网络安全实验-访问控制列表介绍.doc

实验一 访问控制列表（路由器的防火墙功能） 任务1 （标准访问控制列表） 网络拓扑结构见图1。请在packet tracert 软件中仿真实现该网络。自行设计分配IP地址，检查网络连通性。 设计实现访问控制列表，不允许计算机PC0向外网发送IP数据包，不允许计算机PC2向外网发送任何IP数据包。 图1 ACL访问控制列表实验网络拓扑结构图 报告要求： IP地址分配表 路由器0的访问控制列表命令，并解释含义 路由器1的访问控制列表命令，并解释含义 测试及结果（加拷屏） 任务2（扩展访问控制列表） 网络拓扑结构见图1。要求实现只允许计算机PC0 访问web服务器，只允许计算机PC2访问FTP服务器。禁止其他一切网络间的数据通信。 报告要求： IP地址分配表 路由器0的访问控制列表命令，并解释含义 路由器1的访问控制列表命令，并解释含义 测试方案及结果（加拷屏） 任务3 基于上下文的访问控制协议 基本原理 CBAC(context-based access control)即基于上下文的访问控制通过检查通过防火墙的流量来发现管理TCP和UDP的会话状态信息。这些状态信息被用来在防火墙访问列表创建临时通道。通过在流量向上配置ip inspect列表，允许为受允许会话回流量和附加数据连接，通路。受允许会话是指来源于受保护的内部网络会话。CBAC在流量过滤、流量检查、警告和审计蛛丝马迹、入侵检测等方面。 设计实现访问控制列表，不允许外部网络与内部网络通信，但是允许内部网络使用ＨＴＴＰ, ICMP协议访问外部网络的资源。 　　　　　　　　　　　 　图２　ＣＢＡＣ实验网络拓扑结构 表１　ＩＰ地址分配表 实验步骤： 第１步：搭建好网络平台，配置地址和路由信息，（要使用静态路由）检查网络的连通性。 　　　　用ＰＣ-Ｃ　ping ＰＣ-A 用ＰＣ-A　 ping ＰＣ-Ｃ 用ＰＣ-Ｃ 访问　ＰＣ-A　ＷＷＷ服务器 用ＰＣ-Ｃ 访问　ＰＣ-A　FTP服务器 第２步：在Ｒ３上设置限制外网访问内网任何资源。 Router(config)#access 101 deny ip any any Router(config)#interface Serial0/0/1 Router(config-if)#ip access-group 101 in 第３步　检查连通性，检查外部网络是否能访问内网 用ＰＣ-Ｃ　ping ＰＣ-A 用ＰＣ-A　 ping ＰＣ-Ｃ 用ＰＣ-Ｃ 访问　ＰＣ-A　ＷＷＷ服务器 第４步　产生ＣＢＡＣ检查规则,允许内网icmp，http流量访问外网。 Router(config)# ip inspect name IN-OUT-IN icmp Router(config)# ip inspect name IN-OUT-IN http 将ＣＢＡＣ检查应用于接口Ｓ０/０/１上 Router(config)#interface Serial0/0/1 Router(config-if)# ip inspect IN-OUT-IN out 第５步　检查内网是否能访问外网的ＷＷＷ服务器和使用ＰＩＮＧ命令。 用ＰＣ-Ｃ　ping ＰＣ-A 用ＰＣ-A　 ping ＰＣ-Ｃ 用ＰＣ-Ｃ 访问　ＰＣ-A　ＷＷＷ服务器 用ＰＣ-Ｃ 访问　ＰＣ-A　FTP服务器 是否验证内网可以访问外网，外网无法访问内网？ 检查CBAC的配置: show ip inspect config show ip inspect interfaces show ip inspect sessions (选做) 自己考虑怎么能让内网用户可以访问外网的FTP服务器, email服务器? 第6步 审计 使用 作为日志服务器，在路由器R3上，设置日志服务器的IP地址，并开启记录事件功能，例如记录每一次成功登陆和退出路由器的时间，以及CBAC事件记录。 Router(config)# Router(config)#logging host Router(config)# loggin on Router(config)#ip inspect audit-trail 设置后用在企业内部访问外网，访问过程将会在日志服务器中记录下来。 报告要求： 任务要求 总结路由器设置步骤，并要求拷屏。 解释每个设置命令的含义 测试及结果（加拷屏） 任务４　ZFW基于区域策略的防火墙设置(C