拓撲結(jié)構(gòu)

一、基礎(chǔ)知識

1.訪問控制列表ACL婆咸，分為基本ACL（2000~2999）竹捉、高級ACL（3000~3999）、二層ACL（4000~4999）尚骄、用戶自定義ACL（5000~5999）块差。

2.基本ACL只根據(jù)報文的源IP地址信息制定匹配規(guī)則，高級ACL根據(jù)報文的源/目IP地址倔丈，協(xié)議類型憨闰，端口號等三、四層信息定制匹配規(guī)則需五。

3.配置步長

4.配置時間段

time-range time-range-name{start-time to end-time days [ from time1?date1 ]?[ to time2?date2 ] ?| from time1?date1 [to time2?date2 ]?| to time2?date2

<Sysname>system-view

[Sysname]?time-range?test?8:00?to?18:00?working-day?

[Sysname]?display?time-range?test

Current?time?is?22:17:42?1/5/2006?Thursday

5.創(chuàng)建基本的ACL：

（1）創(chuàng)建ACL鹉动，并進入ACL視圖

acl acl-number?[?name?acl-name?]?[?match-order?{?auto?|?config?}?]

（2）定義規(guī)則

rule?[?rule-id?]?{?deny?|?permit?} [?fragment?|?logging?|?source {?sour-addr?sour-wildcard?|?any?}?| time-range?time-range-name?]?*

（3）定義步長

step?step-value

（4）定義描述信息

description?text

（5）定義規(guī)則的描述信息

rule?rule-id?comment?text

#ACL配置示例

#配置基本IPv4?ACL?2000，禁止源IP地址為1.1.1.1的報文通過宏邮。

<Sysname>system-view

[Sysname]?acl 2000

[Sysname-acl-basic-2000]?rule?deny?source?1.1.1.1?0

[Sysname-acl-basic-2000]?display?acl?2000

Basic?ACL??2000,?named?-none-,?1?rule, ACL's?step?is?5 rule?0?deny?source?1.1.1.1?0?(5?times?matched)

6.創(chuàng)建高級的ACL

（1）創(chuàng)建并進入高級ACL視圖

acl acl-number?[?name?acl-name?]?[?match-order?{?auto?|?config?}?]

（2）定義規(guī)則

rule?[?rule-id?]?{?deny?|?permit?}?protocol?[?{?established?|?{?ack?ack-value?|?fin?fin-value?|?psh?psh-value?|?rst?rst-value?|?syn?syn-value?|?urg?urg-value?}?*?}?|?destination?{?dest-addr?dest-wildcard?|?any?}?|?destination-port?operator?port1?[?port2?]?|?dscp?dscp?|?fragment?|?icmp-type?{?icmp-type?icmp-code?|?icmp-message?}?|?logging?|precedence?precedence?|?reflective?|?source?{?sour-addr?sour-wildcard?|?any?}?|?source-port?operator?port1 [?port2?]?|?time-range?time-range-name?|?tos?tos?]?*

#配置示例

#?配置高級IPv4?ACL?3000泽示，允許129.9.0.0網(wǎng)段的主機向202.38.160.0網(wǎng)段的主機發(fā)送端口號為80的TCP報文。

<Sysname>system-view?

[Sysname]?acl?number?3000

[Sysname-acl-adv-3000]?rule?permit?tcp?source?129.9.0.0?0.0.255.255?destination?202.38.160.0?0.0.0.255?destination-port?eq?80

[Sysname-acl-adv-3000]?display?acl?3000?Advanced?ACL??3000,?named?-none-,?1?rule,?ACL's?step?is?5 rule?0?permit?tcp?source?129.9.0.0?0.0.255.255?destination?202.38.160.0?0.0.0.255?destination-port?eq?www?(5?times?matched)

7.應(yīng)用ACL進行報文過濾

packet-filter過濾

8.outbound與inbound

從較高安全級別區(qū)域去往較低安全級別區(qū)域的報文稱為Outbound報文蜜氨；

從較低安全級別區(qū)域去往較高安全級別區(qū)域的報文稱為Inbound報文械筛。

二、配置步驟

1.配置路由器各接口ip地址（略）

2.為各部門創(chuàng)建安全區(qū)域

#配置域間防火墻飒炎，創(chuàng)建安全區(qū)域埋哟，并設(shè)置安全級別。

[R1]firewall zone HR

[R1-zone-HR]priority 12

[R1-zone-HR]firewall zone SALES

[R1-zone-SALES]priority 10

[R1-zone-SALES]fire zone IT

[R1-zone-IT]priority 8

[R1-zone-IT]fire zone trust

[R1-zone-trust]priority 14

#將R1上連接不同部門的接口加入到相應(yīng)部門的安全區(qū)域中郎汪，GE2/0/1加入到trust區(qū)域中

[R1]interface GigabitEthernet 0/0/0

[R1-GigabitEthernet0/0/0]zone HR

[R1-GigabitEthernet0/0/0]interg0/0/1

[R1-GigabitEthernet0/0/1]zone SALES

[R1-GigabitEthernet0/0/1]int g2/0/0

[R1-GigabitEthernet2/0/0]zone IT

[R1-GigabitEthernet2/0/0]int g2/0/1

[R1-GigabitEthernet2/0/1]zone trust

#使用命令display firewall zone查看相應(yīng)區(qū)域的優(yōu)先級赤赊、區(qū)域內(nèi)包含接口名稱、接口數(shù)量等信息煞赢。

[R1]display firewall zone

zone IT

priority is 8

interface of the zone is (total number 1):

GigabitEthernet2/0/0

zone SALES

priority is 10

interface of the zone is (total number 1):

GigabitEthernet0/0/1

zone HR

priority is 12

interface of the zone is (total number 1):

GigabitEthernet0/0/0

zone trust

priority is 14

interface of the zone is (total number 1):

GigabitEthernet2/0/1

zone Local

priority is 15

interface of the zone is (total number 0):

total number is : 5

所有區(qū)域的配置工作已經(jīng)完成抛计，下面配置ACL訪問控制

3.禁止SALES部門和HR部門之間的互訪

#啟用SALES區(qū)域和HR區(qū)域的域間防火墻

[R1]firewall interzone SALES HR

[R1-interzone-HR-SALES]firewallenable

默認情況下，當(dāng)域間防火墻啟用之后照筑，安全級別較高的區(qū)域能夠訪問安全級別較低的區(qū)域爷辱，并且應(yīng)答的報文也能夠返回到安全級別較高的區(qū)域录豺，但是安全級別較低的區(qū)域無法訪問安全級別較高的區(qū)域。

#使用命令display firewall?interzone SALES HR查看區(qū)域間的默認策略

[R1]display firewall interzone SALESHR

interzone HR SALES

firewall enable

packet-filter default deny inbound（低到高）

packet-filter default permit outbound（高到低）

由于HR的安全級別（12）高于SALES的安全級別（10）饭弓，因此HR到SALES的訪問是被允許的双饥，而從SALES到HR的訪問是禁止的。

下面弟断，為了禁止HR和SALES之間的互訪咏花，可以使用在他們之間使用ACL達到目的，由于默認情況下阀趴，SALES已經(jīng)無法訪問HR區(qū)域昏翰，因此，只需要在outbound方向上將HR去往SALES的報文全部過濾即可刘急。

#創(chuàng)建高級ACL 3000來定義從HR到SALES之間的報文棚菊，步長設(shè)置為10，然后叔汁，在outbound方向上引用ACL 3000

[R1]acl 3000

[R1-acl-adv-3000]step 10

[R1-acl-adv-3000]rule deny ip source172.16.1.0 0.0.0.255 destination 172.16.2.0 0.0.0.255

[R1]firewall interzone HR SALES

[R1-interzone-HR-SALES]packet-filter3000 outbound

#查看ACL配置

[R1]display acl 3000

Advanced ACL 3000, 1 rule

Acl's step is 10

rule 10 deny ip source 172.16.1.0 0.0.0.255destination 172.16.2.0 0.0.0.255

#查看SALES和HR之間的域間Firewall策略

[R1]display firewall interzone SALESHR

interzone HR SALES

firewall enable

packet-filter default deny inbound

packet-filter default permit outbound

packet-filter 3000 outbound

此時SALES和HR之間已經(jīng)無法通信了统求。

4.實現(xiàn)對WEB-Server和Ftp-server的訪問控制，SALES部門能夠訪問Web-server据块，禁止訪問Ftp-server

#開啟SALES和trust之間的域間防火墻

[R1]firewall interzone SALES trust

[R1-interzone-trust-SALES]firewallenable

#創(chuàng)建acl 3001码邻，允許SALES部門的用戶訪問web-server，并應(yīng)用在SALES和trust的區(qū)域之間

[R1]acl 3001

[R1-acl-adv-3001]step 10

[R1-acl-adv-3001]rule permit tcpsource 172.16.2.0 0.0.0.255 destination 192.168.1.30 0 destination-port eq 80

[R1]firewall interzone SALES trust

[R1-interzone-trust-SALES]packet-filter3001 inbound

配置完成后另假，SALES區(qū)域的用戶能夠訪問web-server妒貌，但是不能訪問ftp-server纲刀。

5.IP部門的用戶可以隨時訪問ftp-server扣甲，但只能在每天的14:00到16:00才能訪問web-server笤休，另外還要求IT部門的用戶能夠隨時ping通ftp-server和web-server。

#開啟IT和trust之間的域間防火墻

[R1]firewall interzone IT trust

[R1-interzone-trust-IT]firewallenable

#配置時間跨度為每天的14:00-16:00

[R1]time-range access-web 14:00 to16:00 daily

#創(chuàng)建ACL 3003戈轿，放行IT到trust的inbound方向的FTP凌受、HTTP、ICMP的echo報文凶杖，步長設(shè)置為10

[R1]acl 3003

[R1-acl-adv-3003]step 10

[R1-acl-adv-3003]rule permit tcpsource 172.16.3.0 0.0.0.255 destination 192.168.1.30 0 destination-port eq 80time-range access-web

[R1-acl-adv-3003]rule permit tcpsource 172.16.3.0 0.0.0.255 destination 192.168.1.10 0 destination-port eq 21

[R1-acl-adv-3003]rule permit icmpsource 172.16.3.0 0.0.0.255 destination 192.168.1.30 0

[R1-acl-adv-3003]rule permit icmpsource 172.16.3.0 0.0.0.255 destination 192.168.1.10 0

#查看ACL配置

[R1]display acl 3003

Advanced ACL 3003, 4 rules

Acl's step is 10

rule 10 permit tcp source 172.16.3.0 0.0.0.255destination 192.168.1.30 0 desti

nation-port eq www time-rangeaccess-web(Inactive)

rule 20 permit tcp source 172.16.3.0 0.0.0.255destination 192.168.1.10 0 desti

nation-port eq ftp

rule 30 permit icmp source 172.16.3.00.0.0.255 destination 192.168.1.30 0

rule 40 permit icmp source 172.16.3.00.0.0.255 destination 192.168.1.10 0

#將ACL 3003應(yīng)用在IT區(qū)域和trust區(qū)域之間的inbound方向上

[R1]firewall interzone IT trust

[R1-interzone-trust-IT]packet-filter3003 inbound

配置完成！