简易防火墙设计
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
简易防火墙
一:拓扑图
二:配置具体过程
在R1上配置扩展防火墙,完成以下5个任务:
1.允许网络10.1.1.0/24的所有主机访问Web服务器19
2.168.1.100
2.拒绝网络10.1.1.0/24的所有主机访问FTP服务器192.168.1.100
3.拒绝网络10.1.1.0/24的所有主机Telnet路由器R2
4.拒绝主机10.1.1.100/32 ping路由器R2
5.允许其它所有数据
任务1配置:
允许网络10.1.1.0/24的所有主机访问Web服务器
192.168.1.100。(Web服务端口:TCP 80)
R1(config)# ip access-list extendedext_acl
R1(config-ext-nacl)# permit tcp10.1.1.0 0.0.0.255host 192.168.1.100 eq 80
任务2配置:
拒绝网络10.1.1.0/24的所有主机访问FTP服务器
192.168.1.100。(FTP服务端口:TCP20和21)
R1(config-ext-nacl)# deny tcp 10.1.1.0 0.0.0.255 host 192.168.1.100 eq 20
R1(config-ext-nacl)# deny tcp 10.1.1.0 0.0.0.255 host 192.168.1.100 eq 21
任务3配置:
拒绝网络10.1.1.0/24的所有主机Telnet路由器R2
R2有两个端口s0和e0,都需要禁止TCP23号端口连接
R1(config-ext-nacl)# deny tcp10.1.1.0 0.0.0.255host
12.12.12.2 eq 23
R1(config-ext-nacl)# deny tcp10.1.1.0 0.0.0.255host 192.168.1.1 eq 23
任务4配置:
拒绝主机10.1.1.100/32 ping路由器R2
Ping使用ICMP协议,所以“协议”一项写“icmp”!
R1(config-ext-nacl)# deny icmphost 10.1.1.100host
12.12.12.2
R1(config-ext-nacl)# deny icmphost 10.1.1.100host 192.168.1.1
任务5配置:
R1(config-ext-nacl)# permit ip anyany
R1(config-ext-nacl)# exit
R1(config)# interface e0
R1(config-if)# ip access-group ext_acl in
三:配置清单
思科(华为)路由器两台,
Pc一台含Windows severe虚拟服务器,