桂林理工大学【网络安全】实验二、配置通过包过滤实现基本访问控制.docx

桂林理工大学【网络安全】实验二、配置通过包过滤实现基本访问控制.docx

《桂林理工大学【网络安全】实验二、配置通过包过滤实现基本访问控制.docx》由会员分享，可在线阅读，更多相关《桂林理工大学【网络安全】实验二、配置通过包过滤实现基本访问控制.docx（9页珍藏版）》请在冰豆网上搜索。

实验二、配置通过包过滤实现基本访问控制

安全区域和包过滤是最基本的防火墙功能，可以用来实现最简单的访问控制功能。

本实验将使用路由口，实现通过安全区域和包过滤控制不同主机访问网络的行为。

前提条件

本实验主要关注安全区域与包过滤的配置，关于设备如何接入互联网，以及如何使用NAT功能实现内网主机通过有限的公网IP访问互联网。

组网需求

USG部署在某公司的出口，公司内的网络设备主要分为员工PC和服务器两种。

希望对员工的访问网络的权限进行差异化管理，有如下需求：

·部分特殊员工可以拥有访问外部Internet的权限。

·除特殊员工外的所有员工不能访问Internet。

·员工之间都可以相互访问。

·所有员工都可以访问公司的所有服务器。

·Internet网络上任何主机都可以访问公司的FTP服务器和Web服务器。

基于以上几个需求，可以对网络进行如下规划：

·将所有员工放在同一个安全区域，不对这些员工之间的互访进行监控。

·将所有服务器放在另外一个安全区域，以避免外网用户通过服务器中转对内网用户进行攻击。

·配置ACL划定特殊员工，以给这些员工专门开启访问Internet的权限。

最终组网图如图1所示。

图1配置通过包过滤实现基本访问控制组网图

项目

数据

说明

（1）

接口号：

GigabitEthernet0/0/2

IP地址：

192.168.1.1/24

安全区域：

Trust

该接口通过交换机与员工PC相连，位于同一网段。

（2）

接口号：

GigabitEthernet0/0/3

IP地址：

10.1.1.1/24

安全区域：

DMZ

该接口通过交换机与服务器相连，位于同一网段。

（3）

接口号：

GigabitEthernet0/0/4

IP地址：

1.1.1.1/24

安全区域：

Untrust

该接口与外网相连。

此时已经可以接入互联网。

Trust

地址范围：

192.168.1.0/24

将所有员工PC部署在Trust区域。

DMZ

地址范围：

10.1.1.0/24

其中部署多个服务器，但是只有两个服务器对外网提供服务：

·FTP服务器：

10.1.1.2/24

·Web服务器：

10.1.1.3/24

将所有服务器的IP地址划为这个网段，并且部署在DMZ区域。

Untrust

公网地址

用于定义外网主机和服务器。

特殊员工

地址范围：

192.168.1.10/24～192.168.1.100/24

特殊员工可以访问互联网。

设备管理员

地址：

192.168.1.2/24

设备管理员位于Trust区域，但是其可以登录设备进行配置。

操作步骤

1.打开所有域间缺省包过滤，以保证配置过程中业务不会中断。

说明：

 配置包过滤的整体原则：

先打开所有域间的缺省包过滤，保证网络通信正常，然后根据需求配置相应域间的严格包过滤，再检查配置是否正确，最后根据网络情况逐个关闭不需要开放的域间缺省包过滤。

system-view

[USG]firewallpacket-filterdefaultpermitall

配置各个接口的IP，并划入相应的安全区域。

[USG]interfaceGigabitEthernet0/0/2

[USG-GigabitEthernet0/0/2]ipaddress192.168.1.124

[USG-GigabitEthernet0/0/2]quit

[USG]interfaceGigabitEthernet0/0/3

[USG-GigabitEthernet0/0/3]ipaddress10.1.1.124

[USG-GigabitEthernet0/0/3]quit

[USG]interfaceGigabitEthernet0/0/4

[USG-GigabitEthernet0/0/4]ipaddress1.1.1.124

[USG-GigabitEthernet0/0/4]quit

[USG]firewallzonetrust

[USG-zone-trust]addinterfaceGigabitEthernet0/0/2

[USG-zone-trust]quit

[USG]firewallzonedmz

[USG-zone-dmz]addinterfaceGigabitEthernet0/0/3

[USG-zone-dmz]quit

[USG]firewallzoneuntrust

[USG-zone-untrust]addinterfaceGigabitEthernet0/0/4

[USG-zone-untrust]quit

2.将Trust区域和DMZ区域之间的缺省包过滤规则改为缺省允许。

使得所有员工都能直接访问DMZ区域内的所有服务器。

[USG]firewallpacket-filterdefaultpermitinterzonetrustdmz

此处没有限定包过滤的方向，则inbound和outbound两个方向的缺省包过滤规则都改为允许。

3.配置一条Trust与Local域之间的policy用于定义设备管理员访问USG的流量，使设备管理员可以远程登录设备进行配置。

[USG]policyinterzonetrustlocalinbound

[USG-policy-interzone-local-trust-inbound]policy0

[USG-policy-interzone-local-trust-inbound-0]policysource192.168.1.20

[USG-policy-interzone-local-trust-inbound-0]actionpermit

[USG-policy-interzone-local-trust-inbound-0]quit

[USG-policy-interzone-local-trust-inbound]quit

包过滤方向选为inbound是因为管理员所在Trust安全区域的优先级比Local低，如果希望从Trust区域主动访问Local区域，需要选为inbound。

4.配置一个地址集s_employee用于定于特殊员工的IP地址范围，再创建一条trust和untrust域间的policy允许该部分员工访问untrust区域，完成对特殊员工的放行。

[USG]ipaddress-sets_employeetypeobject

[USG-object-address-set-s_employee]addressrange192.168.1.10192.168.1.100

[USG-object-address-set-s_employee]quit

[USG]policyinterzonetrustuntrustoutbound

[USG-policy-interzone-trust-untrust-outbound]policy0

[USG-policy-interzone-trust-untrust-outbound-0]policysourceaddress-sets_employee

[USG-policy-interzone-trust-untrust-outbound-0]actionpermit

[USG-policy-interzone-trust-untrust-outbound-0]quit

[USG-policy-interzone-trust-untrust-outbound]quit

[USG]firewallinterzonetrustuntrust

[USG-interzone-trust-untrust]detectftp

[USG-interzone-trust-untrust]quit

包过滤的方向选为outbound可以使Untrust区域内的主机不能主动向Trust区域发起连接。

在Trust和untrust域间应用detect命令是为了使内网用户能够正常访问外网中的FTP服务。

5.配置一个自定义服务集ftp1及其会话老化时间，用于控制通过端口10001访问FTP服务器的流量。

同时也可以采用系统预定的ftp服务集，即可省略该步骤。

[USG]ipservice-setftp1typeobject

[USG-object-service-set-ftp1]serviceprotocoltcpsource-port10001

[USG-object-service-set-ftp1]quit

[USG]firewallsessionaging-timeservice-setftp1600

[USG]quit

6.配置一条DMZ和untrust域间的policy允许Untrust区域的任意主机访问DMZ区域的两个服务器。

规则中只限制报文的目的地址，这样可以保证任意主机都能访问。

同时由于限定了目的地址，所以外网主机也只能访问这两个服务器，而不能访问DMZ区域内的其他服务器。

这就是为什么不直接将Untrust和DMZ区域的缺省包过滤改为允许，而使用policy放行的原因。

注意：

在使用NAT的情况下，以下命令中应该限定的是NAT转换前的IP地址。

例如通过NATServer功能将10.1.1.2和10.1.1.3分别映射为外网的1.1.1.2、1.1.1.3，则policy应定义为policydestinationrange1.1.1.21.1.1.3。

[USG]policyinterzonedmzuntrustinbound

[USG-policy-interzone-dmz-untrust-inbound]policy0

[USG-policy-interzone-dmz-untrust-inbound-0]policydestination10.1.1.20

[USG-policy-interzone-dmz-untrust-inbound-0]policyserviceservice-setftp1

[USG-policy-interzone-dmz-untrust-inbound-0]actionpermit

[USG-policy-interzone-dmz-untrust-inbound-0]quit

[USG-policy-interzone-dmz-untrust-inbound]policy1

[USG-policy-interzone-dmz-untrust-inbound-1]policydestination10.1.1.30

[USG-policy-interzone-dmz-untrust-inbound-1]policyserviceservice-sethttp

[USG-policy-inter