实训项目7教学设计Word文件下载.docx

实训项目7教学设计Word文件下载.docx

《实训项目7教学设计Word文件下载.docx》由会员分享，可在线阅读，更多相关《实训项目7教学设计Word文件下载.docx（11页珍藏版）》请在冰豆网上搜索。

五、实训步骤：

（一）设计路由防火墙防护功能

1．思科IOS防火墙在企业中的应用设计-两接口的路由防火墙

２．思科IOS防火墙在企业中的应用设计-三接口的路由防火墙

（二）利用路由防火墙实施安全防护

1、两接口的思科IOS防火墙的防护实施

根据要实现的功能的要求，可简化为允许内部与外部建立TCP、UDP和ICMP的连接通信，拒绝内部其他所有流量；

仅允许外部网络主机访问S1服务器10.2.2.3的80端口和ICMP通信、拒绝外部到内部的其他所有流量。

下面是对路由器配置的两种方式:

基于命令行方式和利用SDM软件配置实现。

（1）基于命令行方式实现

Ø

配置CBAC检测TCP和UDP协议数据：

Router（config）#ipinspectnameINtoOUTTCP

Router（config）#ipinspectnameINtoOUTUDP

定义内到外的访问控制规则ACL，允许内到外的访问：

Router（config）#access-list110permitip10.2.2.00.0.0.255any

Router（config）#access-list110denyanyany

应用于内接口的入方向：

Router（config）#interfaceF0/0

Router（config-if）#ipinspectINtoOUTin

Router（config-if）#ipaccess-group110in

对于由外部网络进入的流量仅允许访问内部的10.2.2.3的WEB服务和ICMP协议的通信：

Router（config）#ipinspectnameOUTtoINTCP

Router（config）#access-list111permiticmpanyhost10.2.2.3

Router（config）#access-list111permittcpanyhost10.2.2.3eqwww

Router（config）#access-list111denyipanyany

将ACL与检测规则应用于外部接口的进入方向：

Router（config）#interfaceF0/1

Router（config-if）#ipinspectOUTtoINin

Router（config-if）#ipaccess-group111in

（2）利用SDM软件实现

通过命令行模式登录路由器检查基本防火墙特性加入的命令：

Router#showrun

Buildingconfiguration...

hostnameRouter

!

ipinspectnameSDM_LOWcuseeme

ipinspectnameSDM_LOWdns

ipinspectnameSDM_LOWftp

ipinspectnameSDM_LOWh323

ipinspectnameSDM_LOWhttps

ipinspectnameSDM_LOWicmp

ipinspectnameSDM_LOWimap

ipinspectnameSDM_LOWpop3

ipinspectnameSDM_LOWnetshow

ipinspectnameSDM_LOWrcmd

ipinspectnameSDM_LOWrealaudio

ipinspectnameSDM_LOWrtsp

ipinspectnameSDM_LOWesmtp

ipinspectnameSDM_LOWsqlnet

ipinspectnameSDM_LOWstreamworks

ipinspectnameSDM_LOWtftp

ipinspectnameSDM_LOWtcp

ipinspectnameSDM_LOWudp

ipinspectnameSDM_LOWvdolive

usernameceyprivilege15password0cey123

interfaceFastEthernet0/0

description$FW_INSIDE$

ipaddress10.2.2.1255.255.255.0

ipaccess-group100in

duplexauto

speedauto

interfaceFastEthernet0/1

description$FW_OUTSIDE$

ipaddress100.1.1.1255.255.255.0

ipaccess-group101in

ipverifyunicastreverse-path

ipinspectSDM_LOWout

duplexauto

speedauto

interfaceFastEthernet1/0

ipaddress192.168.1.1255.255.255.0

iphttpserver

iphttpauthenticationlocal

noiphttpsecure-server

ipforward-protocolnd

access-list100remarkautogeneratedbySDMfirewallconfiguration

access-list100remarkSDM_ACLCategory=1

access-list100denyip100.1.1.00.0.0.255any

access-list100denyiphost255.255.255.255any

access-list100denyip127.0.0.00.255.255.255any

access-list100permitipanyany

access-list101remarkautogeneratedbySDMfirewallconfiguration

access-list101remarkSDM_ACLCategory=1

access-list101denyip10.2.2.00.0.0.255any

access-list101permiticmpanyhost100.1.1.1echo-reply

access-list101permiticmpanyhost100.1.1.1time-exceeded

access-list101permiticmpanyhost100.1.1.1unreachable

access-list101denyip10.0.0.00.255.255.255any

access-list101denyip172.16.0.00.15.255.255any

access-list101denyip192.168.0.00.0.255.255any

access-list101denyip127.0.0.00.255.255.255any

access-list101denyiphost255.255.255.255any

access-list101denyiphost0.0.0.0any

access-list101denyipanyanylog

control-plane

linecon0

lineaux0

linevty04

loginlocal

transportinputtelnet

end

Router#

2．三接口的思科IOS防火墙的防护实施

根据要实现的功能的要求，可简化为，允许内部与外部建立TCP、UDP和ICMP的连接通信，拒绝内部其他所有流量；

仅允许外部网络主机访问S1服务器192.168.1.2的80端口和ICMP通信、拒绝外部到内部的其他所有流量。

对于由外部网络进入的流量仅允许访问内部的192.168.1.2的WEB服务和ICMP协议的通信：

Router（config）#ipinspectnameOUTtoINTCP//定义预检测由外到内的TCP流量；

Router（config）#access-list111permiticmpanyhost192.168.1.2

Router（config）#access-list111permittcpanyhost192.168.1.2eqwww

与两接口的区别在于要对DMZ接口，这里是F1/0进行单独的ACL配置：

下面是对外部访问S1的WEB和ICMP通信的允许的列表：

Router（config）#access-list112permiticmpanyhost192.168.1.2

Router（config）#access-list112permittcpanyhost192.168.1.2eqwww

Router（config）#access-list112denyipanyany

下面是对服务器S1对ICMP的返回的控制列表（对上面的一个镜像）：

Router（config）#access-list113permiticmphost192.168.1.2any

Router（config）#access-list113denyipanyany

Router（config）#interfaceF1/0

Router（config-if）#ipaccess-group112out

Router（config-if）#ipaccess-group113in

同两接口中利用SDM的过程相似，只是在SDM登录后选择高级防火墙配置，启动选择的任务，配置三个接口IOS防火墙，具体任务要求参见前面的命令行实现方式，并按图中所示接口及地址进行设置。

（三）进行防护效果检测

1．对两种类型的IOS防火墙的防护的检测

如何对两接口和三接口的IOS防火墙的配置进行防护的检测时。

可以利用内部主机A与外部主机B之间互相访问，如利用ping命令测试，得到的结果应该是在A主机ping主机B有返回（echo-reply），但B主机ping主机A有返回是目的地址不可达信息（unreachable），这种不可达是因为访问控制管理上的不可达，而不是网络目的地找不到或网关误配置造成的。

2．基于命令行对两种类型的IOS防火墙配置的检查

显示检查、接口配置、会话和统计信息：

Router#showipinspectnameinspection-name

Router#showipinspectconfig

Router#showipinspectinterfaces

Router#showipinspectsession[detail]

Router#showipinspectstatistics

Router#showipinspectall

例如：

Router#showipinspectsession

Router#showipinspectsessions

EstablishedSessions

Session65560434（100.1.1.2:

1036）=>

（192.168.1.2:

80）tcpSIS_OPEN

3．对两种类型的IOS防火墙配置的调试

Router#debugipinspectfunction-trace

Router#debugipinspectobject-creation

Router#debugipinspectobject-deletion

Router#debugipinspectevents

Router#debugipinspecttimers

Router#debugipinspectdetail

Router#debugipinspectprotocol

以上是常用调试命令与针对特定协议的调试命令。

4．下面是对三接口路由器的配置检查

ipinspectnameappfw_100tcp

ipinspectnameappfw_100udp

ipinspectappfw_100in

ipaccess-group102in

description$FW_DMZ$

ipinspectappfw_100out

access-list100denyip192.168.1.00.0.0.255any

access-list102remarkautogeneratedbySDMfirewallconfiguration

access-list102remarkSDM_ACLCategory=1

access-list102denyip192.168.1.00.0.0.255any

access-list102denyip10.2.2.00.0.0.255any

access-list102permiticmpanyhost100.1.1.1echo-reply

access-list102permiticmpanyhost100.1.1.1time-exceeded

access-list102permiticmpanyhost100.1.1.1unreachable

access-list102permittcpanyhost192.168.1.2eqwww

access-list102denyip10.0.0.00.255.255.255any

access-list102denyip172.16.0.00.15.255.255any

access-list102denyip192.168.0.00.0.255.255any

access-list102denyip127.0.0.00.255.255.255any

access-list102denyiphost255.255.255.255any

access-list102denyiphost0.0.0.0any

access-list102denyipanyanylog

5．在外部主机上访问DMZ服务器

下面是在虚拟机模拟环境下的测试。

在外部主机上分别利用Ping和WWW访问DMZ接口上的WWW服务器，IP地址为192.168.1.2。

测试的结果如下图所示。

6．在内部主机上访问DMZ服务器和访问外部主机

在内部主机10.2.2.2上分别访问DMZ的WWW服务器和Ping外部的主机100.1.1.2。