实训项目7教学设计Word文件下载.docx
《实训项目7教学设计Word文件下载.docx》由会员分享,可在线阅读,更多相关《实训项目7教学设计Word文件下载.docx(11页珍藏版)》请在冰豆网上搜索。
五、实训步骤:
(一)设计路由防火墙防护功能
1.思科IOS防火墙在企业中的应用设计-两接口的路由防火墙
2.思科IOS防火墙在企业中的应用设计-三接口的路由防火墙
(二)利用路由防火墙实施安全防护
1、两接口的思科IOS防火墙的防护实施
根据要实现的功能的要求,可简化为允许内部与外部建立TCP、UDP和ICMP的连接通信,拒绝内部其他所有流量;
仅允许外部网络主机访问S1服务器10.2.2.3的80端口和ICMP通信、拒绝外部到内部的其他所有流量。
下面是对路由器配置的两种方式:
基于命令行方式和利用SDM软件配置实现。
(1)基于命令行方式实现
Ø
配置CBAC检测TCP和UDP协议数据:
Router(config)#ipinspectnameINtoOUTTCP
Router(config)#ipinspectnameINtoOUTUDP
定义内到外的访问控制规则ACL,允许内到外的访问:
Router(config)#access-list110permitip10.2.2.00.0.0.255any
Router(config)#access-list110denyanyany
应用于内接口的入方向:
Router(config)#interfaceF0/0
Router(config-if)#ipinspectINtoOUTin
Router(config-if)#ipaccess-group110in
对于由外部网络进入的流量仅允许访问内部的10.2.2.3的WEB服务和ICMP协议的通信:
Router(config)#ipinspectnameOUTtoINTCP
Router(config)#access-list111permiticmpanyhost10.2.2.3
Router(config)#access-list111permittcpanyhost10.2.2.3eqwww
Router(config)#access-list111denyipanyany
将ACL与检测规则应用于外部接口的进入方向:
Router(config)#interfaceF0/1
Router(config-if)#ipinspectOUTtoINin
Router(config-if)#ipaccess-group111in
(2)利用SDM软件实现
通过命令行模式登录路由器检查基本防火墙特性加入的命令:
Router#showrun
Buildingconfiguration...
hostnameRouter
!
ipinspectnameSDM_LOWcuseeme
ipinspectnameSDM_LOWdns
ipinspectnameSDM_LOWftp
ipinspectnameSDM_LOWh323
ipinspectnameSDM_LOWhttps
ipinspectnameSDM_LOWicmp
ipinspectnameSDM_LOWimap
ipinspectnameSDM_LOWpop3
ipinspectnameSDM_LOWnetshow
ipinspectnameSDM_LOWrcmd
ipinspectnameSDM_LOWrealaudio
ipinspectnameSDM_LOWrtsp
ipinspectnameSDM_LOWesmtp
ipinspectnameSDM_LOWsqlnet
ipinspectnameSDM_LOWstreamworks
ipinspectnameSDM_LOWtftp
ipinspectnameSDM_LOWtcp
ipinspectnameSDM_LOWudp
ipinspectnameSDM_LOWvdolive
usernameceyprivilege15password0cey123
interfaceFastEthernet0/0
description$FW_INSIDE$
ipaddress10.2.2.1255.255.255.0
ipaccess-group100in
duplexauto
speedauto
interfaceFastEthernet0/1
description$FW_OUTSIDE$
ipaddress100.1.1.1255.255.255.0
ipaccess-group101in
ipverifyunicastreverse-path
ipinspectSDM_LOWout
duplexauto
speedauto
interfaceFastEthernet1/0
ipaddress192.168.1.1255.255.255.0
iphttpserver
iphttpauthenticationlocal
noiphttpsecure-server
ipforward-protocolnd
access-list100remarkautogeneratedbySDMfirewallconfiguration
access-list100remarkSDM_ACLCategory=1
access-list100denyip100.1.1.00.0.0.255any
access-list100denyiphost255.255.255.255any
access-list100denyip127.0.0.00.255.255.255any
access-list100permitipanyany
access-list101remarkautogeneratedbySDMfirewallconfiguration
access-list101remarkSDM_ACLCategory=1
access-list101denyip10.2.2.00.0.0.255any
access-list101permiticmpanyhost100.1.1.1echo-reply
access-list101permiticmpanyhost100.1.1.1time-exceeded
access-list101permiticmpanyhost100.1.1.1unreachable
access-list101denyip10.0.0.00.255.255.255any
access-list101denyip172.16.0.00.15.255.255any
access-list101denyip192.168.0.00.0.255.255any
access-list101denyip127.0.0.00.255.255.255any
access-list101denyiphost255.255.255.255any
access-list101denyiphost0.0.0.0any
access-list101denyipanyanylog
control-plane
linecon0
lineaux0
linevty04
loginlocal
transportinputtelnet
end
Router#
2.三接口的思科IOS防火墙的防护实施
根据要实现的功能的要求,可简化为,允许内部与外部建立TCP、UDP和ICMP的连接通信,拒绝内部其他所有流量;
仅允许外部网络主机访问S1服务器192.168.1.2的80端口和ICMP通信、拒绝外部到内部的其他所有流量。
对于由外部网络进入的流量仅允许访问内部的192.168.1.2的WEB服务和ICMP协议的通信:
Router(config)#ipinspectnameOUTtoINTCP//定义预检测由外到内的TCP流量;
Router(config)#access-list111permiticmpanyhost192.168.1.2
Router(config)#access-list111permittcpanyhost192.168.1.2eqwww
与两接口的区别在于要对DMZ接口,这里是F1/0进行单独的ACL配置:
下面是对外部访问S1的WEB和ICMP通信的允许的列表:
Router(config)#access-list112permiticmpanyhost192.168.1.2
Router(config)#access-list112permittcpanyhost192.168.1.2eqwww
Router(config)#access-list112denyipanyany
下面是对服务器S1对ICMP的返回的控制列表(对上面的一个镜像):
Router(config)#access-list113permiticmphost192.168.1.2any
Router(config)#access-list113denyipanyany
Router(config)#interfaceF1/0
Router(config-if)#ipaccess-group112out
Router(config-if)#ipaccess-group113in
同两接口中利用SDM的过程相似,只是在SDM登录后选择高级防火墙配置,启动选择的任务,配置三个接口IOS防火墙,具体任务要求参见前面的命令行实现方式,并按图中所示接口及地址进行设置。
(三)进行防护效果检测
1.对两种类型的IOS防火墙的防护的检测
如何对两接口和三接口的IOS防火墙的配置进行防护的检测时。
可以利用内部主机A与外部主机B之间互相访问,如利用ping命令测试,得到的结果应该是在A主机ping主机B有返回(echo-reply),但B主机ping主机A有返回是目的地址不可达信息(unreachable),这种不可达是因为访问控制管理上的不可达,而不是网络目的地找不到或网关误配置造成的。
2.基于命令行对两种类型的IOS防火墙配置的检查
显示检查、接口配置、会话和统计信息:
Router#showipinspectnameinspection-name
Router#showipinspectconfig
Router#showipinspectinterfaces
Router#showipinspectsession[detail]
Router#showipinspectstatistics
Router#showipinspectall
例如:
Router#showipinspectsession
Router#showipinspectsessions
EstablishedSessions
Session65560434(100.1.1.2:
1036)=>
(192.168.1.2:
80)tcpSIS_OPEN
3.对两种类型的IOS防火墙配置的调试
Router#debugipinspectfunction-trace
Router#debugipinspectobject-creation
Router#debugipinspectobject-deletion
Router#debugipinspectevents
Router#debugipinspecttimers
Router#debugipinspectdetail
Router#debugipinspectprotocol
以上是常用调试命令与针对特定协议的调试命令。
4.下面是对三接口路由器的配置检查
ipinspectnameappfw_100tcp
ipinspectnameappfw_100udp
ipinspectappfw_100in
ipaccess-group102in
description$FW_DMZ$
ipinspectappfw_100out
access-list100denyip192.168.1.00.0.0.255any
access-list102remarkautogeneratedbySDMfirewallconfiguration
access-list102remarkSDM_ACLCategory=1
access-list102denyip192.168.1.00.0.0.255any
access-list102denyip10.2.2.00.0.0.255any
access-list102permiticmpanyhost100.1.1.1echo-reply
access-list102permiticmpanyhost100.1.1.1time-exceeded
access-list102permiticmpanyhost100.1.1.1unreachable
access-list102permittcpanyhost192.168.1.2eqwww
access-list102denyip10.0.0.00.255.255.255any
access-list102denyip172.16.0.00.15.255.255any
access-list102denyip192.168.0.00.0.255.255any
access-list102denyip127.0.0.00.255.255.255any
access-list102denyiphost255.255.255.255any
access-list102denyiphost0.0.0.0any
access-list102denyipanyanylog
5.在外部主机上访问DMZ服务器
下面是在虚拟机模拟环境下的测试。
在外部主机上分别利用Ping和WWW访问DMZ接口上的WWW服务器,IP地址为192.168.1.2。
测试的结果如下图所示。
6.在内部主机上访问DMZ服务器和访问外部主机
在内部主机10.2.2.2上分别访问DMZ的WWW服务器和Ping外部的主机100.1.1.2。