欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

思科基于Cisco PT模擬器的防火墻配置實(shí)驗(yàn)案例詳解

  發(fā)布時(shí)間:2020-03-12 14:43:46   作者:atombomb   我要評論
這篇文章主要介紹了思科基于Cisco PT模擬器的防火墻配置實(shí)驗(yàn),結(jié)合具體案例形式詳細(xì)分析了思科防火墻配置常見操作技巧、配置命令與相關(guān)注意事項(xiàng),需要的朋友可以參考下

本文實(shí)例講述了基于Cisco PT模擬器的防火墻配置實(shí)驗(yàn)。分享給大家供大家參考,具體如下:

基于上下文的訪問控制

拓?fù)鋱D

 

地址表

Device

Interface

IP address

R1

F 0/0

192.168.65.1

S 0/0/0

10.1.65.1

R2

S 0/0/0

10.1.65.2

S 0/0/1

10.2.65.2

R3

F 0/0

172.16.65.3

S 0/0/0

10.2.65.3

PC-A

NIC

192.168.65.4

Default Gateway

192.168.65.1

PC-C

NIC

172.16.65.4

Default Gateway

172.16.65.3

預(yù)配置:

在配置防火墻之前驗(yàn)證設(shè)備間連通性,即先配置靜態(tài)路由

R1(config)#ip route 10.2.65.0 255.255.255.0 10.1.65.2

R1(config)#ip route 172.16.65.0 255.255.255.0 10.1.65.2

R2(config)#ip route 192.168.65.0 255.255.255.0 10.1.65.1

R2(config)#ip route 172.16.65.0 255.255.255.0 10.2.65.3

 

R3(config)#ip route 10.1.65.0 255.255.255.0 10.2.65.2

R3(config)#ip route 192.168.65.0 255.255.255.0 10.2.65.2

在R3啟用密碼

R3(config)#enable password lzr123

啟用console口密碼

R3(config)#line console 0

R3(config-line)#password lzr123

啟用vty行接入密碼

R3(config)#line vty 0 4

R3(config-line)#password lzr123

把S1、S2所有交換機(jī)接口都在Vlan1(S2配置相同)

S1(config)#int f 0/1

S1(config-if)# switchport access vlan 1

S1(config-if)# switchport trunk allowed vlan 1

S1(config)#int f 0/2

S1(config-if)# switchport access vlan 1

S1(config-if)# switchport trunk allowed vlan 1

預(yù)配置完成

驗(yàn)證:在PC-C的命令提示符中ping PC-A服務(wù)器

 

在PC-C命令提示符中telnet路由R2的s0/0/1接口:地址時(shí)10.2.65.2.退出telnet階段

 

在PC-C開一個(gè)網(wǎng)頁瀏覽器登入PC-A來展示網(wǎng)頁。關(guān)掉PC-C的瀏覽器。

 

在PC-A的命令提示符ping PC-C

 

在R3配置一個(gè)命名IP ACl阻隔所有外網(wǎng)產(chǎn)生的流量

用ip access-list extended指令創(chuàng)造一個(gè)已命名的IP ACL

R3(config)#ip access-list extended out-in

R3(config-ext-nacl)# deny ip any any

R3(config-ext-nacl)# exit

在s0/0/0應(yīng)用ACl

R3(config)#int s 0/0/0

R3(config-if)# ip access-group out-in in

確保進(jìn)入s0/0/1接口的流量被阻隔

在PC-C命令提示符ping PC-A服務(wù)器。ICMP回送響應(yīng)會被ACL阻隔

 

創(chuàng)建一個(gè)CBAC檢測規(guī)則

第一步  創(chuàng)建一個(gè)檢測規(guī)則來檢測ICMP,Telnet,和HTTP流量。

R3(config)# ip inspect name IN-OUT-IN icmp

R3(config)# ip inspect name IN-OUT-IN telnet

R3(config)# ip inspect name IN-OUT-IN http

第二步   開啟時(shí)間戳記記錄和CBAC審計(jì)跟蹤信息。

R3(config)# ip inspect audit-trail

R3(config)# service timestamps debug datetime msec

R3(config)# logging host 192.168.65.4

第三步    對在s0/0/0的出口流量用檢測規(guī)則。

R3(config-if)#int s0/0/0

R3(config-if)# ip inspect IN-OUT-IN out

第四步   驗(yàn)證審計(jì)跟蹤信息正被syslog服務(wù)器記錄

在PC-C 成功ping、telnet訪問PC-A來檢測連通性,注意Telnet不了。

 

在PC-A,ping,Telnet PC-C來檢測連通性,這兩步都被阻隔掉

 

CBAC基于上下文的訪問控制配置完成。

基于區(qū)域策略的防火墻

拓?fù)鋱D

 

地址表與預(yù)配置和上個(gè)實(shí)驗(yàn)(基于上下文的訪問控制)完全一致,參照上面配置即可。

驗(yàn)證基本網(wǎng)絡(luò)連通性

PC-A ping通PC-C

 

PC-C telnet到R3的s0/0/0接口

 

在R3創(chuàng)建區(qū)域防火墻

第一步   創(chuàng)建一個(gè)內(nèi)部區(qū)域。

R3(config)# zone security IN-ZONE

第二步 創(chuàng)建外部區(qū)域

R3(config-sec-zone)# zone security OUT-ZONE

R3(config-sec-zone)# exit

定義一個(gè)流量級別和訪問列表

第一步   創(chuàng)建一個(gè)用來定義內(nèi)部流量的ACL

R3(config)# access-list 101 permit ip 172.16.65.0 0.0.0.255 any

第二步 創(chuàng)建一個(gè)涉及內(nèi)部流量ACL的class map

R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)# match access-group 101

R3(config-cmap)# exit

指定防火墻策略

第一步 創(chuàng)建一個(gè)策略圖來確定對匹配的流量干涉。

R3(config)# policy-map type inspect IN-2-OUT-PMAP

第二步 定義一個(gè)檢測級別類型和參考策略圖。

R3(config-pmap)# class type inspect IN-NET-CLASS-MAP

第三步  定義檢測策略圖

Inspect這個(gè)指令調(diào)用基于上下文的訪問控制(其他還有通過和丟棄)

R3(config-pmap-c)#inspect

應(yīng)用防火墻策略

第一步 創(chuàng)建一對區(qū)域

R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

第二步 定義策略圖來控制兩個(gè)區(qū)域的流量。

R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R3(config-sec-zone-pair)# exit

第三步 把端口調(diào)用到合適的安全區(qū)域。

R3(config)# interface fa0/0

R3(config-if)# zone-member security IN-ZONE

R3(config-if)# exit

R3(config)# interface s0/0/0

R3(config-if)# zone-member security OUT-ZONE

R3(config-if)# exit

測試從IN-ZONE到OUT-ZONE的防火墻功能

第一步 PC-C ping PC-A服務(wù)器

第二步 從PC-C telnet到R2的s0/0/1口

 

PC-C打開網(wǎng)頁登到PC-A的服務(wù)器

 

測試外部區(qū)域到內(nèi)部區(qū)域的防火墻功能

驗(yàn)證配置ZPF之后外部無法訪問內(nèi)部。

第一步 PC-A ping PC-C(注意不能ping通)

 

此處ping通,作業(yè)失敗。

第二步 R2 ping PC-B也不能ping通

 

此處ping通,基于區(qū)域策略的防火墻配置驗(yàn)證失敗。

Established擴(kuò)展ACL

拓?fù)鋱D

 

地址表

Device

Interface

IP address

R1

F 0/0

172.16.65.1

F 0/1

10.3.65.1

S 0/0/1

10.1.65.1

R2

S 0/0/1

10.1.65.2

S 0/0/0

10.2.65.2

R3

F 0/0

192.168.65.3

S 0/0/0

10.2.65.3

PC0

NIC

172.16.65.100

Default Gateway

172.16.65.1

PC1

NIC

10.3.65.100

Default Gateway

10.3.65.1

Server0

NIC

192.168.65.100

Default Gateway

192.168.65.3

配置擴(kuò)展ACL前先把網(wǎng)絡(luò)做通,配置靜態(tài)路由。

R1(config)#ip route 172.16.65.0 255.255.255.0 10.1.65.2

R1(config)#ip route 10.2.65.0 255.255.255.0 10.1.65.2

R1(config)#ip route 192.168.65.0 255.255.255.0 10.1.65.2

R2(config)#ip route 172.16.65.0 255.255.255.0 10.1.65.1

R2(config)#ip route 10.3.65.0 255.255.255.0 10.1.65.1

R2(config)#ip route 192.168.65.0 255.255.255.0 10.2.65.3

R3(config)#ip route 10.1.65.0 255.255.255.0 10.2.65.2

R3(config)#ip route 172.16.65.0 255.255.255.0 10.2.65.2

R3(config)#ip route 10.3.65.0 255.255.255.0 10.2.65.2

R1#show ip route

查看路由表

試從PC-1 ping 到Server0

 

靜態(tài)路由配置完成,開始做擴(kuò)展ACL實(shí)驗(yàn)。

實(shí)驗(yàn)步驟

要求:

 拒絕PC0 所在網(wǎng)段訪問Server 192.168.65.100 的Web 服務(wù)

 拒絕PC1 所在網(wǎng)段訪問Server 192.168.65.100 的Ftp 服務(wù)

 拒絕PC0 所在網(wǎng)段訪問Server 192.168.65.100 的SQL 服務(wù)

 拒絕PC0 所在網(wǎng)段訪問路由器R3 的Telnet 服務(wù)

 拒絕PC1 所在網(wǎng)段訪問路由器R2 的Web 服務(wù)

 拒絕PC0 和PC2 所在網(wǎng)段ping Server 服務(wù)器

 只允許路由器R3 以接口s0/0/0 為源ping 路由器R2 的接口s0/0/1 地址,而不允許路由器R2 以接口s0/0/1 為源ping 路由器R3 的接口s0/0/0 地址,即單向ping.

(一)配置路由器

R1(config)#access-list 110 remark this is an example for extended acl

R1(config)#access-list 110 deny tcp 172.16.65.0 0.0.0.255 host 192.168.65.100 eq 80

R1(config)#access-list 110 deny tcp 10.3.65.0 0.0.0.255 host 192.168.65.100 eq 21

R1(config)#access-list 110 deny tcp 10.3.65.0 0.0.0.255 host 192.168.65.100 eq 20

R1(config)#access-list 110 deny tcp 172.16.65.0 0.0.0.255 host 192.168.65.100 eq 1433

R1(config)#access-list 110 deny tcp 172.16.65.0 0.0.0.255 host 10.2.65.3 eq 23

R1(config)#access-list 110 deny tcp 172.16.65.0 0.0.0.255 host 192.168.65.3 eq 23

R1(config)#access-list 110 deny tcp 10.3.65.0 0.0.0.255 host 10.1.65.2 eq 80

R1(config)#access-list 110 deny tcp 10.3.65.0 0.0.0.255 host 10.2.65.2 eq 80

R1(config)#access-list 110 deny icmp 172.16.65.0 0.0.0.255 host 192.168.65.100

R1(config)#access-list 110 deny icmp 10.3.65.0 0.0.0.255 host 192.168.65.100

R1(config)#access-list 110 permit ip any any

R1(config)#int s0/0/1

R1(config-if)#ip access-group 110 out

(二)配置路由器R3

R3(config)#access-list 120 deny icmp host 10.2.65.2 host 10.2.65.3 echo

R3(config)#access-list 120 permit ip any any

R3(config)#int s0/0/1

R3(config-if)#ip access-group 120 in

實(shí)驗(yàn)調(diào)試

(一)路由器R1 上查看ACL110

R1#show ip access-lists 110

(二)路由器R3 和路由器R2 互相ping

 

R2可ping通R3

 

R3不可ping通R2

(三)路由器R3 查看ACL 120

R3#show ip access-lists 120

 

(四)配置命令擴(kuò)展ACL

R3(config)#ip access-list extended acl120

R3(config-ext-nacl)#deny icmp host 10.2.65.2 host 10.2.65.3 echo

R3(config-ext-nacl)#permit ip any any

R3(config-ext-nacl)#int s0/0/0

R3(config-if)#ip access-group acl120 in

R3#show ip access-lists

 

擴(kuò)展ACL實(shí)驗(yàn)配置完成,驗(yàn)證成功

作業(yè)總結(jié)

本次防火墻作業(yè)包括了六個(gè)內(nèi)容,作業(yè)量較大,花費(fèi)了很長的時(shí)間才完成。

其中,基于區(qū)域策略的防火墻配置失敗,在對比了實(shí)驗(yàn)文檔以及差錯(cuò)后未能發(fā)現(xiàn)問題所在,由于時(shí)間問題只能放棄。

另外,在擴(kuò)展ACL的配置中出現(xiàn)了大量繁瑣復(fù)雜的、包括了多個(gè)IP地址的配置命令,由于對配置命令的不理解只能機(jī)械的重復(fù)檢查以防止出錯(cuò),要更好的理解配置命令。

最后由于內(nèi)容多、課時(shí)不夠,我們的實(shí)驗(yàn)時(shí)間被大大壓縮,以致我對很多的配置命令都不熟悉,因此此后在課后要主動練習(xí),熟悉、掌握配置命令。

相關(guān)文章

最新評論