网络安全篇 ASA防火墙的基本访问控制列表-10

目录

一、访问控制列表基本概念

二、实验拓扑

三、实验步骤

四、实验过程

总结


实验难度 3
实验复杂度 3

 

 

一、访问控制列表基本概念

访问控制列表(ACL,Access Control List),它是由一组permit与deny语句组成的,它的作用绝不止网络上说的控制数据包进出接口这么简单,它的功能是很强大的,不然它也不会是最早的静态包过滤防火墙了。ASA防火墙只对进入或出接口的穿越流量进行控制,若是非穿越防火墙的流量,它是不会控制的,比如,防火墙自身流量出某个接口。ACL它是可以基于三层的源、目标IP地址,四层的源、目标端口号进行控制的。对于接口访问控制列表,它只能控制穿越流量,切记切记。所有由防火墙本身发起的流量都会被允许的。ACL的作用有很多,除大家熟知的控制数据包进出接口外,还外就是匹配网络范围,那么这个匹配网络范围有什么作用呢?有很多的用途,比如匹配相应的网络范围应用到NAT中、路由策略中、IPSec中等。相对于ASA而言,它有以下的相关特性:

1.状态化的访问规则:

对所有能够状态化处理的协议与应用,防火墙接口规则就会放行首个包,后面的都是放行的。

2.接口规则与接口安全级别:

若不应用接口访问规则到接口,那么outbound连接被允许(高安全级别流向低安全级别),反之,inbound连接都会被拒绝(低安全级别到高安全级别)

若是存在以下连接,那么需要写ACL来明确允许:

1.相同的安全级别之间的流量

2.相同一个接口进出的流量

3.在相关接口,被ACL规则控制的所有流量

3.接口访问规则的应用方向

1.可以在防火墙的接口上启用input与output方向的ACL,这个是可以同时启用的

2.一般地,我们在多数情况下,都是使用input方向,这样可以确保设定的ACL可以起到作用

3.在一些特殊的环境,output的应用规则更加容易被应用

4.ACL的接口访问规则的相关注意事项

1.在配置多条ACL时,建议把最精细的ACL条目(明细路由)配置在最上方,这个是最小权限分配原则

2.建议把ACL应用在防火墙接口的入方向上

3.不要在ACL后面放行所有流量

 

二、实验拓扑

网络安全篇  ASA防火墙的基本访问控制列表-10

三、实验步骤

1.搭建如图所示的网络拓扑;

2.初始化路由器,配置相应的IP地址;

3.配置ASA的初始相关参数:

防火墙的名称为ASA

接口 接口名称 安全级别 IP地址
G0 inside 100 192.168.100.254/24
G1 dmz 50 192.168.200.254/24
G2 outside 0 50.100.200.254/24

 

 

 

 

4.配置dmz路由器的telnet信息:

用户名/密码,dmz/ccie,

特权密码,ccie

5.配置三个路由器的默认路由,下一跳都指向防火墙;

6.配置扩展ACL,使得outside路由器可以Telnet dmz路由器;

7.配置inside路由器的http服务,配置扩展ACL,使得outside去往inside的http流量可以穿越防火墙;

8.配置一条基于时间ACL,名字为time,生效时间为工作日(周一至周五)的9:00-17:00,除了这个时间外,其余时间outside路由器都无法telnet到dmz路由器。

四、实验过程

1.搭建如图所示的网络拓扑;

这里我们只需要用于防火墙与路由器而已,过程略。

2.初始化路由器,配置相应的IP地址;

inside:

网络安全篇  ASA防火墙的基本访问控制列表-10

dmz:

网络安全篇  ASA防火墙的基本访问控制列表-10

outside:

网络安全篇  ASA防火墙的基本访问控制列表-10

3.配置ASA的初始相关参数:

防火墙的名称为ASA

接口 接口名称 安全级别 IP地址
G0 inside 100 192.168.100.254/24
G1 dmz 50 192.168.200.254/24
G2 outside 0 50.100.200.254/24

 

 

 

 

网络安全篇  ASA防火墙的基本访问控制列表-10

测试ASA防火墙直连网络的连通性:

网络安全篇  ASA防火墙的基本访问控制列表-10

4.配置dmz路由器的telnet信息:

用户名/密码,dmz/ccie,

特权密码,ccie

网络安全篇  ASA防火墙的基本访问控制列表-10

5.配置三个路由器的默认路由,下一跳都指向防火墙;

网络安全篇  ASA防火墙的基本访问控制列表-10

网络安全篇  ASA防火墙的基本访问控制列表-10

网络安全篇  ASA防火墙的基本访问控制列表-10

6.配置扩展ACL,使得outside路由器可以Telnet dmz路由器;

网络安全篇  ASA防火墙的基本访问控制列表-10

测试:

网络安全篇  ASA防火墙的基本访问控制列表-10

7.配置inside路由器的http服务,配置扩展ACL,使得outside去往inside的http流量可以穿越防火墙;

网络安全篇  ASA防火墙的基本访问控制列表-10

网络安全篇  ASA防火墙的基本访问控制列表-10

测试:

网络安全篇  ASA防火墙的基本访问控制列表-10

这里的结果为Open,表示已经成功了,HTTP的流量已经穿越防火墙。

8.配置一条基于时间ACL,名字为time,生效时间为工作日(周一至周五)的9:00-17:00,除了这个时间外,其余时间outside路由器都无法telnet到dmz路由器。

(1)配置时间范围

网络安全篇  ASA防火墙的基本访问控制列表-10

(2)查看之前的ACL

网络安全篇  ASA防火墙的基本访问控制列表-10

(3)应用time-range到ACL上

网络安全篇  ASA防火墙的基本访问控制列表-10

(4)查看ACL的状态

网络安全篇  ASA防火墙的基本访问控制列表-10

这里我们发现,这条ACL是失效了,因为它已经超过我们定义的时间范围了。

代码解析:

ASA(config)# access-list out-dmz extended permit tcp host 50.100.200.1  host 192.168.200.1 eq 23  //out-dmz表示这条ACL的名称,extended表示这条ACL为扩展ACL类型,permit tcp表示允许TCP协议流量类型,后面表示允许IP地址为50.100.200.1的主机远程telnet IP地址为192.168.200.1的主机

ASA(config)# access-group out-dmz in interface outside  //调用out-dmz这条ACL语句到outside接口的入方向上

inside(config)#ip http server   //启用路由器的http功能

access-list out-dmz extended permit tcp host 50.100.200.1 host 192.168.200.1 eq telnet time-range time  //后面添加了一个ACL的生效时间

ASA(config)# time-range time    //配置一条time-range的名称
ASA(config-time-range)# periodic weekdays 9:00 to 17:00   //定义一个时间范围,这里表示周一至周五的9:00到17:00生效

总结

本章节的内容,中等难度吧,其实若对路由交换内容的ACL熟悉的话,这个章节的内容是很好理解的。好了,今天的内容就到了这里,我们在下一个章节再见,加油!

上一篇:ACL 2020论文分享 | 基于对话图谱的开放域多轮对话策略学习


下一篇:ACL访问控制列表