高级ACL(访问控制列表)的配置

路漫漫其修远兮,吾将上下而求索

本实验将介绍acl在安全策略中的应用,希望对你所学的知识和自己的网络技术提升有所帮助。

1.内容

模拟简单公司网络,拓扑图如图所示

高级ACL(访问控制列表)的配置_第1张图片

2.配置

2.1配置服务器

配置ftp服务器,配置前不要启动此设备

高级ACL(访问控制列表)的配置_第2张图片

高级ACL(访问控制列表)的配置_第3张图片

按上图选择自己想选的文件夹即可

然后启动该设备,点击服务器信息,FTP里面的启动按钮,即可启动,查看日志信息

高级ACL(访问控制列表)的配置_第4张图片

配置web服务器

高级ACL(访问控制列表)的配置_第5张图片

 高级ACL(访问控制列表)的配置_第6张图片

启动完成

2.2配置接口和设备的IP地址

此处不再配置。您若有配置问题请询问www.baidu.com

高级ACL(访问控制列表)的配置_第7张图片

2.3为各部门建立区域

在R1上为HR,IT,SALES,分别创建区域。再创建trust区域,web和ftp属于trust区域

HR安全级别为12  下文简称H

IT安全级别为8  下文简称I

SALES安全级别为10  下文简称S

trus安全级别12  下文简称T

安全级别 0~15,15保留给local区域使用,AR路由系列共有16种级别

高级ACL(访问控制列表)的配置_第8张图片

按图将不同接口加入到相应的区域

高级ACL(访问控制列表)的配置_第9张图片

使用dis firewall zone 查看配置

 高级ACL(访问控制列表)的配置_第10张图片

 2.4禁止S与H部门进行互访

创建ACL, 拒绝 H到S报文,在h-s区域的outbound方向上引用

高级ACL(访问控制列表)的配置_第11张图片

 rule d ip s 172.16.1.0 0.0.0.255 de 172.16.2.0 0.0.0.255

制定规则,拒绝 IP源地址 为172.16.1.0/24 到 目的地址172.16.2.0/24 的报文通过

高级ACL(访问控制列表)的配置_第12张图片

此时pc1和pc2无法通信

 2.4 S部门可以访问web,不可以访问ftp

 指定acl规则

高级ACL(访问控制列表)的配置_第13张图片

 r 10 p tcp s 172.16.2.0 0.0.0.255  d 192.168.1.20 0 des eq 80

 规则 10 允许 tcp 源地址为 172.16.2.0/24段 目的地址为 192.168.1.20的主机的 目的端口为80 的服务通过

测试

高级ACL(访问控制列表)的配置_第14张图片

高级ACL(访问控制列表)的配置_第15张图片

配置成功

2.5 IT部门配置

IT部门可随时访问ftp,但每天12~16点可以访问web,并且IT部门随时可以ping通ftp和web服务器

高级ACL(访问控制列表)的配置_第16张图片

 time-range 名字   时间 to 时间       设置时间段命令

以下是制定规则的四条命令,依次是

设置时间段访问web

随时访问ftp

随时ping通ftp和web

高级ACL(访问控制列表)的配置_第17张图片

在IT和TRUST部门防火墙区域使用acl3003

 高级ACL(访问控制列表)的配置_第18张图片

测试

高级ACL(访问控制列表)的配置_第19张图片

高级ACL(访问控制列表)的配置_第20张图片

高级ACL(访问控制列表)的配置_第21张图片

高级ACL(访问控制列表)的配置_第22张图片

由于此时正处于12点到16点之间,所有IT部门可以访问web服务器,配置成功。

2.6实现对设备安全管理

 只允许S1上vlanif 1的IP地址192.168.1.1登录R1

S1上创建vlanif 1,并按拓扑图进行配置

设置登录vty,  配置acl2000,   只让192.168.1.1登录

高级ACL(访问控制列表)的配置_第23张图片

测试

高级ACL(访问控制列表)的配置_第24张图片

登录成功

 更改S1的vlanif地址为192.168.1.2/24,再尝试登录

高级ACL(访问控制列表)的配置_第25张图片

发现登录不成功,配置成功了。

 3问题-总结

1.关于禁止SALES与HR部门直接互访,为什么要创建acl 3000,并在两区域outbound方向上调用?

答:AR系列路由器防火墙特性,要注意流量的方向。从高安全级别区域去低安全级别的报文称为oubound;从低区域到高区域称inbound报文。

开启域间防火墙,高区域可以访问低区域,低区域不可访问高区域,如果不创建acl 3000,并在outbound方向调用,那么此时HR部门可以访问SALES部门,SALES部门不能访问HR,不能实现禁止互访。

2.总结

此实验是简单的企业各部门与服务器,部门与部门之间的路由配置实验。

希望对您有所帮助,谢谢观看。

我的主页你遇见我_ensp网络技术-CSDN博客

你可能感兴趣的:(ensp网络技术,网络,计算机网络,信息与通信,智能路由器)