LJ0825
LJ0825

防火墙作业

 

自反ACL实验配置

拓扑图防火墙作业_第1张图片

 

 

R4为外网,R2和R3为内网。

地址表

Device

Interface

IP address

R1

F 0/0

10.112.1.1

F 0/1

14.112.2.1

R2

F 0/0

10.112.1.2

R3

F 0/0

10.112.1.3

R4

F 0/0

14.112.2.4

静态路由基础配置

R1(config)#int f0/0

R1(config-if)#ip address 10.112.1.1 255.255.255.0

R1(config-if)#no shutdown

R1(config)#int f0/1

R1(config-if)#ip address 14.112.2.1 255.255.255.0

R1(config-if)#no shutdown

 

R4(config)#ip route 10.112.1.0 255.255.255.0 14.112.2.1

R3(config)#ip route 14.112.2.0 255.255.255.0 10.112.1.1

R2(config)#ip route 14.112.2.0 255.255.255.0 10.112.1.1

R2pingR4

防火墙作业_第2张图片

R1pingR4

防火墙作业_第3张图片

 

R4pingR2

防火墙作业_第4张图片

 

 

实现互通

 

标准acl

R4(config)#access-list 1 deny 10.112.1.2  0.0.0.0

R4(config)#int f0/1

R4(config-if)#ip access-group 1 in

R4(config-if)#end

防火墙作业_第5张图片

 

 

 

可以看到,R2pingR4失败

自反acl

说明:R4为外网,R2和R3为内网。

R1(config)#ip access-list extended come

R1(config-ext-nacl)#permit icmp any any

R1(config-ext-nacl)#evaluate abc

R1(config)#int f0/1

R1(config-if)#ip access-group come in

 

说明ICMP是可以任意访问的

 

R1(config)#ip access-list extended goto

R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60

R1(config-ext-nacl)#permit ip any any

R1(config)#int f0/1

R1(config-if)#ip access-group goto out

R2telent

防火墙作业_第6张图片

 

 

动态acl

R1(config)#access-list 100 permit tcp an an eq telnet

R1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

R1(config)#int f0/0

R1(config-if)#ip access-group 100 in

测试内网R2 telnet外网R4

 

 

配置本地用户数据库

R1(config)#username ccie password yrzzs

R1(config)#line vty 0 181

R1(config-line)#login local

R1(config-line)#autocommand access-enable

R1#show ip access-lists

Extended IP access list 100

    10 permit tcp any any eq telnet (84 matches)

    20 Dynamic ccie permit icmp any any

Reflexive IP access list abc

Extended IP access list come

    10 permit icmp any any (35 matches)

    20 evaluate abc

Extended IP access list goto

    10 permit tcp any any eq telnet reflect abc (23 matches)

20 permit ip any any (15 matches)

基于时间的acl

R1(config)#time-range  TELNET

R1(config-time-range)#periodic weekdays 9:00 to 14:00

R1(config)#access-list 150 deny tcp host 10.112.1.2 any eq 23 time

    R1(config)#$ 150 deny tcp host 10.112.1.2 any eq 23 time-range TELNET

R1(config)#access-list 150 permit ip any any

R1(config)#int f0/0

R1(config-if)#ip access-group 150 in

 

修改路由器时间

Clock set

R1#clock set 15:00:58 nov 12 2019


 

 

Established扩展ACL

拓扑图

防火墙作业_第7张图片

 

 

地址表

Device

Interface

IP address

R1

F 0/0

172.16.112.1

F 0/1

10.3.112.1

S 0/1/0

10.1.112.1

R2

S 0/1/0

10.1.112.2

S 0/1/1

10.2.112.2

R3

F 0/0

192.168.112.3

S 0/1/0

10.2.112.3

PC1

NIC

172.16.112.100

Default Gateway

172.16.112.1

PC2

NIC

10.3.112.100

Default Gateway

10.3.112.1

SERVER1

NIC

192.168.112.100

Default Gateway

192.168.112.3

配置扩展ACL前先把网络做通,配置静态路由。

R1(config)#ip route 10.2.112.0 255.255.255.0 10.1.112.2

R1(config)#ip route 192.168.112.0 255.255.255.0 10.1.112.2

 

R2(config)#ip route 172.16.112.0 255.255.255.0 10.1.112.1

R2(config)#ip route 10.3.112.0 255.255.255.0 10.1.112.1

R2(config)#ip route 192.168.112.0 255.255.255.0 10.2.112.3

 

R3(config)#ip route 10.1.112.0 255.255.255.0 10.2.112.2

R3(config)#ip route 172.16.112.0 255.255.255.0 10.2.112.2

R3(config)#ip route 10.3.112.0 255.255.255.0 10.2.112.2

R1#sh ip route 查看路由表

 

 

试从PC1 ping 到Server1

 

静态路由配置完成,开始做扩展ACL实验。

实验步骤

要求:

拒绝PC1 所在网段访问Server 192.168.112.100 的Web 服务

拒绝PC2 所在网段访问Server 192.168.112.100 的Ftp 服务

拒绝PC1 所在网段访问Server 192.168.112.100 的SQL 服务

拒绝PC1 所在网段访问路由器R3 的Telnet 服务

拒绝PC2 所在网段访问路由器R2 的Web 服务

拒绝PC1 和PC2 所在网段ping Server 服务器

只允许路由器R3 以接口s0/1/0 为源ping 路由器R2 的接口s0/1/1 地址,而不允许路

由器R2 以接口s0/1/1 为源ping 路由器R3 的接口s0/1/0 地址,即单向ping.

(一)配置路由器

R1(config)#access-list 110 remark this is an example for extended acl

R1(config)#access-list 110 deny tcp 172.16.112.0 0.0.0.255 host 192.168.112.100 eq 80

R1(config)#access-list 110 deny tcp 10.3.112.0 0.0.0.255 host 192.168.112.100 eq 21

R1(config)#access-list 110 deny tcp 10.3.112.0 0.0.0.255 host 192.168.112.100 eq 20

R1(config)#access-list 110 deny tcp 172.16.112.0 0.0.0.255 host 192.168.112.100 eq 1433

R1(config)#access-list 110 deny tcp 172.16.112.0 0.0.0.255 host 10.2.112.3 eq 23

R1(config)#access-list 110 deny tcp 172.16.112.0 0.0.0.255 host 192.168.112.3 eq 23

R1(config)#access-list 110 deny tcp 10.3.112.0 0.0.0.255 host 10.1.112.2 eq 80

R1(config)#access-list 110 deny tcp 10.3.112.0 0.0.0.255 host 10.2.112.2 eq 80

 

R1(config)#access-list 110 deny icmp 172.16.112.0 0.0.0.255 host 192.168.112.100

R1(config)#access-list 110 deny icmp 10.3.112.0 0.0.0.255 host 192.168.112.100

R1(config)#access-list 110 permit ip any any

R1(config)#int s0/1/0

R1(config-if)#ip access-group 110 out

 

(二)配置路由器R3

R3(config)#access-list 120 deny icmp host 10.2.112.2 host 10.2.112.3 echo

R3(config)#access-list 120 permit ip any any

R3(config)#int s0/1/0

R3(config-if)#ip access-group 120 in

四、实验调试

(一)路由器R1 上查看ACL110

R1#show ip access-lists 110

 

(二)路由器R3 和路由器R2 互相ping

 

 

(三)路由器R3 查看ACL 120

R3#show ip access-lists 120

 

 

(四)配置命令扩展ACL

R3(config)#ip access-list extended acl120

R3(config-ext-nacl)#deny icmp host 10.2.112.2 host 10.2.112.3 echo

R3(config-ext-nacl)#permit ip any any

R3(config-ext-nacl)#int s0/1/0

R3(config-if)#ip access-group acl120 in

R3#show ip access-lists

 

扩展ACL实验配置完成,验证成功

 

基于上下文的访问控制

拓扑图

 

地址表

Device

Interface

IP address

R1

F 0/0

192.168.112.1

S 0/0/0

10.1.112.1

R2

S 0/0/0

10.1.112.2

S 0/0/1

10.2.112.2

R3

F 0/0

172.16.112.3

S 0/0/0

10.2.112.3

PC-A

NIC

192.168.112.4

Default Gateway

192.168.112.1

PC-C

NIC

172.16.112.4

Default Gateway

172.16.112.3

预配置:

在配置防火墙之前验证设备间连通性,即先配置静态路由

R1(config)#ip route 10.2.112.0 255.255.255.0 10.1.112.2

R1(config)#ip route 172.16.112.0 255.255.255.0 10.1.112.2

 

R2(config)#ip route 192.168.112.0 255.255.255.0 10.1.112.1

R2(config)#ip route 172.16.112.0 255.255.255.0 10.2.112.3

 

R3(config)#ip route 10.1.112.0 255.255.255.0 10.2.112.2

R3(config)#ip route 192.168.112.0 255.255.255.0 10.2.112.2

 

在R3启用密码

R3(config)#enable password abc123

启用console口密码

R3(config)#line console 0

R3(config-line)#password abd123

 

 

启用vty行接入密码

R3(config)#line vty 0 4

R3(config-line)#password abe123

 

把S1、S2所有交换机接口都在Vlan1(S2同理)

S1(config)#int f 0/1

S1(config-if)# switchport access vlan 1

S1(config-if)# switchport trunk allowed vlan 1

S1(config)#int f 0/2

S1(config-if)# switchport access vlan 1

S1(config-if)# switchport trunk allowed vlan 1

预配置完成

验证

在PC-C的命令提示符中ping PC-A服务器

 

在PC-C命令提示符中telnet路由R2的s0/0/1接口:地址时10.2.112.2.退出telnet阶段

 

 

 

 

 

在PC-C开一个网页浏览器登入PC-A来展示网页。关掉PC-C的浏览器。

 


在PC-A的命令提示符ping PC-C

 

在R3配置一个命名IP ACl阻隔所有外网产生的流量

用ip access-list extended指令创造一个已命名的IP ACL

R3(config)#ip access-list extended out-in

R3(config-ext-nacl)# deny ip any any

R3(config-ext-nacl)# exit

 

在s0/0/0应用ACl

R3(config)#int s 0/0/0

R3(config-if)# ip access-group out-in in

确保进入s0/0/1接口的流量被阻隔

在PC-C命令提示符ping PC-A服务器。ICMP回送响应会被ACL阻隔

 

 

创建一个CBAC检测规则

第一步  创建一个检测规则来检测ICMP,Telnet,和HTTP流量。

R3(config)# ip inspect name IN-OUT-IN icmp

R3(config)# ip inspect name IN-OUT-IN telnet

R3(config)# ip inspect name IN-OUT-IN http

 

第二步   开启时间戳记记录和CBAC审计跟踪信息。

R3(config)# ip inspect audit-trail

R3(config)# service timestamps debug datetime msec

R3(config)# logging host 192.168.112.3

 

第三步    对在s0/0/0的出口流量用检测规则。

R3(config-if)# ip inspect IN-OUT-IN out

 

第四步   验证审计跟踪信息正被syslog服务器记录

在PC-C 成功ping、telnet访问PC-A来检测连通性。需要注意Telnet不了。

 

 

 

 

 

 
   

 


在PC-A,ping,Telnet PC-C来检测连通性,这两步都被阻隔掉

CBAC基于上下文的访问控制配置完成。

 

 

 

基于区域策略的防火墙

拓扑图

地址表与预配置和上个实验(基于上下文的访问控制)完全一致,参照上面配置即可。

 

验证基本网络连通性

PC-A ping通PC-C

 

 

 

 

PC-C telnet到s0/0/0接口

 

 

 

在R3创建区域防火墙

 

第一步   创建一个内部区域。

R3(config)# zone security IN-ZONE

 

第二步 创建外部区域

R3(config-sec-zone)# zone security OUT-ZONE

R3(config-sec-zone)# exit

 

定义一个流量级别和访问列表

 

第一步   创建一个用来定义内部流量的ACL

R3(config)# access-list 101 permit ip 172.16.112.0 0.0.0.255 any

 

 

 

 

第二步 创建一个涉及内部流量ACL的class map

R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)# match access-group 101

R3(config-cmap)# exit

 

 

 

指定防火墙策略

第一步 创建一个策略图来确定对匹配的流量干啥。

R3(config)# policy-map type inspect IN-2-OUT-PMAP

 

第二步 定义一个检测级别类型和参考策略图。

R3(config-pmap)# class type inspect IN-NET-CLASS-MAP

 

第三步  定义检测策略图

Inspect这个指令调用基于上下文的访问控制(其他还有通过和丢弃)

 

 

应用防火墙策略

第一步 创建一对区域

R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

 

第二步 定义策略图来控制两个区域的流量。

R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R3(config-sec-zone-pair)# exit

 

第三步 把端口调用到合适的安全区域。

R3(config)# interface fa0/0

R3(config-if)# zone-member security IN-ZONE

R3(config-if)# exit

 

R3(config)# interface s0/0/0

R3(config-if)# zone-member security OUT-ZONE

R3(config-if)# exit

 

 

 

 

 

 

测试从IN-ZONE到OUT-ZONE的防火墙功能

 

第一步 PC_C ping PC-A服务器

第二步 从PC-Ctelnet到R2 的s0/0/1口

 

PC-C打开网页登到PC-A的服务器

 

 

测试外部区域到内部区域的防火墙功能

验证配置ZPF之后外部无法访问内部。

第一步 PC-A ping PC-C(ping 不通)

 

 

数据业务信息化应用

 

防火墙作业

 

 

 

 

 

         专业:通信工程     

         班级:16级通信3班

姓名:     李剑   

学号: 201610110112

序号:     38      

          指导老师:武金龙   

 

 

 

日期: 2019年4月

防火墙技术评分标准

评分标准及要求: 

序号

基本要求

具体要求

分值

自评得分

小组评分

作业评分

1

1、地址合规性检查,每位同学只能使用自己的IP地址;如不符合要求,此次作业为0分;
2、文档命名为:第X组_班级_学号最后3位_作业名;
3、作业抄袭问题
4、地址规划表

合规

0

 

 

 

不合规

-100

 

 

 

命名正确

5

5 

5 

 

抄袭

-100

 

 

 

列出地址规划表

5

5 

5 

 

2

访问控制列表

Established(图、文)

5

4 

4 

 

自反ACL(图、文)

5

4 

4

 

动态ACL(图、文)

5

4

4

 

基于时间的ACL(图、文)

5

5 

5 

 

3

基于上下文的访问控制

配置步骤,描述

10

8 

8 

 

验证截图,文字表述

10

 8

8 

 

4

区域策略防火墙

配置步骤,说明

10

 10

10 

 

验证截图,文字表述

10

 10

 10

 

5

总结,对各种防火墙技术进行对比,写出适用范围,优缺点;
写对知识点的总结,遇到的问题,解决的方法等。

不少于50字

5

 5

 5

 

各技术的对比

5

 5

 5

 

6

排版(字体:宋体;字号:5号;首行缩进;行距:固定值,20磅)

字体、字号正确

5

 5

 5

 

首行缩进,行距正确

5

 5

 5

 

7

在完成提交自己的作业后,先进行自评,然后看其他同学的作品并给出评价。

有自评

5

 5

 5

 

有小组互评

5

 5

 5

 

8

总评成绩

 

 

 93

93 

 

 

 

 

1、图片前有文字说明,写明要表达的意思;

 

 

2、最后需要加总结,写对知识点的总结,遇到的问题,解决的方法等。

 

 

3、标题处写明第几组;

 

 

4、PC端地址采用自动配置;

 

 

5、写出地址规划表

 
                 

 

 

 

 

 

自反ACL实验配置

拓扑图

 

R4为外网,R2和R3为内网。

地址表

Device

Interface

IP address

R1

F 0/0

10.112.1.1

F 0/1

14.112.2.1

R2

F 0/0

10.112.1.2

R3

F 0/0

10.112.1.3

R4

F 0/0

14.112.2.4

静态路由基础配置

R1(config)#int f0/0

R1(config-if)#ip address 10.112.1.1 255.255.255.0

R1(config-if)#no shutdown

R1(config)#int f0/1

R1(config-if)#ip address 14.112.2.1 255.255.255.0

R1(config-if)#no shutdown

 

R4(config)#ip route 10.112.1.0 255.255.255.0 14.112.2.1

R3(config)#ip route 14.112.2.0 255.255.255.0 10.112.1.1

R2(config)#ip route 14.112.2.0 255.255.255.0 10.112.1.1

R2pingR4

 

R1pingR4

R4pingR2

 

实现互通

 

标准acl

R4(config)#access-list 1 deny 10.112.1.2  0.0.0.0

R4(config)#int f0/1

R4(config-if)#ip access-group 1 in

R4(config-if)#end

 

 

可以看到,R2pingR4失败

自反acl

说明:R4为外网,R2和R3为内网。

R1(config)#ip access-list extended come

R1(config-ext-nacl)#permit icmp any any

R1(config-ext-nacl)#evaluate abc

R1(config)#int f0/1

R1(config-if)#ip access-group come in

 

说明ICMP是可以任意访问的

 

R1(config)#ip access-list extended goto

R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60

R1(config-ext-nacl)#permit ip any any

R1(config)#int f0/1

R1(config-if)#ip access-group goto out

R2telent

 

动态acl

R1(config)#access-list 100 permit tcp an an eq telnet

R1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

R1(config)#int f0/0

R1(config-if)#ip access-group 100 in

测试内网R2 telnet外网R4

 

配置本地用户数据库

R1(config)#username ccie password yrzzs

R1(config)#line vty 0 181

R1(config-line)#login local

R1(config-line)#autocommand access-enable

R1#show ip access-lists

Extended IP access list 100

    10 permit tcp any any eq telnet (84 matches)

    20 Dynamic ccie permit icmp any any

Reflexive IP access list abc

Extended IP access list come

    10 permit icmp any any (35 matches)

    20 evaluate abc

Extended IP access list goto

    10 permit tcp any any eq telnet reflect abc (23 matches)

20 permit ip any any (15 matches)

基于时间的acl

R1(config)#time-range  TELNET

R1(config-time-range)#periodic weekdays 9:00 to 14:00

R1(config)#access-list 150 deny tcp host 10.112.1.2 any eq 23 time

    R1(config)#$ 150 deny tcp host 10.112.1.2 any eq 23 time-range TELNET

R1(config)#access-list 150 permit ip any any

R1(config)#int f0/0

R1(config-if)#ip access-group 150 in

 

修改路由器时间

Clock set

R1#clock set 15:00:58 nov 12 2019


 

 

Established扩展ACL

拓扑图

 

地址表

Device

Interface

IP address

R1

F 0/0

172.16.112.1

F 0/1

10.3.112.1

S 0/1/0

10.1.112.1

R2

S 0/1/0

10.1.112.2

S 0/1/1

10.2.112.2

R3

F 0/0

192.168.112.3

S 0/1/0

10.2.112.3

PC1

NIC

172.16.112.100

Default Gateway

172.16.112.1

PC2

NIC

10.3.112.100

Default Gateway

10.3.112.1

SERVER1

NIC

192.168.112.100

Default Gateway

192.168.112.3

配置扩展ACL前先把网络做通,配置静态路由。

R1(config)#ip route 10.2.112.0 255.255.255.0 10.1.112.2

R1(config)#ip route 192.168.112.0 255.255.255.0 10.1.112.2

 

R2(config)#ip route 172.16.112.0 255.255.255.0 10.1.112.1

R2(config)#ip route 10.3.112.0 255.255.255.0 10.1.112.1

R2(config)#ip route 192.168.112.0 255.255.255.0 10.2.112.3

 

R3(config)#ip route 10.1.112.0 255.255.255.0 10.2.112.2

R3(config)#ip route 172.16.112.0 255.255.255.0 10.2.112.2

R3(config)#ip route 10.3.112.0 255.255.255.0 10.2.112.2

R1#sh ip route 查看路由表

 

 

试从PC1 ping 到Server1

 

静态路由配置完成,开始做扩展ACL实验。

实验步骤

要求:

拒绝PC1 所在网段访问Server 192.168.112.100 的Web 服务

拒绝PC2 所在网段访问Server 192.168.112.100 的Ftp 服务

拒绝PC1 所在网段访问Server 192.168.112.100 的SQL 服务

拒绝PC1 所在网段访问路由器R3 的Telnet 服务

拒绝PC2 所在网段访问路由器R2 的Web 服务

拒绝PC1 和PC2 所在网段ping Server 服务器

只允许路由器R3 以接口s0/1/0 为源ping 路由器R2 的接口s0/1/1 地址,而不允许路

由器R2 以接口s0/1/1 为源ping 路由器R3 的接口s0/1/0 地址,即单向ping.

(一)配置路由器

R1(config)#access-list 110 remark this is an example for extended acl

R1(config)#access-list 110 deny tcp 172.16.112.0 0.0.0.255 host 192.168.112.100 eq 80

R1(config)#access-list 110 deny tcp 10.3.112.0 0.0.0.255 host 192.168.112.100 eq 21

R1(config)#access-list 110 deny tcp 10.3.112.0 0.0.0.255 host 192.168.112.100 eq 20

R1(config)#access-list 110 deny tcp 172.16.112.0 0.0.0.255 host 192.168.112.100 eq 1433

R1(config)#access-list 110 deny tcp 172.16.112.0 0.0.0.255 host 10.2.112.3 eq 23

R1(config)#access-list 110 deny tcp 172.16.112.0 0.0.0.255 host 192.168.112.3 eq 23

R1(config)#access-list 110 deny tcp 10.3.112.0 0.0.0.255 host 10.1.112.2 eq 80

R1(config)#access-list 110 deny tcp 10.3.112.0 0.0.0.255 host 10.2.112.2 eq 80

 

R1(config)#access-list 110 deny icmp 172.16.112.0 0.0.0.255 host 192.168.112.100

R1(config)#access-list 110 deny icmp 10.3.112.0 0.0.0.255 host 192.168.112.100

R1(config)#access-list 110 permit ip any any

R1(config)#int s0/1/0

R1(config-if)#ip access-group 110 out

 

(二)配置路由器R3

R3(config)#access-list 120 deny icmp host 10.2.112.2 host 10.2.112.3 echo

R3(config)#access-list 120 permit ip any any

R3(config)#int s0/1/0

R3(config-if)#ip access-group 120 in

四、实验调试

(一)路由器R1 上查看ACL110

R1#show ip access-lists 110

 

(二)路由器R3 和路由器R2 互相ping

 

 

(三)路由器R3 查看ACL 120

R3#show ip access-lists 120

 

 

(四)配置命令扩展ACL

R3(config)#ip access-list extended acl120

R3(config-ext-nacl)#deny icmp host 10.2.112.2 host 10.2.112.3 echo

R3(config-ext-nacl)#permit ip any any

R3(config-ext-nacl)#int s0/1/0

R3(config-if)#ip access-group acl120 in

R3#show ip access-lists

 

扩展ACL实验配置完成,验证成功

 

基于上下文的访问控制

拓扑图

 

地址表

Device

Interface

IP address

R1

F 0/0

192.168.112.1

S 0/0/0

10.1.112.1

R2

S 0/0/0

10.1.112.2

S 0/0/1

10.2.112.2

R3

F 0/0

172.16.112.3

S 0/0/0

10.2.112.3

PC-A

NIC

192.168.112.4

Default Gateway

192.168.112.1

PC-C

NIC

172.16.112.4

Default Gateway

172.16.112.3

预配置:

在配置防火墙之前验证设备间连通性,即先配置静态路由

R1(config)#ip route 10.2.112.0 255.255.255.0 10.1.112.2

R1(config)#ip route 172.16.112.0 255.255.255.0 10.1.112.2

 

R2(config)#ip route 192.168.112.0 255.255.255.0 10.1.112.1

R2(config)#ip route 172.16.112.0 255.255.255.0 10.2.112.3

 

R3(config)#ip route 10.1.112.0 255.255.255.0 10.2.112.2

R3(config)#ip route 192.168.112.0 255.255.255.0 10.2.112.2

 

在R3启用密码

R3(config)#enable password abc123

启用console口密码

R3(config)#line console 0

R3(config-line)#password abd123

 

 

启用vty行接入密码

R3(config)#line vty 0 4

R3(config-line)#password abe123

 

把S1、S2所有交换机接口都在Vlan1(S2同理)

S1(config)#int f 0/1

S1(config-if)# switchport access vlan 1

S1(config-if)# switchport trunk allowed vlan 1

S1(config)#int f 0/2

S1(config-if)# switchport access vlan 1

S1(config-if)# switchport trunk allowed vlan 1

预配置完成

验证

在PC-C的命令提示符中ping PC-A服务器

 

在PC-C命令提示符中telnet路由R2的s0/0/1接口:地址时10.2.112.2.退出telnet阶段

 

 

 

 

 

在PC-C开一个网页浏览器登入PC-A来展示网页。关掉PC-C的浏览器。

 


在PC-A的命令提示符ping PC-C

 

在R3配置一个命名IP ACl阻隔所有外网产生的流量

用ip access-list extended指令创造一个已命名的IP ACL

R3(config)#ip access-list extended out-in

R3(config-ext-nacl)# deny ip any any

R3(config-ext-nacl)# exit

 

在s0/0/0应用ACl

R3(config)#int s 0/0/0

R3(config-if)# ip access-group out-in in

确保进入s0/0/1接口的流量被阻隔

在PC-C命令提示符ping PC-A服务器。ICMP回送响应会被ACL阻隔

 

 

创建一个CBAC检测规则

第一步  创建一个检测规则来检测ICMP,Telnet,和HTTP流量。

R3(config)# ip inspect name IN-OUT-IN icmp

R3(config)# ip inspect name IN-OUT-IN telnet

R3(config)# ip inspect name IN-OUT-IN http

 

第二步   开启时间戳记记录和CBAC审计跟踪信息。

R3(config)# ip inspect audit-trail

R3(config)# service timestamps debug datetime msec

R3(config)# logging host 192.168.112.3

 

第三步    对在s0/0/0的出口流量用检测规则。

R3(config-if)# ip inspect IN-OUT-IN out

 

第四步   验证审计跟踪信息正被syslog服务器记录

在PC-C 成功ping、telnet访问PC-A来检测连通性。需要注意Telnet不了。

 

 

 

 

 

 
   

 


在PC-A,ping,Telnet PC-C来检测连通性,这两步都被阻隔掉

CBAC基于上下文的访问控制配置完成。

 

 

 

基于区域策略的防火墙

拓扑图

地址表与预配置和上个实验(基于上下文的访问控制)完全一致,参照上面配置即可。

 

验证基本网络连通性

PC-A ping通PC-C

 

 

 

 

PC-C telnet到s0/0/0接口

 

 

 

在R3创建区域防火墙

 

第一步   创建一个内部区域。

R3(config)# zone security IN-ZONE

 

第二步 创建外部区域

R3(config-sec-zone)# zone security OUT-ZONE

R3(config-sec-zone)# exit

 

定义一个流量级别和访问列表

 

第一步   创建一个用来定义内部流量的ACL

R3(config)# access-list 101 permit ip 172.16.112.0 0.0.0.255 any

 

 

 

 

第二步 创建一个涉及内部流量ACL的class map

R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)# match access-group 101

R3(config-cmap)# exit

 

 

 

指定防火墙策略

第一步 创建一个策略图来确定对匹配的流量干啥。

R3(config)# policy-map type inspect IN-2-OUT-PMAP

 

第二步 定义一个检测级别类型和参考策略图。

R3(config-pmap)# class type inspect IN-NET-CLASS-MAP

 

第三步  定义检测策略图

Inspect这个指令调用基于上下文的访问控制(其他还有通过和丢弃)

 

 

应用防火墙策略

第一步 创建一对区域

R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

 

第二步 定义策略图来控制两个区域的流量。

R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R3(config-sec-zone-pair)# exit

 

第三步 把端口调用到合适的安全区域。

R3(config)# interface fa0/0

R3(config-if)# zone-member security IN-ZONE

R3(config-if)# exit

 

R3(config)# interface s0/0/0

R3(config-if)# zone-member security OUT-ZONE

R3(config-if)# exit

 

 

 

 

 

 

测试从IN-ZONE到OUT-ZONE的防火墙功能

 

第一步 PC_C ping PC-A服务器

第二步 从PC-Ctelnet到R2 的s0/0/1口

 

PC-C打开网页登到PC-A的服务器

 

 

测试外部区域到内部区域的防火墙功能

验证配置ZPF之后外部无法访问内部。

第一步 PC-A ping PC-C(ping 不通)

第二步 R2 ping PC-C也ping不通

 

到此基于区域策略的防火墙配置验证完成。

总结

自反ACL(reflexive ACL),它允许内部安全网络上的计算机主动访问非安全区域的出站数据包的目的地返回的应答流量回到该出站数据包的源地址。这样,ACL就能基于一种访问的状态来过滤外部回到企业内部的流量,可以更加严格地控制哪些流量能进入企业的内部网络(安全网络),并且提升了扩展访问列表的实战应用能力。比如,企业网络管理员希望企业内部的用户能访问Internet,但是不希望Internet上的主机主动访问企业内部网络时,自反ACL将是一种理想的选择。自反ACL(reflexive ACL),它允许内部安全网络上的计算机主动访问非安全区域的出站数据包的目的地返回的应答流量回到该出站数据包的源地址。这样,ACL就能基于一种访问的状态来过滤外部回到企业内部的流量,可以更加严格地控制哪些流量能进入企业的内部网络(安全网络),并且提升了扩展访问列表的实战应用能力。比如,企业网络管理员希望企业内部的用户能访问Internet,但是不希望Internet上的主机主动访问企业内部网络时,自反ACL将是一种理想的选择。

基于时间的 ACL 功能类似于扩展 ACL,但它允许根据时间执行访问控制。要使用基于时间的 ACL,需要创建一个时间范围,指定一周和一天内的时段。您可以为时间范围命名,然后对相应功能应用此范围。时间限制会应用到该功能本身

  实验并不好做。做了好几天。在不断改进后验证成功后也收获了很多,更加深了对教材的理解。

 

 

 

数据业务信息化应用

 

防火墙作业

 

 

 

 

 

         专业:通信工程     

         班级:16级通信3班

姓名:     李剑   

学号: 201610110112

序号:     38      

          指导老师:武金龙   

 

 

 

日期: 2019年4月

防火墙技术评分标准

评分标准及要求: 

序号

基本要求

具体要求

分值

自评得分

小组评分

作业评分

1

1、地址合规性检查,每位同学只能使用自己的IP地址;如不符合要求,此次作业为0分;
2、文档命名为:第X组_班级_学号最后3位_作业名;
3、作业抄袭问题
4、地址规划表

合规

0

 

 

 

不合规

-100

 

 

 

命名正确

5

5 

5 

 

抄袭

-100

 

 

 

列出地址规划表

5

5 

5 

 

2

访问控制列表

Established(图、文)

5

4 

4 

 

自反ACL(图、文)

5

4 

4

 

动态ACL(图、文)

5

4

4

 

基于时间的ACL(图、文)

5

5 

5 

 

3

基于上下文的访问控制

配置步骤,描述

10

8 

8 

 

验证截图,文字表述

10

 8

8 

 

4

区域策略防火墙

配置步骤,说明

10

 10

10 

 

验证截图,文字表述

10

 10

 10

 

5

总结,对各种防火墙技术进行对比,写出适用范围,优缺点;
写对知识点的总结,遇到的问题,解决的方法等。

不少于50字

5

 5

 5

 

各技术的对比

5

 5

 5

 

6

排版(字体:宋体;字号:5号;首行缩进;行距:固定值,20磅)

字体、字号正确

5

 5

 5

 

首行缩进,行距正确

5

 5

 5

 

7

在完成提交自己的作业后,先进行自评,然后看其他同学的作品并给出评价。

有自评

5

 5

 5

 

有小组互评

5

 5

 5

 

8

总评成绩

 

 

 93

93 

 

 

 

 

1、图片前有文字说明,写明要表达的意思;

 

 

2、最后需要加总结,写对知识点的总结,遇到的问题,解决的方法等。

 

 

3、标题处写明第几组;

 

 

4、PC端地址采用自动配置;

 

 

5、写出地址规划表

 
                 

 

 

 

 

 

自反ACL实验配置

拓扑图

 

R4为外网,R2和R3为内网。

地址表

Device

Interface

IP address

R1

F 0/0

10.112.1.1

F 0/1

14.112.2.1

R2

F 0/0

10.112.1.2

R3

F 0/0

10.112.1.3

R4

F 0/0

14.112.2.4

静态路由基础配置

R1(config)#int f0/0

R1(config-if)#ip address 10.112.1.1 255.255.255.0

R1(config-if)#no shutdown

R1(config)#int f0/1

R1(config-if)#ip address 14.112.2.1 255.255.255.0

R1(config-if)#no shutdown

 

R4(config)#ip route 10.112.1.0 255.255.255.0 14.112.2.1

R3(config)#ip route 14.112.2.0 255.255.255.0 10.112.1.1

R2(config)#ip route 14.112.2.0 255.255.255.0 10.112.1.1

R2pingR4

 

R1pingR4

R4pingR2

 

实现互通

 

标准acl

R4(config)#access-list 1 deny 10.112.1.2  0.0.0.0

R4(config)#int f0/1

R4(config-if)#ip access-group 1 in

R4(config-if)#end

 

 

可以看到,R2pingR4失败

自反acl

说明:R4为外网,R2和R3为内网。

R1(config)#ip access-list extended come

R1(config-ext-nacl)#permit icmp any any

R1(config-ext-nacl)#evaluate abc

R1(config)#int f0/1

R1(config-if)#ip access-group come in

 

说明ICMP是可以任意访问的

 

R1(config)#ip access-list extended goto

R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60

R1(config-ext-nacl)#permit ip any any

R1(config)#int f0/1

R1(config-if)#ip access-group goto out

R2telent

 

动态acl

R1(config)#access-list 100 permit tcp an an eq telnet

R1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

R1(config)#int f0/0

R1(config-if)#ip access-group 100 in

测试内网R2 telnet外网R4

 

配置本地用户数据库

R1(config)#username ccie password yrzzs

R1(config)#line vty 0 181

R1(config-line)#login local

R1(config-line)#autocommand access-enable

R1#show ip access-lists

Extended IP access list 100

    10 permit tcp any any eq telnet (84 matches)

    20 Dynamic ccie permit icmp any any

Reflexive IP access list abc

Extended IP access list come

    10 permit icmp any any (35 matches)

    20 evaluate abc

Extended IP access list goto

    10 permit tcp any any eq telnet reflect abc (23 matches)

20 permit ip any any (15 matches)

基于时间的acl

R1(config)#time-range  TELNET

R1(config-time-range)#periodic weekdays 9:00 to 14:00

R1(config)#access-list 150 deny tcp host 10.112.1.2 any eq 23 time

    R1(config)#$ 150 deny tcp host 10.112.1.2 any eq 23 time-range TELNET

R1(config)#access-list 150 permit ip any any

R1(config)#int f0/0

R1(config-if)#ip access-group 150 in

 

修改路由器时间

Clock set

R1#clock set 15:00:58 nov 12 2019


 

 

Established扩展ACL

拓扑图

 

地址表

Device

Interface

IP address

R1

F 0/0

172.16.112.1

F 0/1

10.3.112.1

S 0/1/0

10.1.112.1

R2

S 0/1/0

10.1.112.2

S 0/1/1

10.2.112.2

R3

F 0/0

192.168.112.3

S 0/1/0

10.2.112.3

PC1

NIC

172.16.112.100

Default Gateway

172.16.112.1

PC2

NIC

10.3.112.100

Default Gateway

10.3.112.1

SERVER1

NIC

192.168.112.100

Default Gateway

192.168.112.3

配置扩展ACL前先把网络做通,配置静态路由。

R1(config)#ip route 10.2.112.0 255.255.255.0 10.1.112.2

R1(config)#ip route 192.168.112.0 255.255.255.0 10.1.112.2

 

R2(config)#ip route 172.16.112.0 255.255.255.0 10.1.112.1

R2(config)#ip route 10.3.112.0 255.255.255.0 10.1.112.1

R2(config)#ip route 192.168.112.0 255.255.255.0 10.2.112.3

 

R3(config)#ip route 10.1.112.0 255.255.255.0 10.2.112.2

R3(config)#ip route 172.16.112.0 255.255.255.0 10.2.112.2

R3(config)#ip route 10.3.112.0 255.255.255.0 10.2.112.2

R1#sh ip route 查看路由表

 

 

试从PC1 ping 到Server1

 

静态路由配置完成,开始做扩展ACL实验。

实验步骤

要求:

拒绝PC1 所在网段访问Server 192.168.112.100 的Web 服务

拒绝PC2 所在网段访问Server 192.168.112.100 的Ftp 服务

拒绝PC1 所在网段访问Server 192.168.112.100 的SQL 服务

拒绝PC1 所在网段访问路由器R3 的Telnet 服务

拒绝PC2 所在网段访问路由器R2 的Web 服务

拒绝PC1 和PC2 所在网段ping Server 服务器

只允许路由器R3 以接口s0/1/0 为源ping 路由器R2 的接口s0/1/1 地址,而不允许路

由器R2 以接口s0/1/1 为源ping 路由器R3 的接口s0/1/0 地址,即单向ping.

(一)配置路由器

R1(config)#access-list 110 remark this is an example for extended acl

R1(config)#access-list 110 deny tcp 172.16.112.0 0.0.0.255 host 192.168.112.100 eq 80

R1(config)#access-list 110 deny tcp 10.3.112.0 0.0.0.255 host 192.168.112.100 eq 21

R1(config)#access-list 110 deny tcp 10.3.112.0 0.0.0.255 host 192.168.112.100 eq 20

R1(config)#access-list 110 deny tcp 172.16.112.0 0.0.0.255 host 192.168.112.100 eq 1433

R1(config)#access-list 110 deny tcp 172.16.112.0 0.0.0.255 host 10.2.112.3 eq 23

R1(config)#access-list 110 deny tcp 172.16.112.0 0.0.0.255 host 192.168.112.3 eq 23

R1(config)#access-list 110 deny tcp 10.3.112.0 0.0.0.255 host 10.1.112.2 eq 80

R1(config)#access-list 110 deny tcp 10.3.112.0 0.0.0.255 host 10.2.112.2 eq 80

 

R1(config)#access-list 110 deny icmp 172.16.112.0 0.0.0.255 host 192.168.112.100

R1(config)#access-list 110 deny icmp 10.3.112.0 0.0.0.255 host 192.168.112.100

R1(config)#access-list 110 permit ip any any

R1(config)#int s0/1/0

R1(config-if)#ip access-group 110 out

 

(二)配置路由器R3

R3(config)#access-list 120 deny icmp host 10.2.112.2 host 10.2.112.3 echo

R3(config)#access-list 120 permit ip any any

R3(config)#int s0/1/0

R3(config-if)#ip access-group 120 in

四、实验调试

(一)路由器R1 上查看ACL110

R1#show ip access-lists 110

 

(二)路由器R3 和路由器R2 互相ping

 

 

(三)路由器R3 查看ACL 120

R3#show ip access-lists 120

 

 

(四)配置命令扩展ACL

R3(config)#ip access-list extended acl120

R3(config-ext-nacl)#deny icmp host 10.2.112.2 host 10.2.112.3 echo

R3(config-ext-nacl)#permit ip any any

R3(config-ext-nacl)#int s0/1/0

R3(config-if)#ip access-group acl120 in

R3#show ip access-lists

 

扩展ACL实验配置完成,验证成功

 

基于上下文的访问控制

拓扑图

 

地址表

Device

Interface

IP address

R1

F 0/0

192.168.112.1

S 0/0/0

10.1.112.1

R2

S 0/0/0

10.1.112.2

S 0/0/1

10.2.112.2

R3

F 0/0

172.16.112.3

S 0/0/0

10.2.112.3

PC-A

NIC

192.168.112.4

Default Gateway

192.168.112.1

PC-C

NIC

172.16.112.4

Default Gateway

172.16.112.3

预配置:

在配置防火墙之前验证设备间连通性,即先配置静态路由

R1(config)#ip route 10.2.112.0 255.255.255.0 10.1.112.2

R1(config)#ip route 172.16.112.0 255.255.255.0 10.1.112.2

 

R2(config)#ip route 192.168.112.0 255.255.255.0 10.1.112.1

R2(config)#ip route 172.16.112.0 255.255.255.0 10.2.112.3

 

R3(config)#ip route 10.1.112.0 255.255.255.0 10.2.112.2

R3(config)#ip route 192.168.112.0 255.255.255.0 10.2.112.2

 

在R3启用密码

R3(config)#enable password abc123

启用console口密码

R3(config)#line console 0

R3(config-line)#password abd123

 

 

启用vty行接入密码

R3(config)#line vty 0 4

R3(config-line)#password abe123

 

把S1、S2所有交换机接口都在Vlan1(S2同理)

S1(config)#int f 0/1

S1(config-if)# switchport access vlan 1

S1(config-if)# switchport trunk allowed vlan 1

S1(config)#int f 0/2

S1(config-if)# switchport access vlan 1

S1(config-if)# switchport trunk allowed vlan 1

预配置完成

验证

在PC-C的命令提示符中ping PC-A服务器

 

在PC-C命令提示符中telnet路由R2的s0/0/1接口:地址时10.2.112.2.退出telnet阶段

 

 

 

 

 

在PC-C开一个网页浏览器登入PC-A来展示网页。关掉PC-C的浏览器。

 


在PC-A的命令提示符ping PC-C

 

在R3配置一个命名IP ACl阻隔所有外网产生的流量

用ip access-list extended指令创造一个已命名的IP ACL

R3(config)#ip access-list extended out-in

R3(config-ext-nacl)# deny ip any any

R3(config-ext-nacl)# exit

 

在s0/0/0应用ACl

R3(config)#int s 0/0/0

R3(config-if)# ip access-group out-in in

确保进入s0/0/1接口的流量被阻隔

在PC-C命令提示符ping PC-A服务器。ICMP回送响应会被ACL阻隔

 

 

创建一个CBAC检测规则

第一步  创建一个检测规则来检测ICMP,Telnet,和HTTP流量。

R3(config)# ip inspect name IN-OUT-IN icmp

R3(config)# ip inspect name IN-OUT-IN telnet

R3(config)# ip inspect name IN-OUT-IN http

 

第二步   开启时间戳记记录和CBAC审计跟踪信息。

R3(config)# ip inspect audit-trail

R3(config)# service timestamps debug datetime msec

R3(config)# logging host 192.168.112.3

 

第三步    对在s0/0/0的出口流量用检测规则。

R3(config-if)# ip inspect IN-OUT-IN out

 

第四步   验证审计跟踪信息正被syslog服务器记录

在PC-C 成功ping、telnet访问PC-A来检测连通性。需要注意Telnet不了。

 

 

 

 

 

 
   

 


在PC-A,ping,Telnet PC-C来检测连通性,这两步都被阻隔掉

CBAC基于上下文的访问控制配置完成。

 

 

 

基于区域策略的防火墙

拓扑图

地址表与预配置和上个实验(基于上下文的访问控制)完全一致,参照上面配置即可。

 

验证基本网络连通性

PC-A ping通PC-C

 

 

 

 

PC-C telnet到s0/0/0接口

 

 

 

在R3创建区域防火墙

 

第一步   创建一个内部区域。

R3(config)# zone security IN-ZONE

 

第二步 创建外部区域

R3(config-sec-zone)# zone security OUT-ZONE

R3(config-sec-zone)# exit

 

定义一个流量级别和访问列表

 

第一步   创建一个用来定义内部流量的ACL

R3(config)# access-list 101 permit ip 172.16.112.0 0.0.0.255 any

 

 

 

 

第二步 创建一个涉及内部流量ACL的class map

R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)# match access-group 101

R3(config-cmap)# exit

 

 

 

指定防火墙策略

第一步 创建一个策略图来确定对匹配的流量干啥。

R3(config)# policy-map type inspect IN-2-OUT-PMAP

 

第二步 定义一个检测级别类型和参考策略图。

R3(config-pmap)# class type inspect IN-NET-CLASS-MAP

 

第三步  定义检测策略图

Inspect这个指令调用基于上下文的访问控制(其他还有通过和丢弃)

 

 

应用防火墙策略

第一步 创建一对区域

R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

 

第二步 定义策略图来控制两个区域的流量。

R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R3(config-sec-zone-pair)# exit

 

第三步 把端口调用到合适的安全区域。

R3(config)# interface fa0/0

R3(config-if)# zone-member security IN-ZONE

R3(config-if)# exit

 

R3(config)# interface s0/0/0

R3(config-if)# zone-member security OUT-ZONE

R3(config-if)# exit

 

 

 

 

 

 

测试从IN-ZONE到OUT-ZONE的防火墙功能

 

第一步 PC_C ping PC-A服务器

第二步 从PC-Ctelnet到R2 的s0/0/1口

 

PC-C打开网页登到PC-A的服务器

 

 

测试外部区域到内部区域的防火墙功能

验证配置ZPF之后外部无法访问内部。

第一步 PC-A ping PC-C(ping 不通)

第二步 R2 ping PC-C也ping不通

 

到此基于区域策略的防火墙配置验证完成。

总结

自反ACL(reflexive ACL),它允许内部安全网络上的计算机主动访问非安全区域的出站数据包的目的地返回的应答流量回到该出站数据包的源地址。这样,ACL就能基于一种访问的状态来过滤外部回到企业内部的流量,可以更加严格地控制哪些流量能进入企业的内部网络(安全网络),并且提升了扩展访问列表的实战应用能力。比如,企业网络管理员希望企业内部的用户能访问Internet,但是不希望Internet上的主机主动访问企业内部网络时,自反ACL将是一种理想的选择。自反ACL(reflexive ACL),它允许内部安全网络上的计算机主动访问非安全区域的出站数据包的目的地返回的应答流量回到该出站数据包的源地址。这样,ACL就能基于一种访问的状态来过滤外部回到企业内部的流量,可以更加严格地控制哪些流量能进入企业的内部网络(安全网络),并且提升了扩展访问列表的实战应用能力。比如,企业网络管理员希望企业内部的用户能访问Internet,但是不希望Internet上的主机主动访问企业内部网络时,自反ACL将是一种理想的选择。

基于时间的 ACL 功能类似于扩展 ACL,但它允许根据时间执行访问控制。要使用基于时间的 ACL,需要创建一个时间范围,指定一周和一天内的时段。您可以为时间范围命名,然后对相应功能应用此范围。时间限制会应用到该功能本身

  实验并不好做。做了好几天。在不断改进后验证成功后也收获了很多,更加深了对教材的理解。

 

 

 

数据业务信息化应用

 

防火墙作业

 

 

 

 

 

         专业:通信工程     

         班级:16级通信3班

姓名:     李剑   

学号: 201610110112

序号:     38      

          指导老师:武金龙   

 

 

 

日期: 2019年4月

防火墙技术评分标准

评分标准及要求: 

序号

基本要求

具体要求

分值

自评得分

小组评分

作业评分

1

1、地址合规性检查,每位同学只能使用自己的IP地址;如不符合要求,此次作业为0分;
2、文档命名为:第X组_班级_学号最后3位_作业名;
3、作业抄袭问题
4、地址规划表

合规

0

 

 

 

不合规

-100

 

 

 

命名正确

5

5 

5 

 

抄袭

-100

 

 

 

列出地址规划表

5

5 

5 

 

2

访问控制列表

Established(图、文)

5

4 

4 

 

自反ACL(图、文)

5

4 

4

 

动态ACL(图、文)

5

4

4

 

基于时间的ACL(图、文)

5

5 

5 

 

3

基于上下文的访问控制

配置步骤,描述

10

8 

8 

 

验证截图,文字表述

10

 8

8 

 

4

区域策略防火墙

配置步骤,说明

10

 10

10 

 

验证截图,文字表述

10

 10

 10

 

5

总结,对各种防火墙技术进行对比,写出适用范围,优缺点;
写对知识点的总结,遇到的问题,解决的方法等。

不少于50字

5

 5

 5

 

各技术的对比

5

 5

 5

 

6

排版(字体:宋体;字号:5号;首行缩进;行距:固定值,20磅)

字体、字号正确

5

 5

 5

 

首行缩进,行距正确

5

 5

 5

 

7

在完成提交自己的作业后,先进行自评,然后看其他同学的作品并给出评价。

有自评

5

 5

 5

 

有小组互评

5

 5

 5

 

8

总评成绩

 

 

 93

93 

 

 

 

 

1、图片前有文字说明,写明要表达的意思;

 

 

2、最后需要加总结,写对知识点的总结,遇到的问题,解决的方法等。

 

 

3、标题处写明第几组;

 

 

4、PC端地址采用自动配置;

 

 

5、写出地址规划表

 
                 

 

 

 

 

 

自反ACL实验配置

拓扑图

 

R4为外网,R2和R3为内网。

地址表

Device

Interface

IP address

R1

F 0/0

10.112.1.1

F 0/1

14.112.2.1

R2

F 0/0

10.112.1.2

R3

F 0/0

10.112.1.3

R4

F 0/0

14.112.2.4

静态路由基础配置

R1(config)#int f0/0

R1(config-if)#ip address 10.112.1.1 255.255.255.0

R1(config-if)#no shutdown

R1(config)#int f0/1

R1(config-if)#ip address 14.112.2.1 255.255.255.0

R1(config-if)#no shutdown

 

R4(config)#ip route 10.112.1.0 255.255.255.0 14.112.2.1

R3(config)#ip route 14.112.2.0 255.255.255.0 10.112.1.1

R2(config)#ip route 14.112.2.0 255.255.255.0 10.112.1.1

R2pingR4

 

R1pingR4

R4pingR2

 

实现互通

 

标准acl

R4(config)#access-list 1 deny 10.112.1.2  0.0.0.0

R4(config)#int f0/1

R4(config-if)#ip access-group 1 in

R4(config-if)#end

 

 

可以看到,R2pingR4失败

自反acl

说明:R4为外网,R2和R3为内网。

R1(config)#ip access-list extended come

R1(config-ext-nacl)#permit icmp any any

R1(config-ext-nacl)#evaluate abc

R1(config)#int f0/1

R1(config-if)#ip access-group come in

 

说明ICMP是可以任意访问的

 

R1(config)#ip access-list extended goto

R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60

R1(config-ext-nacl)#permit ip any any

R1(config)#int f0/1

R1(config-if)#ip access-group goto out

R2telent

 

动态acl

R1(config)#access-list 100 permit tcp an an eq telnet

R1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

R1(config)#int f0/0

R1(config-if)#ip access-group 100 in

测试内网R2 telnet外网R4

 

配置本地用户数据库

R1(config)#username ccie password yrzzs

R1(config)#line vty 0 181

R1(config-line)#login local

R1(config-line)#autocommand access-enable

R1#show ip access-lists

Extended IP access list 100

    10 permit tcp any any eq telnet (84 matches)

    20 Dynamic ccie permit icmp any any

Reflexive IP access list abc

Extended IP access list come

    10 permit icmp any any (35 matches)

    20 evaluate abc

Extended IP access list goto

    10 permit tcp any any eq telnet reflect abc (23 matches)

20 permit ip any any (15 matches)

基于时间的acl

R1(config)#time-range  TELNET

R1(config-time-range)#periodic weekdays 9:00 to 14:00

R1(config)#access-list 150 deny tcp host 10.112.1.2 any eq 23 time

    R1(config)#$ 150 deny tcp host 10.112.1.2 any eq 23 time-range TELNET

R1(config)#access-list 150 permit ip any any

R1(config)#int f0/0

R1(config-if)#ip access-group 150 in

 

修改路由器时间

Clock set

R1#clock set 15:00:58 nov 12 2019


 

 

Established扩展ACL

拓扑图

 

地址表

Device

Interface

IP address

R1

F 0/0

172.16.112.1

F 0/1

10.3.112.1

S 0/1/0

10.1.112.1

R2

S 0/1/0

10.1.112.2

S 0/1/1

10.2.112.2

R3

F 0/0

192.168.112.3

S 0/1/0

10.2.112.3

PC1

NIC

172.16.112.100

Default Gateway

172.16.112.1

PC2

NIC

10.3.112.100

Default Gateway

10.3.112.1

SERVER1

NIC

192.168.112.100

Default Gateway

192.168.112.3

配置扩展ACL前先把网络做通,配置静态路由。

R1(config)#ip route 10.2.112.0 255.255.255.0 10.1.112.2

R1(config)#ip route 192.168.112.0 255.255.255.0 10.1.112.2

 

R2(config)#ip route 172.16.112.0 255.255.255.0 10.1.112.1

R2(config)#ip route 10.3.112.0 255.255.255.0 10.1.112.1

R2(config)#ip route 192.168.112.0 255.255.255.0 10.2.112.3

 

R3(config)#ip route 10.1.112.0 255.255.255.0 10.2.112.2

R3(config)#ip route 172.16.112.0 255.255.255.0 10.2.112.2

R3(config)#ip route 10.3.112.0 255.255.255.0 10.2.112.2

R1#sh ip route 查看路由表

 

 

试从PC1 ping 到Server1

 

静态路由配置完成,开始做扩展ACL实验。

实验步骤

要求:

拒绝PC1 所在网段访问Server 192.168.112.100 的Web 服务

拒绝PC2 所在网段访问Server 192.168.112.100 的Ftp 服务

拒绝PC1 所在网段访问Server 192.168.112.100 的SQL 服务

拒绝PC1 所在网段访问路由器R3 的Telnet 服务

拒绝PC2 所在网段访问路由器R2 的Web 服务

拒绝PC1 和PC2 所在网段ping Server 服务器

只允许路由器R3 以接口s0/1/0 为源ping 路由器R2 的接口s0/1/1 地址,而不允许路

由器R2 以接口s0/1/1 为源ping 路由器R3 的接口s0/1/0 地址,即单向ping.

(一)配置路由器

R1(config)#access-list 110 remark this is an example for extended acl

R1(config)#access-list 110 deny tcp 172.16.112.0 0.0.0.255 host 192.168.112.100 eq 80

R1(config)#access-list 110 deny tcp 10.3.112.0 0.0.0.255 host 192.168.112.100 eq 21

R1(config)#access-list 110 deny tcp 10.3.112.0 0.0.0.255 host 192.168.112.100 eq 20

R1(config)#access-list 110 deny tcp 172.16.112.0 0.0.0.255 host 192.168.112.100 eq 1433

R1(config)#access-list 110 deny tcp 172.16.112.0 0.0.0.255 host 10.2.112.3 eq 23

R1(config)#access-list 110 deny tcp 172.16.112.0 0.0.0.255 host 192.168.112.3 eq 23

R1(config)#access-list 110 deny tcp 10.3.112.0 0.0.0.255 host 10.1.112.2 eq 80

R1(config)#access-list 110 deny tcp 10.3.112.0 0.0.0.255 host 10.2.112.2 eq 80

 

R1(config)#access-list 110 deny icmp 172.16.112.0 0.0.0.255 host 192.168.112.100

R1(config)#access-list 110 deny icmp 10.3.112.0 0.0.0.255 host 192.168.112.100

R1(config)#access-list 110 permit ip any any

R1(config)#int s0/1/0

R1(config-if)#ip access-group 110 out

 

(二)配置路由器R3

R3(config)#access-list 120 deny icmp host 10.2.112.2 host 10.2.112.3 echo

R3(config)#access-list 120 permit ip any any

R3(config)#int s0/1/0

R3(config-if)#ip access-group 120 in

四、实验调试

(一)路由器R1 上查看ACL110

R1#show ip access-lists 110

 

(二)路由器R3 和路由器R2 互相ping

 

 

(三)路由器R3 查看ACL 120

R3#show ip access-lists 120

 

 

(四)配置命令扩展ACL

R3(config)#ip access-list extended acl120

R3(config-ext-nacl)#deny icmp host 10.2.112.2 host 10.2.112.3 echo

R3(config-ext-nacl)#permit ip any any

R3(config-ext-nacl)#int s0/1/0

R3(config-if)#ip access-group acl120 in

R3#show ip access-lists

 

扩展ACL实验配置完成,验证成功

 

基于上下文的访问控制

拓扑图

 

地址表

Device

Interface

IP address

R1

F 0/0

192.168.112.1

S 0/0/0

10.1.112.1

R2

S 0/0/0

10.1.112.2

S 0/0/1

10.2.112.2

R3

F 0/0

172.16.112.3

S 0/0/0

10.2.112.3

PC-A

NIC

192.168.112.4

Default Gateway

192.168.112.1

PC-C

NIC

172.16.112.4

Default Gateway

172.16.112.3

预配置:

在配置防火墙之前验证设备间连通性,即先配置静态路由

R1(config)#ip route 10.2.112.0 255.255.255.0 10.1.112.2

R1(config)#ip route 172.16.112.0 255.255.255.0 10.1.112.2

 

R2(config)#ip route 192.168.112.0 255.255.255.0 10.1.112.1

R2(config)#ip route 172.16.112.0 255.255.255.0 10.2.112.3

 

R3(config)#ip route 10.1.112.0 255.255.255.0 10.2.112.2

R3(config)#ip route 192.168.112.0 255.255.255.0 10.2.112.2

 

在R3启用密码

R3(config)#enable password abc123

启用console口密码

R3(config)#line console 0

R3(config-line)#password abd123

 

 

启用vty行接入密码

R3(config)#line vty 0 4

R3(config-line)#password abe123

 

把S1、S2所有交换机接口都在Vlan1(S2同理)

S1(config)#int f 0/1

S1(config-if)# switchport access vlan 1

S1(config-if)# switchport trunk allowed vlan 1

S1(config)#int f 0/2

S1(config-if)# switchport access vlan 1

S1(config-if)# switchport trunk allowed vlan 1

预配置完成

验证

在PC-C的命令提示符中ping PC-A服务器

 

在PC-C命令提示符中telnet路由R2的s0/0/1接口:地址时10.2.112.2.退出telnet阶段

 

 

 

 

 

在PC-C开一个网页浏览器登入PC-A来展示网页。关掉PC-C的浏览器。

 


在PC-A的命令提示符ping PC-C

 

在R3配置一个命名IP ACl阻隔所有外网产生的流量

用ip access-list extended指令创造一个已命名的IP ACL

R3(config)#ip access-list extended out-in

R3(config-ext-nacl)# deny ip any any

R3(config-ext-nacl)# exit

 

在s0/0/0应用ACl

R3(config)#int s 0/0/0

R3(config-if)# ip access-group out-in in

确保进入s0/0/1接口的流量被阻隔

在PC-C命令提示符ping PC-A服务器。ICMP回送响应会被ACL阻隔

 

 

创建一个CBAC检测规则

第一步  创建一个检测规则来检测ICMP,Telnet,和HTTP流量。

R3(config)# ip inspect name IN-OUT-IN icmp

R3(config)# ip inspect name IN-OUT-IN telnet

R3(config)# ip inspect name IN-OUT-IN http

 

第二步   开启时间戳记记录和CBAC审计跟踪信息。

R3(config)# ip inspect audit-trail

R3(config)# service timestamps debug datetime msec

R3(config)# logging host 192.168.112.3

 

第三步    对在s0/0/0的出口流量用检测规则。

R3(config-if)# ip inspect IN-OUT-IN out

 

第四步   验证审计跟踪信息正被syslog服务器记录

在PC-C 成功ping、telnet访问PC-A来检测连通性。需要注意Telnet不了。

 

 

 

 

 

 
   

 


在PC-A,ping,Telnet PC-C来检测连通性,这两步都被阻隔掉

CBAC基于上下文的访问控制配置完成。

 

 

 

基于区域策略的防火墙

拓扑图

地址表与预配置和上个实验(基于上下文的访问控制)完全一致,参照上面配置即可。

 

验证基本网络连通性

PC-A ping通PC-C

 

 

 

 

PC-C telnet到s0/0/0接口

 

 

 

在R3创建区域防火墙

 

第一步   创建一个内部区域。

R3(config)# zone security IN-ZONE

 

第二步 创建外部区域

R3(config-sec-zone)# zone security OUT-ZONE

R3(config-sec-zone)# exit

 

定义一个流量级别和访问列表

 

第一步   创建一个用来定义内部流量的ACL

R3(config)# access-list 101 permit ip 172.16.112.0 0.0.0.255 any

 

 

 

 

第二步 创建一个涉及内部流量ACL的class map

R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)# match access-group 101

R3(config-cmap)# exit

 

 

 

指定防火墙策略

第一步 创建一个策略图来确定对匹配的流量干啥。

R3(config)# policy-map type inspect IN-2-OUT-PMAP

 

第二步 定义一个检测级别类型和参考策略图。

R3(config-pmap)# class type inspect IN-NET-CLASS-MAP

 

第三步  定义检测策略图

Inspect这个指令调用基于上下文的访问控制(其他还有通过和丢弃)

 

 

应用防火墙策略

第一步 创建一对区域

R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

 

第二步 定义策略图来控制两个区域的流量。

R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R3(config-sec-zone-pair)# exit

 

第三步 把端口调用到合适的安全区域。

R3(config)# interface fa0/0

R3(config-if)# zone-member security IN-ZONE

R3(config-if)# exit

 

R3(config)# interface s0/0/0

R3(config-if)# zone-member security OUT-ZONE

R3(config-if)# exit

 

 

 

 

 

 

测试从IN-ZONE到OUT-ZONE的防火墙功能

 

第一步 PC_C ping PC-A服务器

第二步 从PC-Ctelnet到R2 的s0/0/1口

 

PC-C打开网页登到PC-A的服务器

 

 

测试外部区域到内部区域的防火墙功能

验证配置ZPF之后外部无法访问内部。

第一步 PC-A ping PC-C(ping 不通)

第二步 R2 ping PC-C也ping不通

 

到此基于区域策略的防火墙配置验证完成。

总结

自反ACL(reflexive ACL),它允许内部安全网络上的计算机主动访问非安全区域的出站数据包的目的地返回的应答流量回到该出站数据包的源地址。这样,ACL就能基于一种访问的状态来过滤外部回到企业内部的流量,可以更加严格地控制哪些流量能进入企业的内部网络(安全网络),并且提升了扩展访问列表的实战应用能力。比如,企业网络管理员希望企业内部的用户能访问Internet,但是不希望Internet上的主机主动访问企业内部网络时,自反ACL将是一种理想的选择。自反ACL(reflexive ACL),它允许内部安全网络上的计算机主动访问非安全区域的出站数据包的目的地返回的应答流量回到该出站数据包的源地址。这样,ACL就能基于一种访问的状态来过滤外部回到企业内部的流量,可以更加严格地控制哪些流量能进入企业的内部网络(安全网络),并且提升了扩展访问列表的实战应用能力。比如,企业网络管理员希望企业内部的用户能访问Internet,但是不希望Internet上的主机主动访问企业内部网络时,自反ACL将是一种理想的选择。

基于时间的 ACL 功能类似于扩展 ACL,但它允许根据时间执行访问控制。要使用基于时间的 ACL,需要创建一个时间范围,指定一周和一天内的时段。您可以为时间范围命名,然后对相应功能应用此范围。时间限制会应用到该功能本身

  实验并不好做。做了好几天。在不断改进后验证成功后也收获了很多,更加深了对教材的理解。

 

 

到此基于区域策略的防火墙配置验证完成。

总结

自反ACL(reflexive ACL),它允许内部安全网络上的计算机主动访问非安全区域的出站数据包的目的地返回的应答流量回到该出站数据包的源地址。这样,ACL就能基于一种访问的状态来过滤外部回到企业内部的流量,可以更加严格地控制哪些流量能进入企业的内部网络(安全网络),并且提升了扩展访问列表的实战应用能力。比如,企业网络管理员希望企业内部的用户能访问Internet,但是不希望Internet上的主机主动访问企业内部网络时,自反ACL将是一种理想的选择。自反ACL(reflexive ACL),它允许内部安全网络上的计算机主动访问非安全区域的出站数据包的目的地返回的应答流量回到该出站数据包的源地址。这样,ACL就能基于一种访问的状态来过滤外部回到企业内部的流量,可以更加严格地控制哪些流量能进入企业的内部网络(安全网络),并且提升了扩展访问列表的实战应用能力。比如,企业网络管理员希望企业内部的用户能访问Internet,但是不希望Internet上的主机主动访问企业内部网络时,自反ACL将是一种理想的选择。

基于时间的 ACL 功能类似于扩展 ACL,但它允许根据时间执行访问控制。要使用基于时间的 ACL,需要创建一个时间范围,指定一周和一天内的时段。您可以为时间范围命名,然后对相应功能应用此范围。时间限制会应用到该功能本身

  实验并不好做。做了好几天。在不断改进后验证成功后也收获了很多,更加深了对教材的理解。

 

你可能感兴趣的:(防火墙作业)

  • 2018-07-23-催眠日作业-#不一样的31天#-66小鹿 小鹿_33
    预言日:人总是在逃避命运的路上,与之不期而遇。心理学上有个著名的名词,叫做自证预言;经济学上也有一个很著名的定律叫做,墨菲定律;在灵修派上,还有一个很著名的法则,叫做吸引力法则。这3个领域的词,虽然看起来不太一样,但是他们都在告诉人们一个现象:你越担心什么,就越有可能会发生什么。同样的道理,你越想得到什么,就应该要积极地去创造什么。无论是自证预言,墨菲定律还是吸引力法则,对人都有正反2个维度的影响
  • 我的烦恼 余建梅
    我的烦恼。女儿问我:“你给学生布置什么作文题目?”“《我的烦恼》。”“他们都这么大了,你觉得他们还有烦恼吗?”“有啊!每个人都会有自己烦恼。”“我不相信,大人是没有烦恼的,如果说一定有的话,你的烦恼和我写作业有关,而且是小烦恼。不像我,天天被你说,有这样的妈妈,烦恼是没完没了。”女儿愤愤不平。每个人都会有自己的烦恼,处在上有老下有小的年纪,烦恼多的数不完。想干好工作带好孩子,想孝顺父母又想经营好自
  • 感赏日志133 马姐读书
    图片发自App感赏自己今天买个扫地机,以后可以解放出来多看点书,让这个智能小机器人替我工作了。感赏孩子最近进步很大,每天按时上学,认真听课,认真背书,主动认真完成老师布置的作业。感赏自己明白自己容易受到某人的影响,心情不好,每当此刻我就会舒缓,感赏,让自己尽快抽离,想好的一面。感赏儿子今天在我提醒他事情时,告诉我谢谢妈妈对我的提醒我明白了,而不是说我啰嗦,管事情,孩子更懂事了,懂得感恩了。投射父母
  • DIV+CSS+JavaScript技术制作网页(旅游主题网页设计与制作)云南大理 STU学生网页设计 网页设计期末网页作业html静态网页html5期末大作业网页设计web大作业
    ️精彩专栏推荐作者主页:【进入主页—获取更多源码】web前端期末大作业:【HTML5网页期末作业(1000套)】程序员有趣的告白方式:【HTML七夕情人节表白网页制作(110套)】文章目录二、网站介绍三、网站效果▶️1.视频演示2.图片演示四、网站代码HTML结构代码CSS样式代码五、更多源码二、网站介绍网站布局方面:计划采用目前主流的、能兼容各大主流浏览器、显示效果稳定的浮动网页布局结构。网站程
  • 关于城市旅游的HTML网页设计——(旅游风景云南 5页)HTML+CSS+JavaScript 二挡起步 web前端期末大作业javascripthtmlcss旅游风景
    ⛵源码获取文末联系✈Web前端开发技术描述网页设计题材,DIV+CSS布局制作,HTML+CSS网页设计期末课程大作业|游景点介绍|旅游风景区|家乡介绍|等网站的设计与制作|HTML期末大学生网页设计作业,Web大学生网页HTML:结构CSS:样式在操作方面上运用了html5和css3,采用了div+css结构、表单、超链接、浮动、绝对定位、相对定位、字体样式、引用视频等基础知识JavaScrip
  • HTML网页设计制作大作业(div+css) 云南我的家乡旅游景点 带文字滚动 二挡起步 web前端期末大作业web设计网页规划与设计htmlcssjavascriptdreamweaver前端
    Web前端开发技术描述网页设计题材,DIV+CSS布局制作,HTML+CSS网页设计期末课程大作业游景点介绍|旅游风景区|家乡介绍|等网站的设计与制作HTML期末大学生网页设计作业HTML:结构CSS:样式在操作方面上运用了html5和css3,采用了div+css结构、表单、超链接、浮动、绝对定位、相对定位、字体样式、引用视频等基础知识JavaScript:做与用户的交互行为文章目录前端学习路线
  • 没想到,真没想到 一棵落花的树
    生活中,每一件小事都蕴藏着他的道理。有些令你意外,却能让你收到更为意外的结果。那一次,我真没想到的事,让我收获了爱。记忆的雨飘落下来,扰乱了我平静的心湖。那是一次数学考试,我破天荒地考了“99”分。我不禁沾沾自喜,这成绩我可不容易得到,妈妈一定会好好表扬我的。回到家,我想妈妈得意的报出成绩,妈妈只是淡淡的说:“嗯,等会儿试卷拿给我看看。”做完作业,我把试卷拿给了妈妈。只见妈妈捧着试卷,眯着眼睛盯着
  • 学霸父母学渣娃,这孩子真是亲生的?太扎心了! 东北SK皇家成长中心
    现在的社会,每个家庭基本都把孩子的教育放在第一位,哪怕父母平时上班再苦再累也不敢在孩子的教育上有丝毫的马虎,平时对孩子的照顾真的是无微不至,每天早起送孩子上学,晚上回家辅导孩子写作业,有的父母的文化程度非常高,但是每每到了辅导孩子写作业这个时候,父母们内心都有这样一种想法,这个孩子真的是我亲生的吗?真想一巴掌拍死他,我上辈子是做了什么孽生出这么一个智障的孩子,家里每每就要上演全武行,看看这些孩子到
  • 女儿考研完报考雅思 捡拾流年
    是否我过于焦虑?会不会无形间让女儿觉得压力太大了啊。2022年对于我们家来说是不平常的一年。女儿今年大四,为了准备考研,暑假也没回家,年初去了学校到了年末才回家。女儿自己一个人面对考研,没有参加培训,大四学校作业论文等课业也多,她同时也是很努力复习考研的。在疫情开放很多羊的时期,女儿终于顺顺利利参加12月24、25号的考研,我们和家人都觉得女儿回家来要好好休息调养。可女儿回到家,我再查阅考研信息,
  • 戴先华2021.4.18《我的第129篇幸运作业》 39f4298779c4
    2021.4.18今天小宝和大表姐出去玩,我和婆婆在烧饭,突然小宝冲了进来,告诉奶奶说:“奶奶,奶奶姐姐在亭子里倒了”我一下子看出小宝的紧张,马上跑了出去,发现大外甥女又患了病,看起来心疼极了,整个人面朝地下的倒下了,在地上不停的抽搐,额头摔了一个大泡,整张脸都是紫色的,眼睛边上都出血了,真的是非常紧张,这么多年姐姐两夫妻就这样看着自己的孩子一次次晕倒,姐夫这么多年,年年都拿不出钱回家,使得家一次
  • 作业是家庭关系的枢纽 潘海松
    回想一下,当孩子做作业的时候,我们不断地在和孩子聊天、沟通,互相提出一些要求,也不可避免地,会产生分歧。举个最常见的例子,我们告诉孩子:「该写作业了。」娃是什么反应?好的亲子关系,孩子会乖乖停掉手里的事马上去写作业,或者好声好气地和家长商量,能不能在半个小时(或某个时间)开始。而不如意的亲子关系,孩子听到这句话的瞬间,就是各种不情愿,敷衍、拖延甚至于撒谎、撒泼打滚。最后,成为当天家庭里坏情绪的引爆
  • 张芝华49天共修 - 草稿 李娟AINI
    祈禱、靜心、源代碼編程、觀想發願四根支柱,運用靈性能量的助力,讓夢想和渴望在最大向度中輕鬆實現。共修群指定书籍:1.能断金刚麦克格西2.新世界:灵性的觉醒埃克哈特·托尔3.爱是一切的答案芭芭拉迪安吉莉思4.完美的爱,不完美的关系约翰•威尔伍德5.爱的业力法则麦克格西6.漫画《金刚经》蔡志忠7.蔡志忠典藏国学漫画系列(套装共6册)作业:全部在共修群里完成,并请保存好自己的作业。l一周三次共修觉察作业
  • 准备 胡珊珊乐平九小
    尊敬的各位领导、各位同仁们:大家上午好!我是来自乐平九小的胡珊珊。今天很高兴能有机会给大家做“智慧作业”应用培训。说到“智慧作业”我感触颇多,我是在智慧作业中成长起来的,我也时常以自己是一名“智慧作业人”自居。早在2020年疫情期间,学校电教处周光杰主任在学校群里发出智慧作业抢题通知,我看了有些心动,一节微课相当于一次省级公开课,这对于我们普通老师是多么难得的机会啊。但想归想,我也不会用软件啊,再
  • 2019年8月6日 星期二 晴 李佳晨宝宝
    今天我写完作业以后,我玩儿了一会儿我的拼装玩具,拼装玩具是我的世界的游戏里面的乐高,我拿出乐高把它拼成上次的迷宫,然后又给他升级了一下,我拆出上面一些部分的零件加大了游戏的难度,然后我又做了一个小牛圈。这个小牛圈里面住的是猪和牛,还有羊,给那里摆了一块草地,他们想吃东西直接在草地上吃,然后我把牛圈建了一个遮阳伞,防止天气太热把它们晒死。然后这样我的小牛就万无一失了,我再看看加大难度后的迷宫,实在是
  • 2023-06-19【感恩日记】第246篇 o泡沫o
    思想日记:坚持下去,相信自己一定可以的【感恩日记】第246篇1.我真是太幸福啦!感恩孩子早起阅读,放学到学生之家完成作业,平安度过美好的一天。感恩!感恩!感恩!❤️2.我真是太幸福啦!感恩自己早起给孩子煮早餐,完成计划的工作,晚上学习。感恩!感恩!感恩!❤️3.我真是太幸福啦!感恩为我设计效果图的老师。感恩!感恩!感恩!❤️4.我真是太幸福啦!感恩父母养育了我,有妈的孩子真幸福。感恩!感恩!感恩!
  • 2022-05-22光印随思60学习要与现实打通 无名之米8
    20220522光印随思60学习要与现实打通今天在匆忙中完成了新网师课程的第七次预习作业。每次完成预习作业的过程都是一次艰难的学习,先要学习相关的文本和文件,了解作业需要的理论知识,之后需要把理论知识运用于实际工作和生活中。这也是学习的真正价值所在。在很多时候,会有这样的感觉,读了很多书为什么没有啥长进?现在回想应该就是,当只有阅读和感受,没有把阅读心得转化为文字,没有把阅读的知识运用到实际的场景
  • 如果今天是你在世界上的最后一天,你打算如何度过? 养正读书
    每日一问:如果今天是你在世界上的最后一天,你打算如何度过?生命的祈祷群里老师发出了这样的作业,这无疑是一个让人稍显悲伤而又需要脑洞大开的话题。以下是我的回答。首先,我会给父母,子女留下遗嘱。其次,我会分别给他们留下一封信,告诉我此时内心的独白和对人生的感悟。当然还有一件重要的事,就是为父母做一顿可口的饭菜,陪他们在河边走走,晒晒太阳。我会找出所有的影集和照片,和父母家人一起回忆那过去的时光。我希望
  • 2022-04-07 静待花开1975
    昨天因为收作业的事情狠狠批评了四班的三个课代表,其中一个觉得很委屈,直接要跟我撂挑子了,经我软硬兼施,又撤回了辞职的决定。今天早读课,刚进教室,发现作业就已经整整齐齐交上来,而且已经开始组织早读了。下午收积累本,也是很快就有了结果。看来,适当的批评还是有必要的,出错不怕,怕的是不吸取经验教训,一错再错。
  • 作业二十八:《佐贺的超级阿嬷》解读三:生活很难,但也要笑着活下去。 维伊的屋子
    晚上别提伤心事,难过的事情留到白天再说,也就不算什么了。——《佐贺的超级阿嬷》当今社会,竟争非常激烈,很多人难免会有这样的情绪:消极、悲观、失望、抱怨、挫败感……如果带这些情绪生活,日子就难熬今天我们学习超级阿嬷是如何把日子过的有滋有味,如何在平淡生活的鸡毛蒜皮里发现快乐?昭广用阿嬷的故事把答案告诉了我们,永远不要忘记发现生活的美好香乐趣。图片发自App一、不是每个人都能顺顺利利的度过一生,也不会
  • 11.19星期四,是五彩斑斓的黑 大龙猫说
    这学期,每到周四的早晨,当闹钟响起时,我都会脑补一百种可以请假不上班的情境。因为我的星期四,是黑色的。从早读,到早操,再连堂两节课,再连堂两节课教研,这是周四的上午。中午和下午第一节课虽然空闲,但我必须马不停蹄地改作业,因为最后一节课还是我的。上完这节课,再看完阳光体育,检查值日,我这一天才算“熬”过去。这时候,如果学生再来点什么纠纷,我就需要动用仅有的空闲时间来处理,那可真是“压垮骆驼的最后一根
  • 【显示 后台运行 & 的命令】 晨春计 debuglinux服务器运维
    目录背景步骤详解示例背景当你在Linuxshell中使用&符号将一个命令放到后台运行时,你可以使用jobs命令来查看这些后台进程的状态。但是,jobs命令并不会直接显示进程的PID(进程ID)。它会显示一个作业列表,其中包括每个作业的状态和一个作业标识符(通常是百分号%后面跟着一个数字),但不会直接显示PID。获取后台进程的PID步骤:1、使用jobs命令查看后台作业。2、使用ps命令配合grep
  • 故事||我是一本书(3) 贪玩
    我的房间在精装洋房的第二层。这个楼层在书类的房子里,属于黄金楼层,因为无论是被家人选中来作文字交流,还是独自站在房间观察周围,这层都是最佳位置,不高不低,视野开阔。每日放学后,老贝在书桌上写作业的时候,我都能清晰的观察她。毕竟我刚刚认识她,对这个漂亮的、有点调皮的小姑娘,我很想深入的了解她。妈妈在创造我时,记录了一些小朋友学习文化知识情景的小故事,因此我灵魂深处,有一些这方面的记忆,但是毕竟不多,
  • Ubuntu常用命令整理 十里染林
    ubuntu16.04server开启ssh:使用x-shell连接主机,发现22端口没有打开,开启ssh服务:安装openssh-serversudoapt-getinstallopenssh-server检查安装是否成功sudops-e|grepssh开启ssh服务sudoservicesshstartUbuntu开启/关闭防火墙:开启防火墙sudoufwenable关闭防火墙sudoufwd
  • 2021-10-17(376) 刘玥上学记
    今天早上妈妈六点就把我喊起来了,天气太冷了,姥姥给我们煮了鸡蛋,路上保暖用一切按部就班的进行,到公司刚刚好七点五十妈妈给我安排的是上午两张试卷,下午两张试卷上午的没做完,下午的我实在是不想做了,后来凯丽姐姐说早点写完,可以早些玩耍我就回办公室写作业了一直到下午四点半,凯丽姐姐过来检查,数学卷子还没做完询问了半天,原来是乘法口诀没有背过,然后凯丽姐姐就一个一个的给我提问而且还说让我晚上回去自己再重新
  • 服务器被cc攻击的简单防御策略(附代码) 小蚁云安全-xyDDos flaskpython后端
    CC攻击(也称为网络层攻击或流量攻击)是指企图通过向网站或服务器发送大量伪造的请求,以干扰正常的用户访问的攻击。这些请求可能是来自单个设备的,也可能是来自一群被控制的设备的。为了防御CC攻击,你可以考虑使用以下策略:1.使用反向代理服务器或CDN:这些服务器可以承担大部分流量,并将其转发到你的服务器。这样可以有效地减少攻击者能够直接攻击的流量。2.使用网络防火墙:可以使用网络防火墙来过滤掉来自指定
  • 让你的孩子悄悄拔尖 水墨烟岚
    帮助孩子找到适合自己的方法,相信我,只要正确地努力,孩子的成绩一定会进步!1.这些准备一定要有:都有一个错题本;都有一个好题本;新课之前一定先预习;先复习后做作业;做作业要计时(限时训练)。2.计划管理——有规律长计划,短安排在制定一个长期目标的同时,一定要制定一个短期学习目标,这个目标要切合自己的实际,通过努力是完全可以实现的。最重要的是,能管住自己,也就挡住了各种学习上的负面干扰,如此,那个“
  • 云防火墙和Web应用防火墙(WAF)区别 快快小毛毛 前端网络
    随着互联网的进一步发展,Web应用防火墙(WAF)和云防火墙步入大家的视野。防火墙针对web应用拥有很好的保护作用,由硬件和软件组合,在内部网和外部网、专用网和公共网之间形成一道强有力的保护屏障,使用者可配置不同保护级别的防火墙,高级别的保护会阻止运营一些服务。那么,我们如何理解这两种防火墙,他们有什么区别?一、web防火墙Web应用防火墙,属于硬件级别防火墙(WebApplicationFire
  • 【86】喜欢“折腾”的余老师 亲亲鱼老师
    “我们的进度会比其他班级慢一点,因为我们的实践作业会多一些,希望你们能够明白老师要求做的一切……第三单元学习写观察日记,为了学生体验感再强一些,我让孩子们种植大蒜,每天再写一篇观察日记。原本想着连续让孩子们观察六天就好,结果是六天结束了,孩子们因各种各样的原因,小蒜苗的生长各不相同,关键是真正长出绿色叶子的没几个,于是决定再继续观察几天……要问我为什么喜欢如此折腾?我想我能给的答案一定是为了所有的
  • 周末和孩子说的 被抛在地球的脑洞星人
    一般家长说的最多的就是:作业写完了没有?怎么又在看手机(电脑、电视、小说等)搞快点,搞完了周日要去学校了上周考试没成绩咋样?
  • 杨蕊今日份总结 羊鑫
    2020年10月24日周二新的一周开始了!到了学校先打扫了一下卫生,然后给孩子们录了今天写作业的视频,今天书写的作业笔画是横折竖折。字根“五”今天孩子们的书写质量还是可以的,但是短横长横的掌握情况不是很理想,周六周天孩子们来的时候再给孩子们进行复习回顾一下,重点说一下这个知识点。去楼上把几个坏掉的凳子用固体胶粘好。下午去南鑫拿了几张照片去那边压膜。回到比德弗校区之后把玩具架和齐老师一起全都整理了一
  • 多线程编程之存钱与取钱 周凡杨 javathread多线程存钱取钱
      生活费问题是这样的:学生每月都需要生活费,家长一次预存一段时间的生活费,家长和学生使用统一的一个帐号,在学生每次取帐号中一部分钱,直到帐号中没钱时 通知家长存钱,而家长看到帐户还有钱则不存钱,直到帐户没钱时才存钱。   问题分析:首先问题中有三个实体,学生、家长、银行账户,所以设计程序时就要设计三个类。其中银行账户只有一个,学生和家长操作的是同一个银行账户,学生的行为是
  • java中数组与List相互转换的方法 征客丶 JavaScriptjavajsonp
    1.List转换成为数组。(这里的List是实体是ArrayList)   调用ArrayList的toArray方法。   toArray   public T[] toArray(T[] a)返回一个按照正确的顺序包含此列表中所有元素的数组;返回数组的运行时类型就是指定数组的运行时类型。如果列表能放入指定的数组,则返回放入此列表元素的数组。否则,将根据指定数组的运行时类型和此列表的大小分
  • Shell 流程控制 daizj 流程控制if elsewhilecaseshell
    Shell 流程控制 和Java、PHP等语言不一样,sh的流程控制不可为空,如(以下为PHP流程控制写法): <?php if(isset($_GET["q"])){ search(q);}else{// 不做任何事情} 在sh/bash里可不能这么写,如果else分支没有语句执行,就不要写这个else,就像这样 if else if if 语句语
  • Linux服务器新手操作之二 周凡杨 Linux 简单 操作
    1.利用关键字搜寻Man Pages    man -k keyword  其中-k 是选项,keyword是要搜寻的关键字 如果现在想使用whoami命令,但是只记住了前3个字符who,就可以使用 man -k who来搜寻关键字who的man命令       [haself@HA5-DZ26 ~]$ man -k
  • socket聊天室之服务器搭建 朱辉辉33 socket
    因为我们做的是聊天室,所以会有多个客户端,每个客户端我们用一个线程去实现,通过搭建一个服务器来实现从每个客户端来读取信息和发送信息。    我们先写客户端的线程。 public class ChatSocket extends Thread{ Socket socket; public ChatSocket(Socket socket){ this.sock
  • 利用finereport建设保险公司决策分析系统的思路和方法 老A不折腾 finereport金融保险分析系统报表系统项目开发
    决策分析系统呈现的是数据页面,也就是俗称的报表,报表与报表间、数据与数据间都按照一定的逻辑设定,是业务人员查看、分析数据的平台,更是辅助领导们运营决策的平台。底层数据决定上层分析,所以建设决策分析系统一般包括数据层处理(数据仓库建设)。   项目背景介绍 通常,保险公司信息化程度很高,基本上都有业务处理系统(像集团业务处理系统、老业务处理系统、个人代理人系统等)、数据服务系统(通过
  • 始终要页面在ifream的最顶层 林鹤霄
    index.jsp中有ifream,但是session消失后要让login.jsp始终显示到ifream的最顶层。。。始终没搞定,后来反复琢磨之后,得到了解决办法,在这儿给大家分享下。。 index.jsp--->主要是加了颜色的那一句 <html> <iframe name="top" ></iframe> <ifram
  • MySQL binlog恢复数据 aigo mysql
    1,先确保my.ini已经配置了binlog:   # binlog log_bin = D:/mysql-5.6.21-winx64/log/binlog/mysql-bin.log log_bin_index = D:/mysql-5.6.21-winx64/log/binlog/mysql-bin.index log_error = D:/mysql-5.6.21-win
  • OCX打成CBA包并实现自动安装与自动升级 alxw4616 ocxcab
    近来手上有个项目,需要使用ocx控件 (ocx是什么? http://baike.baidu.com/view/393671.htm) 在生产过程中我遇到了如下问题. 1. 如何让 ocx 自动安装?     a) 如何签名?     b) 如何打包?     c) 如何安装到指定目录? 2.
  • Hashmap队列和PriorityQueue队列的应用 百合不是茶 Hashmap队列PriorityQueue队列
      HashMap队列已经是学过了的,但是最近在用的时候不是很熟悉,刚刚重新看以一次,   HashMap是K,v键 ,值     put()添加元素      //下面试HashMap去掉重复的 package com.hashMapandPriorityQueue; import java.util.H
  • JDK1.5 returnvalue实例 bijian1013 javathreadjava多线程returnvalue
    Callable接口: 返回结果并且可能抛出异常的任务。实现者定义了一个不带任何参数的叫做 call 的方法。 Callable 接口类似于 Runnable,两者都是为那些其实例可能被另一个线程执行的类设计的。但是 Runnable 不会返回结果,并且无法抛出经过检查的异常。        ExecutorService接口方
  • angularjs指令中动态编译的方法(适用于有异步请求的情况) 内嵌指令无效 bijian1013 JavaScriptAngularJS
            在directive的link中有一个$http请求,当请求完成后根据返回的值动态做element.append('......');这个操作,能显示没问题,可问题是我动态组的HTML里面有ng-click,发现显示出来的内容根本不执行ng-click绑定的方法!     
  • 【Java范型二】Java范型详解之extend限定范型参数的类型 bit1129 extend
    在第一篇中,定义范型类时,使用如下的方式:   public class Generics<M, S, N> { //M,S,N是范型参数 }  这种方式定义的范型类有两个基本的问题:   1. 范型参数定义的实例字段,如private M m = null;由于M的类型在运行时才能确定,那么我们在类的方法中,无法使用m,这跟定义pri
  • 【HBase十三】HBase知识点总结 bit1129 hbase
    1. 数据从MemStore flush到磁盘的触发条件有哪些?    a.显式调用flush,比如flush 'mytable'    b.MemStore中的数据容量超过flush的指定容量,hbase.hregion.memstore.flush.size,默认值是64M 2. Region的构成是怎么样? 1个Region由若干个Store组成
  • 服务器被DDOS攻击防御的SHELL脚本 ronin47
    mkdir /root/bin vi /root/bin/dropip.sh #!/bin/bash/bin/netstat -na|grep ESTABLISHED|awk ‘{print $5}’|awk -F:‘{print $1}’|sort|uniq -c|sort -rn|head -10|grep -v -E ’192.168|127.0′|awk ‘{if($2!=null&a
  • java程序员生存手册-craps 游戏-一个简单的游戏 bylijinnan java
    import java.util.Random; public class CrapsGame { /** * *一个简单的赌*博游戏,游戏规则如下: *玩家掷两个骰子,点数为1到6,如果第一次点数和为7或11,则玩家胜, *如果点数和为2、3或12,则玩家输, *如果和为其它点数,则记录第一次的点数和,然后继续掷骰,直至点数和等于第一次掷出的点
  • TOMCAT启动提示NB: JAVA_HOME should point to a JDK not a JRE解决 开窍的石头 JAVA_HOME
    当tomcat是解压的时候,用eclipse启动正常,点击startup.bat的时候启动报错; 报错如下:   The JAVA_HOME environment variable is not defined correctly This environment variable is needed to run this program NB: JAVA_HOME shou
  • [操作系统内核]操作系统与互联网 comsci 操作系统
         我首先申明:我这里所说的问题并不是针对哪个厂商的,仅仅是描述我对操作系统技术的一些看法       操作系统是一种与硬件层关系非常密切的系统软件,按理说,这种系统软件应该是由设计CPU和硬件板卡的厂商开发的,和软件公司没有直接的关系,也就是说,操作系统应该由做硬件的厂商来设计和开发
  • 富文本框ckeditor_4.4.7 文本框的简单使用 支持IE11 cuityang 富文本框
    <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> <title>知识库内容编辑</tit
  • Property null not found darrenzhu datagridFlexAdvancedpropery null
    When you got error message like "Property null not found ***", try to fix it by the following way: 1)if you are using AdvancedDatagrid, make sure you only update the data in the data prov
  • MySQl数据库字符串替换函数使用 dcj3sjt126com mysql函数替换
    需求:需要将数据表中一个字段的值里面的所有的  .   替换成  _   原来的数据是  site.title  site.keywords  .... 替换后要为     site_title  site_keywords   使用的SQL语句如下:   updat
  • mac上终端起动MySQL的方法 dcj3sjt126com mysqlmac
    首先去官网下载: http://www.mysql.com/downloads/ 我下载了5.6.11的dmg然后安装,安装完成之后..如果要用终端去玩SQL.那么一开始要输入很长的:/usr/local/mysql/bin/mysql 这不方便啊,好想像windows下的cmd里面一样输入mysql -uroot -p1这样...上网查了下..可以实现滴. 打开终端,输入: 1
  • Gson使用一(Gson) eksliang jsongson
    转载请出自出处:http://eksliang.iteye.com/blog/2175401 一.概述 从结构上看Json,所有的数据(data)最终都可以分解成三种类型: 第一种类型是标量(scalar),也就是一个单独的字符串(string)或数字(numbers),比如"ickes"这个字符串。 第二种类型是序列(sequence),又叫做数组(array)
  • android点滴4 gundumw100 android
    Android 47个小知识 http://www.open-open.com/lib/view/open1422676091314.html Android实用代码七段(一) http://www.cnblogs.com/over140/archive/2012/09/26/2611999.html http://www.cnblogs.com/over140/arch
  • JavaWeb之JSP基本语法 ihuning javaweb
      目录   JSP模版元素  JSP表达式  JSP脚本片断  EL表达式  JSP注释  特殊字符序列的转义处理  如何查找JSP页面中的错误   JSP模版元素    JSP页面中的静态HTML内容称之为JSP模版元素,在静态的HTML内容之中可以嵌套JSP
  • App Extension编程指南(iOS8/OS X v10.10)中文版 啸笑天 ext
             当iOS 8.0和OS X v10.10发布后,一个全新的概念出现在我们眼前,那就是应用扩展。顾名思义,应用扩展允许开发者扩展应用的自定义功能和内容,能够让用户在使用其他app时使用该项功能。你可以开发一个应用扩展来执行某些特定的任务,用户使用该扩展后就可以在多个上下文环境中执行该任务。比如说,你提供了一个能让用户把内容分
  • SQLServer实现无限级树结构 macroli oraclesqlSQL Server
    表结构如下: 数据库id path titlesort 排序 1 0 首页 0 2 0,1 新闻 1 3 0,2 JAVA 2 4 0,3 JSP 3 5 0,2,3 业界动态 2 6 0,2,3 国内新闻 1 创建一个存储过程来实现,如果要在页面上使用可以设置一个返回变量将至传过去   create procedure test as begin decla
  • Css居中div,Css居中img,Css居中文本,Css垂直居中div qiaolevip 众观千象学习永无止境每天进步一点点css
    /**********Css居中Div**********/ div.center { width: 100px; margin: 0 auto; } /**********Css居中img**********/ img.center { display: block; margin-left: auto; margin-right: auto; }
  • Oracle 常用操作(实用) 吃猫的鱼 oracle
    SQL>select text from all_source where owner=user and name=upper('&plsql_name');  SQL>select * from user_ind_columns where index_name=upper('&index_name');  将表记录恢复到指定时间段以前
  • iOS中使用RSA对数据进行加密解密 witcheryne iosrsaiPhoneobjective c
      RSA算法是一种非对称加密算法,常被用于加密数据传输.如果配合上数字摘要算法, 也可以用于文件签名. 本文将讨论如何在iOS中使用RSA传输加密数据. 本文环境 mac os  openssl-1.0.1j, openssl需要使用1.x版本, 推荐使用[homebrew](http://brew.sh/)安装. Java 8 RSA基本原理 RS
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他