目录
实验难度 | 3 |
实验复杂度 | 3 |
一、访问控制列表基本概念
访问控制列表(ACL,Access Control List),它是由一组permit与deny语句组成的,它的作用绝不止网络上说的控制数据包进出接口这么简单,它的功能是很强大的,不然它也不会是最早的静态包过滤防火墙了。ASA防火墙只对进入或出接口的穿越流量进行控制,若是非穿越防火墙的流量,它是不会控制的,比如,防火墙自身流量出某个接口。ACL它是可以基于三层的源、目标IP地址,四层的源、目标端口号进行控制的。对于接口访问控制列表,它只能控制穿越流量,切记切记。所有由防火墙本身发起的流量都会被允许的。ACL的作用有很多,除大家熟知的控制数据包进出接口外,还外就是匹配网络范围,那么这个匹配网络范围有什么作用呢?有很多的用途,比如匹配相应的网络范围应用到NAT中、路由策略中、IPSec中等。相对于ASA而言,它有以下的相关特性:
1.状态化的访问规则:
对所有能够状态化处理的协议与应用,防火墙接口规则就会放行首个包,后面的都是放行的。
2.接口规则与接口安全级别:
若不应用接口访问规则到接口,那么outbound连接被允许(高安全级别流向低安全级别),反之,inbound连接都会被拒绝(低安全级别到高安全级别)
若是存在以下连接,那么需要写ACL来明确允许:
1.相同的安全级别之间的流量
2.相同一个接口进出的流量
3.在相关接口,被ACL规则控制的所有流量
3.接口访问规则的应用方向
1.可以在防火墙的接口上启用input与output方向的ACL,这个是可以同时启用的
2.一般地,我们在多数情况下,都是使用input方向,这样可以确保设定的ACL可以起到作用
3.在一些特殊的环境,output的应用规则更加容易被应用
4.ACL的接口访问规则的相关注意事项
1.在配置多条ACL时,建议把最精细的ACL条目(明细路由)配置在最上方,这个是最小权限分配原则
2.建议把ACL应用在防火墙接口的入方向上
3.不要在ACL后面放行所有流量
二、实验拓扑
三、实验步骤
1.搭建如图所示的网络拓扑;
2.初始化路由器,配置相应的IP地址;
3.配置ASA的初始相关参数:
防火墙的名称为ASA
接口 | 接口名称 | 安全级别 | IP地址 |
G0 | inside | 100 | 192.168.100.254/24 |
G1 | dmz | 50 | 192.168.200.254/24 |
G2 | outside | 0 | 50.100.200.254/24 |
4.配置dmz路由器的telnet信息:
用户名/密码,dmz/ccie,
特权密码,ccie
5.配置三个路由器的默认路由,下一跳都指向防火墙;
6.配置扩展ACL,使得outside路由器可以Telnet dmz路由器;
7.配置inside路由器的http服务,配置扩展ACL,使得outside去往inside的http流量可以穿越防火墙;
8.配置一条基于时间ACL,名字为time,生效时间为工作日(周一至周五)的9:00-17:00,除了这个时间外,其余时间outside路由器都无法telnet到dmz路由器。
四、实验过程
1.搭建如图所示的网络拓扑;
这里我们只需要用于防火墙与路由器而已,过程略。
2.初始化路由器,配置相应的IP地址;
inside:
dmz:
outside:
3.配置ASA的初始相关参数:
防火墙的名称为ASA
接口 | 接口名称 | 安全级别 | IP地址 |
G0 | inside | 100 | 192.168.100.254/24 |
G1 | dmz | 50 | 192.168.200.254/24 |
G2 | outside | 0 | 50.100.200.254/24 |
测试ASA防火墙直连网络的连通性:
4.配置dmz路由器的telnet信息:
用户名/密码,dmz/ccie,
特权密码,ccie
5.配置三个路由器的默认路由,下一跳都指向防火墙;
6.配置扩展ACL,使得outside路由器可以Telnet dmz路由器;
测试:
7.配置inside路由器的http服务,配置扩展ACL,使得outside去往inside的http流量可以穿越防火墙;
测试:
这里的结果为Open,表示已经成功了,HTTP的流量已经穿越防火墙。
8.配置一条基于时间ACL,名字为time,生效时间为工作日(周一至周五)的9:00-17:00,除了这个时间外,其余时间outside路由器都无法telnet到dmz路由器。
(1)配置时间范围
(2)查看之前的ACL
(3)应用time-range到ACL上
(4)查看ACL的状态
这里我们发现,这条ACL是失效了,因为它已经超过我们定义的时间范围了。
代码解析:
ASA(config)# access-list out-dmz extended permit tcp host 50.100.200.1 host 192.168.200.1 eq 23 //out-dmz表示这条ACL的名称,extended表示这条ACL为扩展ACL类型,permit tcp表示允许TCP协议流量类型,后面表示允许IP地址为50.100.200.1的主机远程telnet IP地址为192.168.200.1的主机
ASA(config)# access-group out-dmz in interface outside //调用out-dmz这条ACL语句到outside接口的入方向上
inside(config)#ip http server //启用路由器的http功能
access-list out-dmz extended permit tcp host 50.100.200.1 host 192.168.200.1 eq telnet time-range time //后面添加了一个ACL的生效时间
ASA(config)# time-range time //配置一条time-range的名称
ASA(config-time-range)# periodic weekdays 9:00 to 17:00 //定义一个时间范围,这里表示周一至周五的9:00到17:00生效
总结
本章节的内容,中等难度吧,其实若对路由交换内容的ACL熟悉的话,这个章节的内容是很好理解的。好了,今天的内容就到了这里,我们在下一个章节再见,加油!