一,实验拓扑
二,实验步骤:
(1)测试网络连通性,PC1 ping 服务器。
(2)配置路由器R0
R0(config)#access-list 110 remark this is an example for extended acl//添加备注,增加可读性
R0(config)#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.100 eq 80
//拒绝PC1 所在网段访问Server 172.9.3.100 的Web 服务
R0(config)#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.3.100 eq 21
R0(config)#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.3.100 eq 20
//拒绝PC2 所在网段访问Server 172.9.3.100 的Ftp 服务
R0(config)#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.100 eq
1433//拒绝PC1 所在网段访问Server 172.9.3.100 的SQL 服务
R0(config)#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.23.3 eq 23
R0(config)#access-list 110 deny tcp 172.9.1.0 0.0.0.255 host 172.9.3.3 eq 23
//拒绝PC1 所在网段访问路由器R2 的Telnet 服务
R0(config)#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.12.2 eq 80
R0(config)#access-list 110 deny tcp 172.9.2.0 0.0.0.255 host 172.9.23.2 eq 80
//拒绝PC2 所在网段访问路由器R2 的Web 服务
R0(config)#access-list 110 deny icmp 172.9.1.0 0.0.0.255 host 172.9.3.100
R0(config)#access-list 110 deny icmp 172.9.2.0 0.0.0.255 host 172.9.3.100
//拒绝PC1 和PC2 所在网段ping Server 服务器
R0(config)#access-list 110 permit ip any any
R0(config)#int s0/0/0
R0(config-if)#ip access-group 110 out //接口下应用ACL
(3)配置路由器R2
R2(config)#access-list 120 deny icmp host 172.9.23.2 host 172.9.23.3 echo
R2(config)#access-list 120 permit ip any any
R2(config)#int s0/0/1
R2(config-if)#ip access-group 120 in
三,实验调试
(1) 路由器R0上查看ACL 110
(2) 路由器R2和路由器R1,互相ping
(3) 路由器R2上查看ACL 120
(4) 配置命令扩展ACL
R2(config)#ip access-list extended acl120
R2(config-ext-nacl)#deny icmp host 172.9.23.2 host 172.9.23.3 echo
R2(config-ext-nacl)#permit ip any any
R2(config-ext-nacl)#int s0/0/1
R2(config-if)#ip access-group acl120 in
一,实验拓扑
一,实验步骤
(1) 测试网络连通性,R2 ping R4
(1) 配置拒绝外网主动访问内网
i. 配置允许ICMP可以不用标记进入内网,其它的必须被标记才返回
r1(config-ext-nacl)#permit icmp any any 被允许的ICMP是不用标记即可进入内网的
r1(config-ext-nacl)#evaluate abc 其它要进入内网的,必须是标记为abc的
ii. 应用ACL
r1(config)#int f0/1
r1(config-if)#ip access-group come in
iii. 测试外网R4的ICMP访问内网
说明:可以看到,ICMP是可以任意访问的
iv. 测试外网R4 telnet 内网
说明:可以看到,除ICMP外,其它流量是不能进入内网的
v. 测试内网R2的ICMP访问外网
说明:可以看到,内网发ICMP到外网,也正常返回了
vi. 测试内网R2发起telnet到外网
说明:可以看到,除ICMP外,其他流量是不能通过的
(3) 配置内网向外网发起的telnet被返回
说明:外网和内网之间的ICMP可以不受限制,外网不能telnet内网,但内网telnet外网时,需要配置记录,让其返回,根据上面的ACL配置,可以返回的,必须是标为abc的,所以在此为内网发向外网的telnet标为abc,返回时,就会有缺口,因此内网能正常telnet外网,但外网不可主动telnet内网。
A:配置内网出去时,telnet被记录为abc,将会被允许返回
r1(config)#ip access-list extended goto
r1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60 telnet已记为abc
r1(config-ext-nacl)#permit ip any any
B:应用ACL
r1(config)#int f0/1
r1(config-if)#ip access-group goto out
三,实验调试
(1) 查看R2到外网的ICMP
说明:ICMP属于正常
(2) 查看内网向外网发起的telnet
说明:可以看出,此时内网向外网的telnet因为被标记为abc,所以再回来时,开了缺口,也就允许返回了
(3) 查看ACL
说明:可以看到,有一条为abc的ACL为允许外网到内网的telnet,正是由于内网发到外网的telnet被标记了,所以也自动产生了允许其返回的ACL,并且后面跟有剩余时间。
一,实验原理
Dynamic ACL在一开始拒绝用户相应的数据包通过,当用户认证成功后,就临时放行该数据,但是在会话结束后,再将ACL恢复最初的配置。要定义Dynamic ACL什么时候恢复最初的配置,可以定义会话超时,即会话多久没有传数据,就断开,也可以定义绝对时间,即无论会话有没有结束,到了规定时间,也要断开。
二,实验拓扑
三,实验步骤
1, 测试网络连通性
2, 配置Dynamic ACL
r1(config)#access-list 100 permit tcp an an eq telnet
3, 配置认证之后才能通过的数据,如ICMP,绝对时间为2分钟
r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any
4, 应用ACL
r1(config)#int f0/0
r1(config-if)#ip access-group 100 in
四,实验调试
1, 测试内网R2 telnet 外网R4
说明:从结果中看出,telnet不受限制
2, 测试内网R2 ping 外网R4
说明:内网在没有认证之前,ICMP是无法通过的
3, 配置本地用户数据库
r1(config)#username ccie password cisco
4, 配置所有人的用户名具有访问功能
r1(config)#line vty 0 181
r1(config-line)#login local
r1(config-line)#autocommand access-enable 这条必加
5, 内网R2做认证
说明:当telnet路由器认证成功后,是会被关闭会话的
6, 测试内网到外网的ICMP通信功能
说明:认证通过之后,ICMP被放行
7, 查看ACL状态
一,实验原理
原理: 要通过ACL来限制用户在规定的时间范围内访问特定的服务,首先设备上必须配置好正确的时间。在相应的时间要允许相应的服务,这样的命令,在配置ACL时,是正常配置的,但是,如果就将命令正常配置之后,默认是在所有时间内允许的,要做到在相应时间内允许,还必须为该命令加上一个时间限制,这样就使得这条ACL命令只在此时间范围内才能生效。而要配置这样的时间范围,是通过配置time-range来实现的,在time-range中定义好时间,再将此time-range跟在某ACL的条目之后,那么此条目就在该时间范围内起作用,其它时间是不起作用的。
二,实验拓扑
三,实验步骤
1, 测试网络连通性
2, 配置time-rang
r1(config)#time-range TELNET
r1(config-time-range)#periodic weekdays 9:00 to 15:00
说明:定义的时间范围为每周一到周五的9:00 to 15:00
3, 配置ACL
说明:配置R1在上面的时间范围内拒绝R2到R4的telnet,其它流量全部通过。
r1(config)#access-list 150 deny tcp host 10.1.1.2 any eq 23 time-range TELNET
r1(config)#access-list 150 permit ip any any
4, 应用ACL
r1(config)#int f0/0
r1(config-if)#ip access-group 150 in
四,实验调试
1, 查看当前R1的时间
2, 测试R2向R4发起的telnet会话
说明:当时时间不再制定范围,所以能TELNET成功
一,实验拓扑
二,实验步骤
1, 测试网络连通性
2, 在R2上配置一个命名为IP ACL阻隔所有外网产生的流量
用ip access-list extended指令创造一个已命名的IP ACL
R2(config)# ip access-list extended OUT-IN
R2(config-ext-nacl)# deny ip any any
R2(config-ext-nacl)# exit
3, 应用ACL
R2(config)# interface s0/0/1
R2(config-if)# ip access-group OUT-IN in
说明:确保进入s0/0/1接口的流量被阻隔
4, 创建一个CBAC检测规则
R2(config)# ip inspect name IN-OUT-IN icmp
R2(config)# ip inspect name IN-OUT-INtelnet
R2(config)# ip inspect name IN-OUT-INhttp
5, 开启时间记录和CBAC审计信息
R2(config)# ip inspect audit-trail
R2(config)# service timestamps debug datetime msec
R2(config)# logging host 192.168.1.3
R2(config-if)# ip inspect IN-OUT-IN out
三,实验调试
1, 验证审计跟踪信息正被syslog服务器记录
需要注意,telnet不了
2, show ip inspect sessions
3, show ip inspect config
一,实验拓扑
二,实验步骤
1, 测试网络连通性
PC ping 服务器
PC telnet 到R2上
PC登陆到服务器的网页
2, 在R2创建区域防火墙
R2(config)# zone security IN-ZONE
R2(config-sec-zone)# zone security OUT-ZONE
R2(config-sec-zone)# exit
3, 定义一个流量级别和访问列表
R2(config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 any
R2(config)# class-map type inspect match-all IN-NET-CLASS-MAP
R2(config-cmap)# match access-group 101
R2(config-cmap)# exit
4, 指定防火墙策略
R2(config)# policy-map type inspect IN-2-OUT-PMAP
R2(config-pmap)# class type inspect IN-NET-CLASS-MAP
R2(config-pmap-c)# inspect
5, 应用防火墙策略
R2(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE
R2(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP
R2(config-sec-zone-pair)# exit R2(config)#
R2(config)# interface fa0/1
R2(config-if)# zone-member security IN-ZONE
R2(config-if)# exit
R2(config)# interface s0/0/1
R2(config-if)# zone-member security OUT-ZONE
R2(config-if)# exit
三,实验调制
1, 测试聪IN-ZONE到OUT-ZONE的防火墙功能
PC ping 服务器
PC telnet 到R2
R2上查看完成情况
2, 测试外部区域到内部区域的防火墙功能
验证配置ZPF之后外部无法访问内部
服务器ping PC(ping不通)
R2 ping PC(ping 不通)
本次实验将前面所学的网络安全知识进行重新的处理总结,通过重新做这些实验,我发现了他们之间存在一定的联系,比如配置防火墙是可以添加ACL规则进行安全加固,但是必须要理清他们的运作原理。本次实验我对防火墙和ACL进行了大概的总结,就是这两个协议都能抵御来自外网的攻击,提高网络安全性,但是对于来自内网的攻击难以抵御,且在应用前都必须经过反复验证,确保其可行性,不会阻碍正常的网络运行。
原文:https://www.cnblogs.com/cheng409/p/10872148.html