第八组_通信二班_091_防火墙技术综合实验

1、网络地址规划表(拓扑有两种,所以地址规划也有两种)

 自反ACL、基于上下文的访问控制和区域策略防火墙的地址规划

设备名称

接口

地址

网关

PC-A

F1/0

192.91.1.3/24

192.91.1.1

PC-C

F1/0

192.91.3.3/24

192.91.3.3

R1

F1/0

192.91.1.1/24

 

 

不需要配置网关

S0/0(S0/0/0)

10.91.1.1/30

R2

S0/0(S0/0/0)

10.91.1.2/30

S0/1(S0/0/1)

10.91.2.2/30

R3

S0/0(S0/0/0)

10.91.2.1/30

F1/0

192.91.3.1/24

 动态ACL、基于时间的ACL

设备名称

接口

地址

网关

R1

F0/0

10.91.1.1/24

 

 

不需要配置网关

F1/0

14.91.1.1/24

R2

F0/0

10.91.1.2/24

R3

F0/0

10.91.1.3/24

R4

F1/0

14.91.1.4/24

 扩展ACL

设备名称

接口

地址

网关

PC-1

F0

172.91.1.100/24

172.91.1.1

PC-2

F0

172.91.2.100/24

172.91.2.1

Server1

F0

172.91.3.100/24

172.91.3.3

R1

F0/0

172.91.1.1/24

 

 

 

 

不需要配置网关

F0/1

172.91.2.1/24

S0/0/0

172.91.12.1/24

R2

S0/0/0

172.91.12.2/24

S0/0/1

172.91.23.2/24

R3

S0/0/1

172.91.23.3/24

F0/0

172.91.3.3/24

 

 

 

 

 

2、访问控制列表:扩展ACL(PT)

1)拓扑如下

 第八组_通信二班_091_防火墙技术综合实验_第1张图片

(2)使用RIP协议使PC和路由器之间互通

R1(config)#ip route 172.91.23.0 255.255.255.0 172.91.12.2

R1(config)#ip route 172.91.3.0 255.255.255.0 172.91.12.2

 

R2(config)#ip route 172.91.1.0 255.255.255.0 172.91.12.1

R2(config)#ip route 172.91.2.0 255.255.255.0 172.91.12.1

R2(config)#ip route 172.91.3.0 255.255.255.0 172.91.23.3

 

R3(config)#ip route 172.91.1.0 255.255.255.0 172.91.23.2

R3(config)#ip route 172.91.2.0 255.255.255.0 172.91.23.2

R3(config)#ip route 172.91.12.0 255.255.255.0 172.91.23.2

 

测试网络连通性

PC-1 ping Server 1

 第八组_通信二班_091_防火墙技术综合实验_第2张图片

实现网络互通,开始配置网络安全

 

3)设置vty、enable、console密码(R1为例,R2、R3同样)

R1(config)#line vty 0 4

R1(config-line)#password ciscovtypa55

R1(config-line)#login

R1(config)#enable password ciscoenpa55

R1(config)#line console 0

R1(config-line)#password ciscoconpa55

R1(config-line)#login

 

4)扩展ACL的配置

R1(config)#access-list 110 remark this is an example for extended acl

R1(config)#access-list 110 deny tcp 172.91.1.0 0.0.0.255 host 172.91.3.100 eq 80

//拒绝PC1 所在网段访问Server 172.16.3.100 的Web 服务

R1(config)#access-list 110 deny tcp 172.91.2.0 0.0.0.255 host 172.91.3.100 eq 21

R1(config)#access-list 110 deny tcp 172.91.2.0 0.0.0.255 host 172.91.3.100 eq 20

//拒绝PC2 所在网段访问Server 172.16.3.100 的Ftp 服务

R1(config)#access-list 110 deny tcp 172.91.1.0 0.0.0.255 host 172.91.3.100 eq 1433

//拒绝PC1 所在网段访问Server 172.16.3.100 的SQL 服务

R1(config)#access-list 110 deny tcp 172.91.1.0 0.0.0.255 host 172.91.23.3 eq 23

R1(config)#access-list 110 deny tcp 172.91.1.0 0.0.0.255 host 172.91.3.3 eq 23

//拒绝PC1 所在网段访问路由器R3 的Telnet 服务

R1(config)#access-list 110 deny tcp 172.91.2.0 0.0.0.255 host 172.91.12.2 eq 80

R1(config)#access-list 110 deny tcp 172.91.2.0 0.0.0.255 host 172.91.23.2 eq 80

//拒绝PC2 所在网段访问路由器R2 的Web 服务

R1(config)#access-list 110 deny icmp 172.91.1.0 0.0.0.255 host 172.91.3.100

R1(config)#access-list 110 deny icmp 172.91.2.0 0.0.0.255 host 172.91.3.100

//拒绝PC1 和PC2 所在网段ping Server 服务器

R1(config)#access-list 110 permit ip any any

R1(config)#int s0/0/0

R1(config-if)#ip access-group 110 out

//接口下应用ACL

 

R3(config)#access-list 120 deny icmp host 172.91.23.2 host 172.91.23.3 echo

R3(config)#access-list 120 permit ip any any

R3(config)#int s0/0/1

R3(config-if)#ip access-group 120 in

 

R1查看ACL

 第八组_通信二班_091_防火墙技术综合实验_第3张图片

R3 ping R2 通

 第八组_通信二班_091_防火墙技术综合实验_第4张图片

R2 ping R3 不通

 第八组_通信二班_091_防火墙技术综合实验_第5张图片

配置命令扩展ACL

R3(config)#ip access-list extended acl120

R3(config-ext-nacl)#deny icmp host 172.91.23.2 host 172.91.23.3 echo

R3(config-ext-nacl)#permit ip any any

R3(config-ext-nacl)#int s0/0/1

R3(config-if)#ip access-group acl120 in

R3(config-if)#exit

 第八组_通信二班_091_防火墙技术综合实验_第6张图片

 

3、访问控制列表:自反ACL(GNS3)

1)拓扑如下

 第八组_通信二班_091_防火墙技术综合实验_第7张图片

(3)使用RIP协议使PC和路由器之间互通

R1(config)# router rip

R1(config-router)# network 10.0.0.0

R1(config-router)# network 192.91.1.0

 

R2(config)# router rip

R2(config-router)# network 10.0.0.0

 

R3(config)# router rip

R3(config-router)# network 10.0.0.0

R3(config-router)# network 192.91.3.0

 

PC-A和PC-C路由器关闭路由并加入网关

PC-C(config)#no ip routing

PC-C(config)#int f1/0

PC-C(config-if)#ip address 192.91.3.3 255.255.255.0

PC-C(config-if)#ex

PC-C(config)#ip default-gateway 192.91.3.1

 

PC-A(config)#no ip routing

PC-A(config)#int f1/0

PC-A(config-if)#ip address 192.91.1.3 255.255.255.0

PC-A(config-if)#ex

PC-C(config)#ip default-gateway 192.91.1.1

 

测试网络连通性

PC-C ping PC-A

 

PC-A ping PC-A

 

实现全网互通,开始配置网络安全

 

3)设置vty、enable、console密码(R1为例,R2、R3同样)

R1(config)#line vty 0 4

R1(config-line)#password ciscovtypa55

R1(config-line)#login

R1(config)#enable password ciscoenpa55

R1(config)#line console 0

R1(config-line)#password ciscoconpa55

R1(config-line)#login

 

4)自反ACL的配置

 

配置拒绝外网主动访问内网,但是ICMP可不受限制

R2(config)#ip access-list extended come

R2(config-ext-nacl)#permit icmp any any   被允许的ICMP是不用标记即可进入内网

R2(config-ext-nacl)#permit udp any any    因为使用rip协议配置网络,所以要通过让udp也通过,不然网络不通

R2(config-ext-nacl)#evaluate abc         其它要进入内网的,必须是标记为abc的

R2(config-ext-nacl)#int s0/1

R2(config-if)#ip access-group come in     应用ACL

 

测试外网PC-C的ICMP访问内网

 

可以看到,ICMP可任意访问

 

测试外网PC-C telnet 内网

 

可以看到,其他流量不能进入内网

 

测试内网PC-A的ICMP访问外网

 

可以看到,内网发ICMP到外网,也正常返回了

 

测试内网PC-A发起telnet到外网

 

可以看到,其他流量不能进入外网

 

配置内网向外网发起的telnet被返回

telnet被记录为abc,将会被允许返回

R2(config)#ip access-list extended goto

R2(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60

R2(config-ext-nacl)#permit ip any any

R2(config-ext-nacl)#int s0/1                 应用ACL

R2(config-if)#ip access-group goto out

 

查看PC-A到外网的ICMP

 

ICMP正常

 

查看内网PC-A向外网发起telnet

 第八组_通信二班_091_防火墙技术综合实验_第8张图片

可以看出,此时内网发向外网的telnet因为被标记为abc,所以在回来时,开了缺口,也就可以允许返回了。

 

查看ACL

 第八组_通信二班_091_防火墙技术综合实验_第9张图片

可以看到,有一条为abc的ACL为允许外网到内网的telnet,正是由于内网发到外网的telnet被标记了,所以也自动产生了允许其返回的ACL,并且后面跟有剩余时间。

 

自反ACL完成。

 

4、访问控制列表:动态ACL(GNS3)

 

1)拓扑如下

第八组_通信二班_091_防火墙技术综合实验_第10张图片

(2)使用RIP协议使路由器之间互通

R1(config)# router rip

R1(config-router)# network 10.0.0.0

R1(config-router)# network 14.0.0.0

 

R2(config)# router rip

R2(config-router)# network 10.0.0.0

 

R3(config)# router rip

R3(config-router)# network 10.0.0.0

 

R4(config)# router rip

R4(config-router)# network 14.0.0.0

 

测试网络连通性

R2 ping R4

 

R4 ping R2

 

实现全网互通,开始配置网络安全

 

(4)设置vty、enable、console密码(R1为例,R2、R3、R4同样)

R1(config)#line vty 0 4

R1(config-line)#password ciscovtypa55

R1(config-line)#login

R1(config)#enable password ciscoenpa55

R1(config)#line console 0

R1(config-line)#password ciscoconpa55

R1(config-line)#login

 

4)动态ACL的配置

R1(config)#access-list 100 permit tcp any any eq telnet 

配置默认不需要认证就可以通过的数据,如telnet

R1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

配置认证之后才能通过的数据,如ICMP,绝对时间为2分钟

R1(config)#int f0/0

R1(config-if)#ip access-group 100 in

应用ACL

 

测试内网R2 telnet外网R4

 第八组_通信二班_091_防火墙技术综合实验_第11张图片

从结果中看出,telnet不受限制。

 

测试测试内网R2 ping外网R4

 

内网在没有认证之前,ICMP是无法通过的。

 

(5)配置本地用户数据库

R1(config)#username ccie password cisco

 

5)配置所有人的用户名具有访问功能

R1(config)#line vty 0 181

R1(config-line)#login local

R1(config-line)#autocommand access-enable

没有加host,那么内网一台主机通过认证之后,所有主机都能访问外网

R1(config-line)#autocommand access-enable host

加了host,就变成谁通过了认证,谁才能访问外网。

 

内网R2认证 并ping外网

 第八组_通信二班_091_防火墙技术综合实验_第12张图片

telnet路由器认证成功后ICMP被放行。

 

查看ACL

 

动态ACL完成。

 

5、访问控制列表:基于时间的ACL(GNS3)

 

1)拓扑如下

 第八组_通信二班_091_防火墙技术综合实验_第13张图片

(2)配置静态路由使网络互通

R2(config)#ip route 14.91.1.0 255.255.255.0 10.91.1.1

R3(config)#ip route 14.91.1.0 255.255.255.0 10.91.1.1

R4(config)#ip route 10.91.1.0 255.255.255.0 14.91.1.1

 

3)设置vty、enable、console密码(R1为例,R2、R3、R4同样)

R1(config)#line vty 0 4

R1(config-line)#password ciscovtypa55

R1(config-line)#login

R1(config)#enable password ciscoenpa55

R1(config)#line console 0

R1(config-line)#password ciscoconpa55

R1(config-line)#login

 

4)基于时间的ACL配置

R1(config)#time-range TELNET

R1(config-time-range)#periodic weekdays 9:00 to 15:00

定义的时间范围为每周一到周五的9:00 to 15:00

R1(config)#access-list 150  deny tcp host 10.91.1.2 any eq 23 time-range TELNET

R1(config)#access-list 150 permit ip any any

配置R1在上面的时间范围内拒绝R2到R4的telnet,其它流量全部通过。

R1(config)#int f0/0

R1(config-if)#ip access-group 150 in

应用ACL

 

查看当前时间

 

在范围内

R2向R4发起telnet会话

 

可以看到,在规定的时间范围内,R2向R4发起telnet会话是被拒绝的。

 

R2向R4发起ping会话

 

可以看到,在规定的时间范围内,除了telnet之外,其它流量不受限制。

 

测试除R2之外的设备telnet情况

 第八组_通信二班_091_防火墙技术综合实验_第14张图片

 

修改时间

 

在范围外

R2向R4发起telnet会话

 第八组_通信二班_091_防火墙技术综合实验_第15张图片

在时间范围之外,所限制的流量被放开

 

基于时间的ACL配置完成。

 

6、基于上下文的访问控制(PT)

 

(1)拓扑如下

 第八组_通信二班_091_防火墙技术综合实验_第16张图片

2)配置静态路由使网络互通

R1(config)#ip route 10.91.2.0 255.255.255.252 10.91.1.2

R1(config)#ip route 192.91.3.0 255.255.255.0 10.91.1.2

 

R2(config)#ip route 192.91.3.0 255.255.255.0 10.91.2.1

R2(config)#ip route 192.91.1.0 255.255.255.0 10.91.1.1

 

R3(config)#ip route 10.91.1.0 255.255.255.252 10.91.2.2

R3(config)#ip route 192.91.1.0 255.255.255.0 10.91.2.2

 

连通性测试

PC-A ping PC-C

 第八组_通信二班_091_防火墙技术综合实验_第17张图片

PC-C ping PC-A

 第八组_通信二班_091_防火墙技术综合实验_第18张图片

实现全网互通,开始配置网络安全

 

(2)设置vty、enable、console密码(R1为例,R2、R3同样)

R1(config)#line vty 0 4

R1(config-line)#password ciscovtypa55

R1(config-line)#login

R1(config)#enable password ciscoenpa55

R1(config)#line console 0

R1(config-line)#password ciscoconpa55

R1(config-line)#login

 

(3)基于上下文的访问控制的配置

R3(config)#ip access-list extended OUT-IN

R3(config-ext-nacl)#deny ip any any

R3(config-ext-nacl)#exit

R3配置一个命名IP ACl阻隔所有外网产生的流量。

R3(config)# interface s0/0/1

R3(config-if)# ip access-group OUT-IN in

 

确保进入s0/0/1接口的流量被阻隔

 第八组_通信二班_091_防火墙技术综合实验_第19张图片

创建一个检测规则来检测ICMP,Telnet,和HTTP流量

R3(config)#ip inspect name IN-OUT-IN icmp

R3(config)#ip inspect name IN-OUT-IN telnet

R3(config)#ip inspect name IN-OUT-IN http

R3(config)# ip inspect audit-trail

R3(config)# service timestamps debug datetime msec

R3(config)# logging host 192.91.1.3

R3(config-if)# ip inspect IN-OUT-IN out

 

PC-C ping PC-A 通,Telnet不通

 第八组_通信二班_091_防火墙技术综合实验_第20张图片

PC-A ping、telnet PC-C 都不通

 第八组_通信二班_091_防火墙技术综合实验_第21张图片

 

使用PC-C的浏览器登入PC-A然后

R3#show ip inspect sessions

 

 

检查接口

 第八组_通信二班_091_防火墙技术综合实验_第22张图片

 

检查配置

 第八组_通信二班_091_防火墙技术综合实验_第23张图片

 

PC-C 的浏览器登入PC-A后

R3#show debug ip inspect datailed

 第八组_通信二班_091_防火墙技术综合实验_第24张图片

 

基于上下文的访问控制的配置完成。

 

7、基于区域策略防火墙PT)

 

(1)拓扑如下

 第八组_通信二班_091_防火墙技术综合实验_第25张图片

 

2)配置静态路由使网络互通

R1(config)#ip route 10.91.2.0 255.255.255.252 10.91.1.2

R1(config)#ip route 192.91.3.0 255.255.255.0 10.91.1.2

 

R2(config)#ip route 192.91.3.0 255.255.255.0 10.91.2.1

R2(config)#ip route 192.91.1.0 255.255.255.0 10.91.1.1

 

R3(config)#ip route 10.91.1.0 255.255.255.252 10.91.2.2

R3(config)#ip route 192.91.1.0 255.255.255.0 10.91.2.2

 

连通性测试

PC-A ping PC-C

 第八组_通信二班_091_防火墙技术综合实验_第26张图片

PC-C ping PC-A

 第八组_通信二班_091_防火墙技术综合实验_第27张图片

实现全网互通,开始配置网络安全

 

3)设置vty、enable、console密码(R1为例,R2、R3同样)

R1(config)#line vty 0 4

R1(config-line)#password ciscovtypa55

R1(config-line)#login

R1(config)#enable password ciscoenpa55

R1(config)#line console 0

R1(config-line)#password ciscoconpa55

R1(config-line)#login

 

(4)配置区域策略的防火墙

R3(config)#zone security IN-ZONE

创建区域IN-ZONE

 

R3(config-sec-zone)#zone security OUT-ZONE

创建区域 OUT-ZONE

 

R3(config-sec-zone)#ex

R3(config)#access-list 101 permit ip 192.91.3.0 0.0.0.255 any

创建一个用来定义内部流量的ACL

 

R3(config)#class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)#match access-group 101

R3(config-cmap)#exit

创建一个涉及内部流量ACL的class map

 

R3(config)#policy-map type inspect IN-2-OUT-PMAP

创建策略图IN-2-OUT-PMAP

 

R3(config-pmap)#class type inspect IN-NET-CLASS-MAP

定义一个检测级别类型和参考策略图

 

R3(config-pmap-c)#inspect

Inspect这个指令调用基于上下文的访问控制

R3(config-pmap-c)#ex

R3(config-pmap)#ex

 

R3(config)#zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

创建一个区域对IN-2-OUT-ZPAIR对任务一中创建的区域进行源和目的区域定义

R3(config-sec-zone-pair)#service-policy type inspect IN-2-OUT-PMAP

R3(config-sec-zone-pair)#ex

把策略图和关联活动附加到区域对,参考之前创建的策略图IN-2-OUT-PMAP

 

R3(config)#int f0/1

R3(config-if)#zone-member security IN-ZONE

R3(config-if)#ex

R3(config)#int s0/0/1

R3(config-if)#zone-member security OUT-ZONE

R3(config-if)#ex

把端口调用到合适的安全区域。

 

(5)测试从IN-ZONE到OUT-ZONE的防火墙功能

PC_C ping PC-A服务器

 第八组_通信二班_091_防火墙技术综合实验_第28张图片

PC-C能成功ping到PC-A

 

 

PC-C telnet到R2的s0/0/1口

 第八组_通信二班_091_防火墙技术综合实验_第29张图片

 

PC-C telnet到R2输密码ciscovtypa55,能telnet到。顺便在R3输show policy-map type inspect zone-pair sessions看完成情况。

 第八组_通信二班_091_防火墙技术综合实验_第30张图片

PC-C打开网页登到PC-A的服务器

 第八组_通信二班_091_防火墙技术综合实验_第31张图片

 

登网页同时在R3输show policy-map type inspect zone-pair sessions看完成情况

 第八组_通信二班_091_防火墙技术综合实验_第32张图片

 

(6)测试外部区域到内部区域的防火墙功能

PC-A ping PC-C 不通

 第八组_通信二班_091_防火墙技术综合实验_第33张图片

R2 ping PC-C也ping不通

 

区域策略的防火墙配置完成。

  

8、各种防火墙技术进行对比

1)扩展 ACL 比标准 ACL 更常用,因为其控制范围更广,可以提升安全性。与标准 ACL 类似,扩展 ACL 可以检查数据包源地址,但除此之外,它们还可以检查目的地址、协议和端口号(或服务)。扩展 ACL 可以允许从某网络到指定目的地的电子邮件流量,同时拒绝文件传输和网页浏览流量。适用范围:编号在 100 到 199 之间以及 2000 到 2699 之间

 

2)自反 ACL 允许最近出站数据包的目的地发出的应答流量回到该出站数据包的源地址。这样您可以更加严格地控制哪些流量能进入您的网络,并提升了扩展访问列表的能力。

自反 ACL 具有以下优点: 帮助保护您的网络免遭网络黑客攻击,并可内嵌在防火墙防护中。   提供一定级别的安全性,防御欺骗攻击和某些 DoS 攻击。自反 ACL 方式较难以欺骗,因为允许通过的数据包需要满足更多的过滤条件。

 

3)基于时间的 ACL 功能类似于扩展 ACL,但它允许根据时间执行访问控制。要使用基于时间的 ACL,您需要创建一个时间范围,指定一周和一天内的时段。您可以为时间范围命名,然后对相应功能应用此范围。时间限制会应用到该功能本身。基于时间的 ACL 具有许多优点,例如:在允许或拒绝资源访问方面为网络管理员提供了更多的控制权。允许网络管理员控制日志消息。ACL 条目可在每天定时记录流量,而不是一直记录流量。因此,管理员无需分析高峰时段产生的大量日志就可轻松地拒绝访问。

 

4)CBAC是一种允许路由器审查经过自己的流量,并且根据已经建立起来的状态信息决定允许某些流量或者拒绝某些流量通过的机制。CBAC动态修改扩展的访问控制列表以允许从外部发起的返回流量,CBAC提供对应用层和传输层协议的检查,同时基于检查数据包收集到的信息来控制会话的数量,同时也生成警告和审计信息。

    ACL不同的是,普通的扩展ACL只能在第3, 4层对流量进行过滤,RACL (自反射列表)能过滤第5层会话层的信息,CBAC支持应用服务的审查,能检查某些数据包的内容,如TELNET数据包内输入的命令,也能检查连接消息,确定连接的状态,CBAC能检查控制连接,确定数据连接正在建立,并将该连接添加到状态表中。CBAC也支持多个多媒体协议,以及其他的执行这种功能的应用。同样,CBAC也可以对HTTP做检查,发现JAVA程序,并进行过滤。

 

(5)基于区域的防火墙配置的防火墙策略都是在数据从一个区域发到另外一个区域时才生效,在同一个区域内的数据是不会应用任何策略的,所以我们就可以将需要使用策略的接口划入不同的区域,这样就可以应用我们想要的策略。但是,有时某些接口之间可能不需要彼此使用策略,那么这样的接口只要划入同一个区域,它们之间就可以任意互访了。Zone是应用防火墙策略的最小单位,一个zone中可以包含一个接口,也可以包含多个接口。通过配置基于区域的防火墙,可以达到保护内部网络不受外部入侵的要求,可以讲ZFW 是CBAC 的增强版,它的配置更灵活简单,只要合理运用会是一个不错的安全解决方案。 

 

 

 

9、总结

这次的网络安全作业,配置了6种不同的防火墙技术,让我充分的学习到了各种不同防火墙技术的作用。在配置的过程中,我发现有一些防火墙技术,配置动态路由的时候,会出现一些网络ping不同的问题,比如自反ACL我用了RIP协议配置网络,但却出现不通的情况,后面通过学习,知道了使用RIP协议时要在配置防火墙的时候使UDP通过才能正常。这次的作业使我学到了很多关于网络安全的知识。

 

转载于:https://www.cnblogs.com/YangYuChing/p/10816779.html

你可能感兴趣的:(第八组_通信二班_091_防火墙技术综合实验)