高级ACL（访问控制列表）的配置

路漫漫其修远兮，吾将上下而求索

本实验将介绍acl在安全策略中的应用，希望对你所学的知识和自己的网络技术提升有所帮助。

1.内容

模拟简单公司网络，拓扑图如图所示

2.配置

2.1配置服务器

配置ftp服务器，配置前不要启动此设备

按上图选择自己想选的文件夹即可

然后启动该设备，点击服务器信息，FTP里面的启动按钮，即可启动，查看日志信息

配置web服务器

 

启动完成

2.2配置接口和设备的IP地址

此处不再配置。您若有配置问题请询问www.baidu.com

2.3为各部门建立区域

在R1上为HR,IT,SALES,分别创建区域。再创建trust区域，web和ftp属于trust区域

HR安全级别为12  下文简称H

IT安全级别为8  下文简称I

SALES安全级别为10  下文简称S

trus安全级别12  下文简称T

安全级别 0~15，15保留给local区域使用，AR路由系列共有16种级别

按图将不同接口加入到相应的区域

使用dis firewall zone 查看配置

 

 2.4禁止S与H部门进行互访

创建ACL， 拒绝 H到S报文，在h-s区域的outbound方向上引用

 rule d ip s 172.16.1.0 0.0.0.255 de 172.16.2.0 0.0.0.255

制定规则，拒绝 IP源地址 为172.16.1.0/24 到 目的地址172.16.2.0/24 的报文通过

此时pc1和pc2无法通信

 2.4 S部门可以访问web,不可以访问ftp

 指定acl规则

 r 10 p tcp s 172.16.2.0 0.0.0.255  d 192.168.1.20 0 des eq 80

 规则 10 允许 tcp 源地址为 172.16.2.0/24段 目的地址为 192.168.1.20的主机的 目的端口为80 的服务通过

测试

配置成功

2.5 IT部门配置

IT部门可随时访问ftp,但每天12~16点可以访问web,并且IT部门随时可以ping通ftp和web服务器

 time-range 名字   时间 to 时间       设置时间段命令

以下是制定规则的四条命令，依次是

设置时间段访问web

随时访问ftp

随时ping通ftp和web

在IT和TRUST部门防火墙区域使用acl3003

 

测试

由于此时正处于12点到16点之间，所有IT部门可以访问web服务器，配置成功。

2.6实现对设备安全管理

 只允许S1上vlanif 1的IP地址192.168.1.1登录R1

S1上创建vlanif 1,并按拓扑图进行配置

设置登录vty,  配置acl2000,   只让192.168.1.1登录

测试

登录成功

 更改S1的vlanif地址为192.168.1.2/24，再尝试登录

发现登录不成功，配置成功了。

 3问题-总结

1.关于禁止SALES与HR部门直接互访，为什么要创建acl 3000，并在两区域outbound方向上调用？

答：AR系列路由器防火墙特性，要注意流量的方向。从高安全级别区域去低安全级别的报文称为oubound;从低区域到高区域称inbound报文。

开启域间防火墙，高区域可以访问低区域，低区域不可访问高区域，如果不创建acl 3000,并在outbound方向调用，那么此时HR部门可以访问SALES部门，SALES部门不能访问HR，不能实现禁止互访。

2.总结

此实验是简单的企业各部门与服务器，部门与部门之间的路由配置实验。

希望对您有所帮助，谢谢观看。

我的主页你遇见我_ensp网络技术-CSDN博客