過,當用戶認證成功后,就臨時放行該數(shù)據(jù),但是在會話結(jié)束后,再將ACL恢復最初的配置。要定義Dynamic ACL什么時候恢復最初的配置,可以定義會話超時,即會話多久沒有傳數(shù)據(jù),就斷開,也可以定義絕對時間,即無論會話有沒有結(jié)束,到了規(guī)定時間,也要斷開。
?
?
拓撲圖
?
?
?
?
?配置步驟
?
1配置端口ip地址,遠程登陸賬號密碼
?
R1??????????????????????????????????????????????R4
賬號:hys?????????????????????????????????賬號:ys
密碼:123????????????????????????????????密碼:123
?
測試連通性
?
R2 telnet R4
?
?
?
?
配置命令
r1(config)#access-list 100 permit tcp an an eq telnet???//配置默認不需要認證就可以通過的數(shù)據(jù),如telnet
r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any?//配置認證之
后才能通過的數(shù)據(jù),如ICMP,絕對時間為2分鐘。
?
應用ACL到端口
r1(config)#int f0/0
r1(config-if)#ip access-group 100 in
?
?
?
?
測試 :未進行認證時,R2 ping R4
?
?
進行認證后,R2 ping R4
?
?至此,動態(tài)ACL驗證成功
?
?D: 基于時間的ACl
原理:?要通過ACL來限制用戶在規(guī)定的時間范圍內(nèi)訪問特定的服務,首先設備上必須配置好正確的時間。在相應的時間要允許相應的服務,這樣的命令,在配置ACL時,是正常配置的,但是,如果就將命令正常配置之后,默認是在所有時間內(nèi)允許的,要做到在相應時間內(nèi)允許,還必須為該命令加上一個時間限制,這樣就使得這條ACL命令只在此時間范圍內(nèi)才能生效。而要配置這樣的時間范圍,是通過配置time-range來實現(xiàn)的,在time-range中定義好時間,再將此time-range跟在某ACL的條目之后,那么此條目就在該時間范圍內(nèi)起作用,其它時間是不起作用的。
?
拓撲圖
1配置端口ip地址,遠程登陸賬號密碼
2測試連通性:R4 telnet R2
?
?
?
?
3 關(guān)鍵步驟
1.配置time-range
r1(config)#time-range TELNET
r1(config-time-range)#periodic?Sunday?9:00 to 18:00
說明:定義的時間范圍為每周日的9:00 to 15:00
2.配置ACL
說明:配置R1在上面的時間范圍內(nèi)拒絕R2到R4的telnet,其它流量全部通過。
r1(config)#access-list 100 deny tcp host 10.29.1.2 any eq 23 time-range TELNET
r1(config)#access-list 100 permit ip any any
3.應用ACL
r1(config)#int f0/0
r1(config-if)#ip access-group 100 in
?
?4 驗證
?
非允許時間內(nèi) R2 telnet R4
?
?
?
?
?允許時間內(nèi) R2 ping R4
?
?
?
?
?E:基于上下文的訪問控制
?
拓撲圖
?
?
?
?
?
配置步驟
?
1配置端口ip地址,并檢測連通性
?
服務器 ping??pc端
?
?
?
服務器 telnet R3
?
?
?
?
2配置命令
?
R3(config)#?ip access-list extended?go
R3(config-ext-nacl)#?deny ip any any???//此ACL目的是隔絕外網(wǎng)流量
R3(config-ext-nacl)#?exit
R3(config)#?interface s0/1/1
R3(config-if)#?ip access-group?go?in
R3(config)#ip inspect name YS icmp
R3(config)#ip inspect name YS http??//?創(chuàng)建一個檢測規(guī)則來檢測ICMP和HTTP流量
R3(config)#?ip inspect audit-trail
R3(config)#?service timestamps debug datetime msec
R3(config)#?logging host?10.29.1.2 //開啟時間戳記記錄和CBAC審計跟蹤信息
R3(config)#int s0/1/1
R3(config-if)#?ip inspect?YS?out
?
?
?
?驗證
服務器 ping??pc端
?
?
?
?
PC端 ping??服務器
?
?
?
?
?
F 區(qū)域策略防火墻
?
?
拓撲圖
?
?
?
?
1 配置端口地址以及賬號配置
路由器預配置如下:
- ·Ys?密碼:?123
- ·動態(tài)路由
?
?2查看連通性
?Pc-a?ping pc-c?
???????????
?
Pc-c telnet R2
?
?
?
http服務
?
?
3配置區(qū)域策略防火墻
?
R3(config)# zone security IN-ZONE?//創(chuàng)建區(qū)域IN-ZONE
R3(config-sec-zone)# exit
R3(config)# zone security OUT-ZONE?//創(chuàng)建區(qū)域OUT-ZONE
R3(config-sec-zone)# exit
R3(config)# access-list 101 permit ip 10.29.2.0 0.0.0.255 any?//用access-list創(chuàng)建擴展ACL101來在IP層面允許所有從……源網(wǎng)絡地址訪問到任何其他地址
R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP
R3(config-cmap)# match access-group 101
R3(config-cmap)# exit?//用?class map type inspect?(match all)來創(chuàng)建一個叫?class map type inspect?的class map,用match access-group匹配ACL
R3(config)# policy-map type inspect IN-2-OUT-PMAP?//創(chuàng)建策略圖IN-2-OUT-PMAP
R3(config-pmap)# class type inspect IN-NET-CLASS-MAP?//定義一個檢測級別類型和參考策略圖
R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE??//創(chuàng)建一個區(qū)域?qū)N-2-OUT-ZPAIR對任務一中創(chuàng)建的區(qū)域進行源和目的區(qū)域定義
R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP
R3(config-sec-zone-pair)# exit
??R3(config# interface fa0/1
R3(config-if)# zone-member security IN-ZONE
R3(config-if)# exit
R3(config)# interface s0/1/1
R3(config-if)# zone-member security OUT-ZONE
R3(config-if)# exit
?
?
測試
?
服務器 ping PC端(防火墻阻擋,外網(wǎng)無法ping通PC端)
?
?
?
PC端 ping 服務器
?
?
三:實驗總結(jié)
?
??本次實驗將前面所學的網(wǎng)絡安全知識進行重新的處理總結(jié),通過重新做這些實驗,我發(fā)現(xiàn)了他們之間存在一定的聯(lián)系,比如配置防火墻是可以添加ACL規(guī)則進行安全加固,但是必須要理清他們的運作原理。本次實驗我對防火墻和ACL進行了大概的總結(jié),就是這兩個協(xié)議都能抵御來自外網(wǎng)的攻擊,提高網(wǎng)絡安全性,但是對于來自內(nèi)網(wǎng)的攻擊難以抵御,且在應用前都必須經(jīng)過反復驗證,確保其可行性,不會阻礙正常的網(wǎng)絡運行。
?
?
?
轉(zhuǎn)載于:https://www.cnblogs.com/deose/p/10840731.html
總結(jié)
- 上一篇: JQuery的ready函数与JS的on
- 下一篇: 获取网络时间,在不同时间触发事件