第四组-16通信2班-056基于上下文的访问控制以及区域策略防火墙

拓扑图

地址规划

设备	接口	地址	网关
R1	S0/0/0 F0/0	10.56.1.1 10.56.11.1
R2	S0/0/0 S0/0/1	10.56.1.2 10.56.2.2
R3	S0/0/1 F0/0	10.56.2.3 10.56.13.1
PC0	Fa0	10.56.13.3	10.56.13.1
Server0	Fa0	10.56.11.3	10.56.11.1

配置静态路由实现互通

R1(config)#ip route 10.56.2.0 255.255.255.0 10.56.1.2

R1(config)#ip route 10.56.13.0 255.255.255.0 10.56.1.2

 

R2(config)#ip route 10.56.13.0 255.255.255.0 10.56.2.3

R2(config)#ip route 10.56.11.0 255.255.255.0 10.56.1.1

 

 

R3(config)#ip route 10.56.1.0 255.255.255.0 10.56.2.2

R3(config)#ip route 10.56.11.0 255.255.255.0 10.56.2.2

 

 

 

检验

在PC0的命令提示符中ping 服务器

PC0telnet路由R2的s0/0/1接口

在PC0开一个网页浏览器登入SEVER0来展示网页

server0ping PC0

基于上下文的访问控制

在R3配置一个命名IP ACl阻隔所有外网产生的流量。

R3(config)#ip access-list extended OUT-IN

R3(config-ext-nacl)#deny ip any any

R3(config-ext-nacl)#exit

R3(config)#int s0/0/1

R3(config-if)#ip access-group OUT-IN in

 

在PC0ping server0服务器。ICMP回送响应会被ACL阻隔

创建一个CBAC检测规则

第一步：创建规则

R3(config)#ip inspect name IN-OUT-IN icmp

R3(config)#ip inspect name IN-OUT-IN telnet

R3(config)#ip inspect name IN-OUT-IN http

第二步 ：开启时间戳记记录和CBAC审计跟踪信息。

R3(config)#ip inspect audit-trail

R3(config)#service timestamps debug datetime msec

R3(config)#logging host 10.56.11.3

第三步    对在s0/0/1的出口流量用检测规则

R3(config-if)#ip inspect IN-OUT-IN out

验证

在PC0成功ping、telnet访问server0来检测连通性。需要注意Telnet不了

 

在server0 ping,Telnet PC0来检测连通性，这两步都被阻隔掉

说明配置基于上下文的访问控制协议成功

 

 

F.配置基于区域策略的防火墙

在R3创建区域防火墙

R3(config)#zone security IN-ZONE

R3(config-sec-zone)#zone security OUT-ZONE

 定义一个流量级别和访问列表

R3(config)#access-list 101 permit ip 10.56.13.0 0.0.0.255 any

第二步 创建一个涉及内部流量ACL的class map

R3(config)#class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)#match access-group 101

指定防火墙策略

R3(config)#policy-map type inspect IN-2-OUT-PMAP

R3(config-pmap)#CLAss type inspect IN-NET-CLASS-MAP

应用防火墙策略配置

第一步 创建一对区域

R3(config)#zone-pair security IN-2-OUT-2PAIR source IN-ZONE destination OUT-ZONE

第二步 定义策略图来控制两个区域的流量

R3(config-sec-zone-pair)#service-policy type inspect IN-2-OUT-PMAP

第三步 把端口调用到合适的安全区域。

R3(config)#int f0/0

R3(config-if)#zone-member security IN-ZONE

R3(config)#int s0/0/1

R3(config-if)#zone-member security OUT-ZONE

检验

 PC0 pingserver0服务器

从PC0telnet到R2 的s0/0/1口

检查完成情况

测试外部区域到内部区域的防火墙功能

第一步 server0 ping PC0（ping 不通）

第二步 R2 ping PC-C也ping不通