防火墙技术综合实验

Posted huangkaihua

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了防火墙技术综合实验相关的知识,希望对你有一定的参考价值。

一、实验目的:本次实验是将多种访问控制列表以及防火墙部分的知识做一个汇总

二、实验内容

AEstablished控制列表

拓扑图

配置步骤

 1:配置各端口ip地址,配置登陆密码

技术图片

2:测试连通性

 服务器远程登陆R2

技术图片

 

Pc0 ping 服务器

技术图片

 

3 关键命令

 

 在检测连通性,确保无误后,配置acl

 

R0(config)#access-list 100 permit ospf any any    //因为我是通过ospf建立路由表,所以这里要添加一条允许ospf数据包通过的规则

R0(config)#access-list 100 permit tcp any any established  //运用 established 命令检测数据包是否设置了ack,从而防止外网主动访问内网

R0(config)#access-list 100 deny ip any any

ACL应用到端口

R0(config)#interface Serial0/1/0

R0(config-if)#ip access-group 100 in

R0(config-if)#exit

 

 

4测试ACL

Pc0 ping  路由器R1(ICMP数据包默认拒绝,所以不通)

技术图片

 

服务器 telnet 内网路由器R2(主动访问被拒绝)

技术图片

 

 

Pc 采用http服务访问服务器

技术图片

 

 

B:自反ACL

原理:通过对经过该端口的请求数据包打上标记,对回复的数据包进行检测,据有该标记的数据包允许通过,否则被拒绝。

 

拓扑图

 

技术图片

 

1:配置各端口ip地址。

 配置R2 ip地址

技术图片

 

配置R1 ip地址

技术图片

 

2:测试连通性

 R2 telnet R4

技术图片

 

R4 telnet R2

技术图片

 

3:配置命令

  在检测连通性,确保无误后,配置acl

 

R3(config)#ip access-list extended goin

R3(config-ext-nacl)#permit tcp any any eq 23 reflect HKH

R3(config-ext-nacl)#evaluate HKH

R3(config-ext-nacl)#exit

 

应用到端口

R3(config)#int f0/1

R3(config-if)#ip access-group goin out  //应用到端口的out方向上

 

 

R2 telnet R4

技术图片

 

R4 telnet R2

技术图片

 

至此,自反ACL应用成功

 

 

 

 

C:动态ACL

 

 原理:Dynamic ACL在一开始拒绝用户相应的数据包通过,当用户认证成功后,就临时放行该数据,但是在会话结束后,再将ACL恢复最初的配置。要定义Dynamic ACL什么时候恢复最初的配置,可以定义会话超时,即会话多久没有传数据,就断开,也可以定义绝对时间,即无论会话有没有结束,到了规定时间,也要断开。

 

拓扑图

技术图片

 

配置步骤

 

1.配置端口ip地址。

配置R2 ip地址

技术图片

 

配置R4 ip地址

技术图片

 

测试连通性

 

R2 telnet R4

技术图片

 

配置命令

r1(config)#access-list 100 permit tcp an an eq telnet   //配置默认不需要认证就可以通过的数据,如telnet

r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any  //配置认证之

后才能通过的数据,如ICMP,绝对时间为2分钟。

 

应用ACL到端口

r1(config)#int f0/0

r1(config-if)#ip access-group 100 in

 

  

测试 :未进行认证时,R2 ping R4

技术图片

 

进行认证后,R2 ping R4

技术图片

 

 至此,动态ACL验证成功

 

 

 

 

D: 基于时间的ACl

原理: 要通过ACL来限制用户在规定的时间范围内访问特定的服务,首先设备上必须配置好正确的时间。在相应的时间要允许相应的服务,这样的命令,在配置ACL时,是正常配置的,但是,如果就将命令正常配置之后,默认是在所有时间内允许的,要做到在相应时间内允许,还必须为该命令加上一个时间限制,这样就使得这条ACL命令只在此时间范围内才能生效。而要配置这样的时间范围,是通过配置time-range来实现的,在time-range中定义好时间,再将此time-range跟在某ACL的条目之后,那么此条目就在该时间范围内起作用,其它时间是不起作用的。

 

拓扑图

技术图片

 

1配置端口ip地址。

配置R2 ip地址

技术图片

 

 

配置R4ip地址

技术图片

 

 

2测试连通性:R4 telnet R2

技术图片

 

 

3 关键步骤

1.配置time-range

r1(config)#time-range TELNET

r1(config-time-range)#periodic Sunday 9:00 to 18:00

说明:定义的时间范围为每周日9:00 to 15:00

2.配置ACL

说明:配置R1在上面的时间范围内拒绝R2到R4的telnet,其它流量全部通过。

r1(config)#access-list 100 deny tcp host 10.132.1.2 any eq 23 time-range TELNET

r1(config)#access-list 100 permit ip any any

 

3.应用ACL

r1(config)#int f0/0

r1(config-if)#ip access-group 100 in

 

4 验证

 

非允许时间内 R2 telnet R4

技术图片

 

技术图片

 

允许时间内 R2 ping R4

技术图片

技术图片

 

E:基于上下文的访问控制

 

 拓扑图

 技术图片

配置步骤

 

1配置端口ip地址,并检测连通性

 

服务器 ping  pc

技术图片

 

服务器 telnet R3

技术图片

 

2配置命令

 

R3(config)# ip access-list extended go

R3(config-ext-nacl)# deny ip any any   //ACL目的是隔绝外网流量 

R3(config-ext-nacl)# exit

R3(config)# interface s0/1/1

R3(config-if)# ip access-group go in

R3(config)#ip inspect name HKH icmp

R3(config)#ip inspect name HKH http  // 创建一个检测规则来检测ICMP和HTTP流量

R3(config)# ip inspect audit-trail

R3(config)# service timestamps debug datetime msec

R3(config)# logging host 10.132.1.2 //开启时间戳记记录和CBAC审计跟踪信息

R3(config)#int s0/1/1

R3(config-if)# ip inspect HKH out

验证:

PCping  服务器

技术图片

 

 

 

F 区域策略防火墙

 

拓扑图

 技术图片

 

 

1 配置端口地址以及OSPF

 

         2查看连通性

        Pc-a ping pc-c  

技术图片

 

Pc-c telnet R2

技术图片

 

http服务

技术图片

 

 

3配置区域策略防火墙

 

R3(config)# zone security IN-ZONE //创建区域IN-ZONE

R3(config-sec-zone)# exit

R3(config)# zone security OUT-ZONE //创建区域OUT-ZONE

R3(config-sec-zone)# exit

R3(config)# access-list 101 permit ip 10.132.3.0 0.0.0.255 any //access-list创建扩展ACL101来在IP层面允许所有从……源网络地址访问到任何其他地址

R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)# match access-group 101

R3(config-cmap)# exit //用 class map type inspect match all)来创建一个叫 class map type inspect class map,用match access-group匹配ACL

R3(config)# policy-map type inspect IN-2-OUT-PMAP //创建策略图IN-2-OUT-PMAP

R3(config-pmap)# class type inspect IN-NET-CLASS-MAP //定义一个检测级别类型和参考策略图

R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE  //创建一个区域对IN-2-OUT-ZPAIR对任务一中创建的区域进行源和目的区域定义

R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R3(config-sec-zone-pair)# exit

  R3(config# interface fa0/1

R3(config-if)# zone-member security IN-ZONE

R3(config-if)# exit

R3(config)# interface s0/1/1

R3(config-if)# zone-member security OUT-ZONE

R3(config-if)# exit

 

 

测试:

服务器 ping PC端(防火墙阻挡,外网无法ping通PC端)

技术图片

 

PC端 ping 服务器

技术图片

 

 

三:实验总结

 

  本次实验将前面所学的网络安全知识进行重新的处理总结,通过重新做这些实验,我发现了他们之间存在一定的联系,比如配置防火墙是可以添加ACL规则进行安全加固,但是必须要理清他们的运作原理。在操作实验过程中,其实有遇到很多问题,也有请教会的同学,经过同学的讲解,和自己一步一步的去摸索,其实主要还是在于它的原理,弄懂原理后就能明白很多。此次实验,让我通过实践充分理解理论知识,并达到学以致用。

 

以上是关于防火墙技术综合实验的主要内容,如果未能解决你的问题,请参考以下文章

基于防火墙双击热备三层网络规划_ensp综合实验

基于防火墙双击热备三层网络规划_ensp综合实验

华为防火墙综合实验

基于eNSP中大型校园/企业网络规划与设计_ensp综合大作业(ensp综合实验)

asa防火墙基本上网综合实验

防火墙NAT综合实验——nat控制,豁免,远程,DMZ区域(带命令)