实验九 包过滤防火墙实验

实验九防火墙——包过滤路由器的安全部署

一、编号标准ACL

lo2:3.3.3.3/24

实验配置命令顺序如下：

1、R1、R

2、R3：

①.配置ip（包括接口ip及环回口ip）。注意：环回口ip的配置可参照实验八命令中的第五页loopback 配置命令。

②.配置静态路由。

2、测试网络的连通性

ping 8.8.8.8 source 192.168.1.0

//带源ping通，表示对方路由器也能ping通本地环回接口

3、在R2上部署编号标准ACL，使得内网网段192.168.1.0/32不能访问外网，其他均能访问，配置如下。

//标准的ACL只能匹配源，不能匹配目的地。标准ACL的编号范围是1-99和1300-1999

//其中“1”是该条访问控制列表的编号。deny表示阻止从哪里发过来的数据。后面接的是反掩码

//由于一旦使用访问列表之后，就会默认deny掉所有流量，因而需要在最后加上一句permit any，表示放行其他的流量。

//接口的in和out方向要以本地路由器为参考点，然后考虑流量的方向。

4、测试ACL的效果，让内网路由器R1访问外网路由器R3，测试192.168.1.0/24、192.168.2.0/24与外网8.8.8.8的连通情况测试。

5、在R2上部署编号标准ACL，使得IP地址192.168.2.0可以TELNET本地，而其他IP地址没法访问，实现安全管理。

//no login 表示无需验证，主要方便实验测试，就是不需要密码的意思 //VTY 下调用ACL ，一般是in 方向

6、测试ACL ，在R1和R3上

TELNET R2

尝试lo1接口是否能够telnet 12.1.1.2

//注意：若上题改成192.168.1.0.无法访问3.3.3.3，可以访问8.8.8.8，则编号标准ACL 无法实现，因为标准ACL 只匹配源，不能匹配目的以及具体的端口和协议。 二、编号拓展ACL

1、配置IP 及静态路由，保证全网连通。

2、在R2上部署编号拓展ACL ，使得内网网段192.168.1.0/32不能访问外网主机3.3.3.3的23号端口，192.168.1.0/32网段不能ping 通8.8.8.8

3、测试编号拓展ACL

三、命名ACL

lo2:3.3.3.3/24

lo2:3.3.3.3/24

1、配置IP及静态路由，保证全网连通。

2、在R2上部署基于命名的标准ACL，使得内网网段192.168.1.0/32不能访问外网，其他都能访问，配置如下

//standard表示这个是标准访问控制列表，DENYVLAN10是这个访问列表的名字

//这个访问列表应用在f0/0这个端口上，方向是进入路由的方向。

3.请自己写出测试ACL的代码及结果

4.在R2上部署明明拓展ACL，使得内网192.168.1.0无法访问外网主机3.3.3.3的23端口，192.168.1.0网段不能ping通8.8.8.8

//extended表示拓展ACL，DENYSERVICE是名字，建议使用大写，以免和命令弄混了。

5、请自己写出测试ACL的代码及结果

6、管理命名ACL

//matches表示多少次的匹配，10是ACL列表的序号，从小到大的顺序

删除ACL（确定删除操作是否完成）

插入ACL（确定插入操作是否完成）

四、时间ACL

1.拓扑图如三所示

2.在R2上部署基于时间的ACL，使得内网网段192.168.1.0/24在工作日上班时间8:30到18:00不能够访问外网。请在GNS3上实现，并说明代码含义。

3.测试你设置的时间ACL是否有效。