一、实验目的：本次实验是将多种访问控制列表以及防火墙部分的知识做一个汇总

 

二、实验内容

 

A：Established控制列表

 

 

拓扑图

 

配置步骤

 

1:配置各端口ip地址，配置登陆密码

 

R4:

登陆账号：jj

密码：123

 

2:测试连通性

 

服务器远程登陆R2

 

 

 

 

Pc0 ping 服务器

 

 

3 关键命令

 

在检测连通性，确保无误后，配置acl

 

R0(config)#access-list 100 permit ospf any any    //因为我是通过ospf建立路由表，所以这里要添加一条允许ospf数据包通过的规则

R0(config)#access-list 100 permit tcp any any established  //运用 established 命令检测数据包是否设置了ack,从而防止外网主动访问内网

R0(config)#access-list 100 deny ip any any

将ACL应用到端口

R0(config)#interface Serial0/1/0

R0(config-if)#ip access-group 100 in

R0(config-if)#exit

 

 

4测试ACL

 

Pc0 ping  路由器R1(ICMP数据包默认拒绝，所以不通)

 

服务器 telnet 内网路由器R2（主动访问被拒绝）

 

 

 

Pc 采用http服务访问服务器

 

 

B：自反ACL

 

原理：通过对经过该端口的请求数据包打上标记，对回复的数据包进行检测，据有该标记的数据包允许通过，否则被拒绝。

 

拓扑图

 

 

 

1:配置各端口ip地址，配置登陆密码

 

R2:                                                  R4:

登陆账号：R2                               登陆账号：R4

密码：123                                     密码：123

Enable passwork:123                      enable passwork:123

 

 

2：测试连通性

 

 

R2 telnet R4

 

 

 

R4 telnet R2

 

 

 

 

3:配置命令

  在检测连通性，确保无误后，配置acl

 

R3(config)#ip access-list extended goin

R3(config-ext-nacl)#permit tcp any any eq 23 reflect YS

R3(config-ext-nacl)#evaluate YS

R3(config-ext-nacl)#exit

 

应用到端口

R3(config)#int f0/1

R3(config-if)#ip access-group goin out  //应用到端口的out方向上

 

 

测试结果

 

查看acl表

 

 

 

 

 

 

R2 telnet R4

 

 

 

 

R4 telnet R2

 

 

 

 

 

 

至此，自反ACL应用成功

 

 

C：动态ACL

 

原理：Dynamic ACL在一开始拒绝用户相应的数据包通过，当用户认证成功后，就临时放行该数据，但是在会话结束后，再将ACL恢复最初的配置。要定义Dynamic ACL什么时候恢复最初的配置，可以定义会话超时，即会话多久没有传数据，就断开，也可以定义绝对时间，即无论会话有没有结束，到了规定时间，也要断开。

 

 

拓扑图

 

 

 

 

 

 

配置步骤

 

1配置端口ip地址，远程登陆账号密码

 

R1                                              R4

账号：ljj                                 账号：jj

密码：123                                密码：123

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

测试连通性

 

R2 telnet R4

 

 

 

 

 

配置命令

r1(config)#access-list 100 permit tcp an an eq telnet   //配置默认不需要认证就可以通过的数据，如telnet

r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any  //配置认证之

后才能通过的数据，如ICMP，绝对时间为2分钟。

 

应用ACL到端口

r1(config)#int f0/0

r1(config-if)#ip access-group 100 in

 

 

 

 

测试 ：未进行认证时，R2 ping R4

 

 

 

进行认证后，R2 ping R4

 

 

 至此，动态ACL验证成功

 

 

 

 

 

 

 

D: 基于时间的ACl

原理： 要通过ACL来限制用户在规定的时间范围内访问特定的服务，首先设备上必须配置好正确的时间。在相应的时间要允许相应的服务，这样的命令，在配置ACL时，是正常配置的，但是，如果就将命令正常配置之后，默认是在所有时间内允许的，要做到在相应时间内允许，还必须为该命令加上一个时间限制，这样就使得这条ACL命令只在此时间范围内才能生效。而要配置这样的时间范围，是通过配置time-range来实现的，在time-range中定义好时间，再将此time-range跟在某ACL的条目之后，那么此条目就在该时间范围内起作用，其它时间是不起作用的。

 

拓扑图

 

1配置端口ip地址，远程登陆账号密码

2测试连通性：R4 telnet R2

 

 

 

 

 

3 关键步骤

1.配置time-range

r1(config)#time-range TELNET

r1(config-time-range)#periodic Sunday 9:00 to 18:00

说明：定义的时间范围为每周日的9:00 to 15:00

2.配置ACL

说明：配置R1在上面的时间范围内拒绝R2到R4的telnet，其它流量全部通过。

r1(config)#access-list 100 deny tcp host 10.29.1.2 any eq 23 time-range TELNET

r1(config)#access-list 100 permit ip any any

3.应用ACL

r1(config)#int f0/0

r1(config-if)#ip access-group 100 in

 

 

 

 

 

 

4 验证

 

 

非允许时间内 R2 telnet R4

 

 

 

 

 

 

 

 

 

 

 

 

允许时间内 R2 ping R4

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

E:基于上下文的访问控制

 

拓扑图

 

 

 

 

 

 

配置步骤

 

1配置端口ip地址，并检测连通性

 

服务器 ping  pc端

 

 

 

 

服务器 telnet R3

 

 

 

 

 

2配置命令

 

R3(config)# ip access-list extended go

R3(config-ext-nacl)# deny ip any any   //此ACL目的是隔绝外网流量

R3(config-ext-nacl)# exit

R3(config)# interface s0/1/1

R3(config-if)# ip access-group go in

R3(config)#ip inspect name YS icmp

R3(config)#ip inspect name YS http  // 创建一个检测规则来检测ICMP和HTTP流量

R3(config)# ip inspect audit-trail

R3(config)# service timestamps debug datetime msec

R3(config)# logging host 10.29.1.2 //开启时间戳记记录和CBAC审计跟踪信息

R3(config)#int s0/1/1

R3(config-if)# ip inspect YS out

 

 

 

 

 

 

验证

服务器 ping  pc端

 

 

 

 

 

PC端 ping  服务器

 

 

 

 

 

 

F 区域策略防火墙

 

 

 

拓扑图

 

 

 

 

1 配置端口地址以及账号配置

路由器预配置如下：

• jj 密码: 123
• 动态路由

 

         2查看连通性

        Pc-a ping pc-c 

           

 

 

 

Pc-c telnet R2

 

 

 

 

http服务

 

 

 

 

 

 

 

 

 

3配置区域策略防火墙

 

R3(config)# zone security IN-ZONE //创建区域IN-ZONE

R3(config-sec-zone)# exit

R3(config)# zone security OUT-ZONE //创建区域OUT-ZONE

R3(config-sec-zone)# exit

R3(config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 any //用access-list创建扩展ACL101来在IP层面允许所有从……源网络地址访问到任何其他地址

R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)# match access-group 101

R3(config-cmap)# exit //用 class map type inspect （match all）来创建一个叫 class map type inspect 的class map，用match access-group匹配ACL

R3(config)# policy-map type inspect IN-2-OUT-PMAP //创建策略图IN-2-OUT-PMAP

R3(config-pmap)# class type inspect IN-NET-CLASS-MAP //定义一个检测级别类型和参考策略图

R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE  //创建一个区域对IN-2-OUT-ZPAIR对任务一中创建的区域进行源和目的区域定义

R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R3(config-sec-zone-pair)# exit

  R3(config# interface fa0/1

R3(config-if)# zone-member security IN-ZONE

R3(config-if)# exit

R3(config)# interface s0/1/1

R3(config-if)# zone-member security OUT-ZONE

R3(config-if)# exit

 

 

测试

 

 

服务器 ping PC端（防火墙阻挡，外网无法ping通PC端）

 

 

 

PC端 ping 服务器

 

 

 

 

 

 

 

 

 

三：实验总结

 

  本次实验将前面所学的网络安全知识进行重新的处理总结，首先，在配置之前应当保证网络通畅。本次实验我对防火墙和ACL进行了大概的总结，就是这两个协议都能抵御来自外网的攻击，提高网络安全性，但是对于来自内网的攻击难以抵御，这是防火墙技术的局限性，在配置过程中应对网络进行反复验证。