桂林理工大学【网络安全】实验二、配置通过包过滤实现基本访问控制Word文档格式.docx
- 文档编号:14181962
- 上传时间:2022-10-19
- 格式:DOCX
- 页数:9
- 大小:174KB
桂林理工大学【网络安全】实验二、配置通过包过滤实现基本访问控制Word文档格式.docx
《桂林理工大学【网络安全】实验二、配置通过包过滤实现基本访问控制Word文档格式.docx》由会员分享,可在线阅读,更多相关《桂林理工大学【网络安全】实验二、配置通过包过滤实现基本访问控制Word文档格式.docx(9页珍藏版)》请在冰豆网上搜索。
基于以上几个需求,可以对网络进行如下规划:
将所有员工放在同一个安全区域,不对这些员工之间的互访进行监控。
将所有服务器放在另外一个安全区域,以避免外网用户通过服务器中转对内网用户进行攻击。
配置ACL划定特殊员工,以给这些员工专门开启访问Internet的权限。
最终组网图如图1所示。
图1配置通过包过滤实现基本访问控制组网图
项目
数据
说明
(1)
接口号:
GigabitEthernet0/0/2
IP地址:
192.168.1.1/24
安全区域:
Trust
该接口通过交换机与员工PC相连,位于同一网段。
(2)
GigabitEthernet0/0/3
10.1.1.1/24
DMZ
该接口通过交换机与服务器相连,位于同一网段。
(3)
GigabitEthernet0/0/4
1.1.1.1/24
Untrust
该接口与外网相连。
此时已经可以接入互联网。
地址范围:
192.168.1.0/24
将所有员工PC部署在Trust区域。
10.1.1.0/24
其中部署多个服务器,但是只有两个服务器对外网提供服务:
FTP服务器:
10.1.1.2/24
Web服务器:
10.1.1.3/24
将所有服务器的IP地址划为这个网段,并且部署在DMZ区域。
公网地址
用于定义外网主机和服务器。
特殊员工
192.168.1.10/24~192.168.1.100/24
特殊员工可以访问互联网。
设备管理员
地址:
192.168.1.2/24
设备管理员位于Trust区域,但是其可以登录设备进行配置。
操作步骤
1.打开所有域间缺省包过滤,以保证配置过程中业务不会中断。
说明:
配置包过滤的整体原则:
先打开所有域间的缺省包过滤,保证网络通信正常,然后根据需求配置相应域间的严格包过滤,再检查配置是否正确,最后根据网络情况逐个关闭不需要开放的域间缺省包过滤。
<
USG>
system-view
[USG]firewallpacket-filterdefaultpermitall
配置各个接口的IP,并划入相应的安全区域。
[USG]interfaceGigabitEthernet0/0/2
[USG-GigabitEthernet0/0/2]ipaddress192.168.1.124
[USG-GigabitEthernet0/0/2]quit
[USG]interfaceGigabitEthernet0/0/3
[USG-GigabitEthernet0/0/3]ipaddress10.1.1.124
[USG-GigabitEthernet0/0/3]quit
[USG]interfaceGigabitEthernet0/0/4
[USG-GigabitEthernet0/0/4]ipaddress1.1.1.124
[USG-GigabitEthernet0/0/4]quit
[USG]firewallzonetrust
[USG-zone-trust]addinterfaceGigabitEthernet0/0/2
[USG-zone-trust]quit
[USG]firewallzonedmz
[USG-zone-dmz]addinterfaceGigabitEthernet0/0/3
[USG-zone-dmz]quit
[USG]firewallzoneuntrust
[USG-zone-untrust]addinterfaceGigabitEthernet0/0/4
[USG-zone-untrust]quit
2.将Trust区域和DMZ区域之间的缺省包过滤规则改为缺省允许。
使得所有员工都能直接访问DMZ区域内的所有服务器。
[USG]firewallpacket-filterdefaultpermitinterzonetrustdmz
此处没有限定包过滤的方向,则inbound和outbound两个方向的缺省包过滤规则都改为允许。
3.配置一条Trust与Local域之间的policy用于定义设备管理员访问USG的流量,使设备管理员可以远程登录设备进行配置。
[USG]policyinterzonetrustlocalinbound
[USG-policy-interzone-local-trust-inbound]policy0
[USG-policy-interzone-local-trust-inbound-0]policysource192.168.1.20
[USG-policy-interzone-local-trust-inbound-0]actionpermit
[USG-policy-interzone-local-trust-inbound-0]quit
[USG-policy-interzone-local-trust-inbound]quit
包过滤方向选为inbound是因为管理员所在Trust安全区域的优先级比Local低,如果希望从Trust区域主动访问Local区域,需要选为inbound。
4.配置一个地址集s_employee用于定于特殊员工的IP地址范围,再创建一条trust和untrust域间的policy允许该部分员工访问untrust区域,完成对特殊员工的放行。
[USG]ipaddress-sets_employeetypeobject
[USG-object-address-set-s_employee]addressrange192.168.1.10192.168.1.100
[USG-object-address-set-s_employee]quit
[USG]policyinterzonetrustuntrustoutbound
[USG-policy-interzone-trust-untrust-outbound]policy0
[USG-policy-interzone-trust-untrust-outbound-0]policysourceaddress-sets_employee
[USG-policy-interzone-trust-untrust-outbound-0]actionpermit
[USG-policy-interzone-trust-untrust-outbound-0]quit
[USG-policy-interzone-trust-untrust-outbound]quit
[USG]firewallinterzonetrustuntrust
[USG-interzone-trust-untrust]detectftp
[USG-interzone-trust-untrust]quit
包过滤的方向选为outbound可以使Untrust区域内的主机不能主动向Trust区域发起连接。
在Trust和untrust域间应用detect命令是为了使内网用户能够正常访问外网中的FTP服务。
5.配置一个自定义服务集ftp1及其会话老化时间,用于控制通过端口10001访问FTP服务器的流量。
同时也可以采用系统预定的ftp服务集,即可省略该步骤。
[USG]ipservice-setftp1typeobject
[USG-object-service-set-ftp1]serviceprotocoltcpsource-port10001
[USG-object-service-set-ftp1]quit
[USG]firewallsessionaging-timeservice-setftp1600
[USG]quit
6.配置一条DMZ和untrust域间的policy允许Untrust区域的任意主机访问DMZ区域的两个服务器。
规则中只限制报文的目的地址,这样可以保证任意主机都能访问。
同时由于限定了目的地址,所以外网主机也只能访问这两个服务器,而不能访问DMZ区域内的其他服务器。
这就是为什么不直接将Untrust和DMZ区域的缺省包过滤改为允许,而使用policy放行的原因。
注意:
在使用NAT的情况下,以下命令中应该限定的是NAT转换前的IP地址。
例如通过NATServer功能将10.1.1.2和10.1.1.3分别映射为外网的1.1.1.2、1.1.1.3,则policy应定义为policydestinationrange1.1.1.21.1.1.3。
[USG]policyinterzonedmzuntrustinbound
[USG-policy-interzone-dmz-untrust-inbound]policy0
[USG-policy-interzone-dmz-untrust-inbound-0]policydestination10.1.1.20
[USG-policy-interzone-dmz-untrust-inbound-0]policyserviceservice-setftp1
[USG-policy-interzone-dmz-untrust-inbound-0]actionpermit
[USG-policy-interzone-dmz-untrust-inbound-0]quit
[USG-policy-interzone-dmz-untrust-inbound]policy1
[USG-policy-interzone-dmz-untrust-inbound-1]policydestination10.1.1.30
[USG-policy-interzone-dmz-untrust-inbound-1]policyserviceservice-sethttp
[USG-policy-inter
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 桂林 理工大学 实验 配置 通过 过滤 实现 基本 访问 控制