實(shí)訓(xùn)指導(dǎo)33-2PT實(shí)現(xiàn)基于思科路由器的IOS防火墻防護(hù)功_第1頁
實(shí)訓(xùn)指導(dǎo)33-2PT實(shí)現(xiàn)基于思科路由器的IOS防火墻防護(hù)功_第2頁
實(shí)訓(xùn)指導(dǎo)33-2PT實(shí)現(xiàn)基于思科路由器的IOS防火墻防護(hù)功_第3頁
實(shí)訓(xùn)指導(dǎo)33-2PT實(shí)現(xiàn)基于思科路由器的IOS防火墻防護(hù)功_第4頁
實(shí)訓(xùn)指導(dǎo)33-2PT實(shí)現(xiàn)基于思科路由器的IOS防火墻防護(hù)功_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、國家高等職業(yè)教育網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與實(shí)施計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與實(shí)施課程資源子庫課程資源子庫學(xué)習(xí)情境學(xué)習(xí)情境 3:實(shí)訓(xùn)指導(dǎo):實(shí)訓(xùn)指導(dǎo) 2PT 實(shí)現(xiàn)基于思科路由器的實(shí)現(xiàn)基于思科路由器的 IOS 防火墻防火墻防護(hù)功能配置(防護(hù)功能配置(ZPF)實(shí)訓(xùn)指導(dǎo)實(shí)訓(xùn)指導(dǎo) 3.3-23.3-2一、實(shí)訓(xùn)題目:一、實(shí)訓(xùn)題目:PT 實(shí)現(xiàn)基于思科路由器的 IOS 防火墻防護(hù)功能配置(ZPF)二、實(shí)訓(xùn)目的:二、實(shí)訓(xùn)目的:1.配置思科路由器的 ZPF 功能;2.思科 ZPF 功能原理與實(shí)現(xiàn)。三、實(shí)訓(xùn)要求:三、實(shí)訓(xùn)要求:1.基于 PT 配置思科路由器 ZPF 功能;2.理解 ZPF 配置流程。四、實(shí)訓(xùn)網(wǎng)絡(luò)

2、場景或網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu):四、實(shí)訓(xùn)網(wǎng)絡(luò)場景或網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu):網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如下:PT 仿真網(wǎng)絡(luò)結(jié)構(gòu)圖如下:五、實(shí)訓(xùn)步驟:五、實(shí)訓(xùn)步驟:任務(wù)初始化:任務(wù)初始化:在 Z_R 上去除原網(wǎng)絡(luò)配置中的 NAT,并配置動(dòng)態(tài) OSPF 路由協(xié)議,使用內(nèi)部的 網(wǎng)段可以發(fā)布到公網(wǎng)上,實(shí)現(xiàn) Z 網(wǎng)絡(luò)與互聯(lián)網(wǎng)的雙向連通。在 W_R5 上配置TELNET 服務(wù)。任務(wù)任務(wù) 1 1:檢查基本網(wǎng)絡(luò)連通性,在配置:檢查基本網(wǎng)絡(luò)連通性,在配置 FWFW 前檢查連通性前檢查連通性1.從外部的 W_WWW 去 ping 內(nèi)部的 Z_PC1 地址為 。2.從內(nèi)部的 Z_PC1 去 Teln

3、et 到 W_R5 的 連接正常后退出。3.從 Z_PC1 訪問服務(wù)器 W_WWW 的 WEB 服務(wù)。 任務(wù)任務(wù) 2 2:在路由器:在路由器 Z_RZ_R 上配置防火墻功能上配置防火墻功能注意:為了完成配置,請確保名稱準(zhǔn)確指定“IN-ZONE” Z_R(config)# zone security IN-ZONE“OUT-ZONE” Z_R(config-sec-zone)# zone security OUT-ZONEZ_R(config-sec-zone)# exit任務(wù)任務(wù) 3 3:定義流量類型與:定義流量類型與 ACLACL1.創(chuàng)建一個(gè) ACL 定義內(nèi)部流量擴(kuò)展的號(hào)

4、碼為 101,允許 IP 協(xié)議的源為/24 的網(wǎng)絡(luò)到任何目的網(wǎng)絡(luò)。Z_R(config)# access-list 101 permit ip 55 any2.創(chuàng)建一個(gè) class map 引用內(nèi)部流量的 ACL101。 Use the class map type inspect command with the match-all option to create a class map named IN-NET-CLASS-MAP. Use the match access-group command to match

5、ACL 101.Z_R(config)# class-map type inspect match-all IN-NET-CLASS-MAPZ_R(config-cmap)# match access-group 101Z_R(config-cmap)# exit注意:有些協(xié)議在 PT 中不支持,但可以使用 match-any 選項(xiàng),指定檢查某些流量,并能看到效果。任務(wù)任務(wù) 4:4:設(shè)置防火墻策略設(shè)置防火墻策略1.創(chuàng)建一個(gè) policy map 確定匹配的流量(敏感數(shù)據(jù)流) ,policy map 的名稱為 IN-2-OUT-PMAP。 Z_R(config)# policy-map type

6、 inspect IN-2-OUT-PMAP2.指定一個(gè)檢測的 class type 和引用的 class map IN-NET-CLASS-MAP。 Z_R(config-pmap)# class type inspect IN-NET-CLASS-MAP3.指定符合 policy map 后的動(dòng)作。可以用 inspect 命令援引 CBAC(還有其它選項(xiàng) pass和 drop)。 Z_R(config-pmap-c)# inspect%No specific protocol configured in class IN-NET-CLASS-MAP for inspection. All

7、protocols will be inspected.退出 config-pmap-c 模式,回到全局配置模式。Z_R(config-pmap-c)# exitZ_R(config-pmap)# exit任務(wù)任務(wù) 5:5:應(yīng)用防火墻策略應(yīng)用防火墻策略在全局下用 zone-pair 命令創(chuàng)建區(qū)域?qū)Α癐N-2-OUT-ZPAIR”指定源和目的,源和目的為在任務(wù) 1 中定義的區(qū)域名稱Z_R(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE2.指定 policy map 來處理兩個(gè)區(qū)域間的流量

8、。把 policy-map 和它的關(guān)聯(lián)動(dòng)作用 service-policy 和 inspect 命令指定,引用前面創(chuàng)建的 policy map 名為 IN-2-OUT-PMAP。Z_R(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAPZ_R(config-sec-zone-pair)# exitZ_R(config)#Z_R(config)# interface fa0/1Z_R(config-if)# zone-member security IN-ZONEZ_R(config-if)# exitZ_R(conf

9、ig)# interface F0/0Z_R(config-if)# zone-member security OUT-ZONEZ_R(config-if)# exit4.保存配置 Copy the running config to the startup config. Z_R# copy running-config startup-config任務(wù)任務(wù) 6:6:測試防火墻功能(從測試防火墻功能(從 IN-ZONEIN-ZONE 到到 OUT-ZONEOUT-ZONE)內(nèi)部主機(jī)應(yīng)該可以訪問外部資源1.從內(nèi)部的 Z_PC1, ping 外部的 W_WWW,應(yīng)該是成功能通信的。2.從內(nèi)部的

10、Z_PC1, Telnet 外部的 W_R5 的 ,應(yīng)該可以連接上去。 當(dāng)連接建立后用在 Z_R 上用 show policy-map type inspect zone-pair sessions 可以看到建立的連接會(huì)話Z_R# show policy-map type inspect zone-pair sessionsZone-pair: IN-ZONE-OUT-ZONE Service-policy inspect : IN-2-OUT-PMAP Class-map: IN-NET-CLASS-MAP (match-all) Match: access-group 1

11、01 Inspect Established Sessions Session 139644744 (:1025)=(:23) telnet:tcp SIS_OPEN Created 00:00:02, Last heard 00:00:00 Bytes sent (initiator:responder) 0:0看看源 IP 和端口號(hào)是什么? :1025 (1025 為客戶端隨機(jī)開的端口)看看目的 IP 和端口號(hào)是什么? :23 (Telnet 服務(wù)器端口號(hào)為 23)3.從 Z_PC1 退出 Telnet

12、 連接,并關(guān)閉命令窗口4.從 Z_PC1 打開 web 瀏覽器訪問 W_WWW 的主頁,訪問應(yīng)該是成功的。在 Z_R 上可以用 show 查看到已經(jīng)建立連接的會(huì)話。Z_R# show policy-map type inspect zone-pair sessions Zone-pair: IN-ZONE-OUT-ZONE Service-policy inspect : IN-2-OUT-PMAP Class-map: IN-NET-CLASS-MAP (match-all) Match: access-group 101 Inspect Established SessionsSession 139142400 (:1027)=(:80) http:tcp SIS_OPEN Created 00:00:02, Last heard 00:00:00 Bytes sent (initiator:responder) 0:0看看源 IP 和端口號(hào)是什么? :1027 (1027 為客戶端隨機(jī)開的端口)看看目的 IP 和端口號(hào)是什么? :80 (WWW 服務(wù)器端口號(hào)為 80)任務(wù)任務(wù) 7:7:測試

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論