目录

实验目的:

实验所需软硬件

实验步骤:

1、按以下拓扑接好线路。

2、配置好设备的IP地址和静态路由,使得所有设备可以互通。(配置截图)

PC2

PC0

Router0

Router1编辑

Server

3、测试各PC/服务器互联状态(截图验证)

PC0

PC2

4、设置标准ACL,使得PC2可以ping通,而PC0无法ping通服务器server0,配置截图如下:

Router1

5、使用ping命令进行验证,截图如下:

PC0

PC2

6、设置扩展ACL,使得PC2和PC0无法ping通服务器server0,也无法登录服务器的ftp,但是可以打开服务器的web,配置截图如下:

7、测试各PC与服务器互联应用情况,以及验证截图。

PC0

PC2

实验目的:

掌握ACL实现包过滤防火墙的功能。

理解和掌握防火墙的包过滤功能。

掌握包过滤功能在网络安全方面的作用。

理解防火墙在网络安全中的重要性。

实验所需软硬件

思科模拟器

实验步骤:

1、按以下拓扑接好线路。

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_cisco

 

设置IP地址

PC0 的IP地址/掩码:     192.168.2.2 255.255.255.0                                                  

PC2 的IP地址/掩码:       192.168.1.2 255.255.255.0                                               

Server0 的IP地址/掩码:       192.168.4.2 255.255.255.0                                            

2、配置好设备的IP地址和静态路由,使得所有设备可以互通。(配置截图)

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_IP_02

PC2

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_IP_03

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_网络_04

 

 

 

PC0

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_acl_05

 

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_服务器_06

 

 

Router0

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_IP_07

 

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_网络_08

 

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_acl_09

 

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_acl_10

 

Router1

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_acl_11

 

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_IP_12

 

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_IP_13

 

Server

 

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_网络_14

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_IP_15

 

 

3、测试各PC/服务器互联状态(截图验证)

PC0 ping服务器是否连通?    可以      是否可以访问WEB    可以    

PC2 ping服务器是否连通?    可以       是否可以访问WEB    可以   

PC0

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_cisco_16

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_服务器_17

 

 

PC2

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_IP_18

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_服务器_19

 

4、设置标准ACL,使得PC2可以ping通,而PC0无法ping通服务器server0,配置截图如下:

Router1

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_服务器_20

 

注:常用命令范例如下

标准ACL格式:

access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]

access-list-number是acl编号为1-99 或者 1300-1999之间的数字。

sourceaddress是源地址,wildcard-mask是源地址子网掩码反码。

标准ACL举例:

R1(config)#access-list 10 deny 192.168.1.0 0.0.0.255   

R1(config)#access-list 10 permit any   

把配置好的ACL应用到端口,in是流入路由器,out是流出路由器。

R1(config)#int fa0/1   

R1(config-subif)#ip access-group 10 out

5、使用ping命令进行验证,截图如下:

PC0 ping服务器是否连通?   否   是否可以使用FTP    否    是否可以访问WEB    否    PC2 ping服务器是否连通?   可以     是否可以使用FTP  可以      是否可以访问WEB   可以     

PC0

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_网络_21

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_acl_22

 

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_网络_23

 

 

PC2

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_网络_24

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_服务器_25

 

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_IP_26

 

 

6、设置扩展ACL,使得PC2和PC0无法ping通服务器server0,也无法登录服务器的ftp,但是可以打开服务器的web,配置截图如下:

access-list 110 deny tcp 192.168.1.2 0.0.0.255 192.168.4.2 0.0.0.255 eq ftp

access-list 110 deny ip 192.168.1.2 0.0.0.255 192.168.4.2 0.0.0.255

access-list 110 deny tcp 192.168.2.2 0.0.0.255 192.168.4.2 0.0.0.255 eq ftp

access-list 110 deny ip 192.168.2.2 0.0.0.255 192.168.4.2 0.0.0.255

access-list 110 permit tcp 192.168.1.2 0.0.0.255 192.168.4.2 0.0.0.255 eq www

access-list 110 permit tcp 192.168.2.2 0.0.0.255 192.168.4.2 0.0.0.255 eq www

access-list 110 permit ip any any

interface f0/0

ip access-group 110 out

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_cisco_27

 

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_IP_28

 

注:常用命令范例如下

扩展ACL格式:

access-list access-list number {permit/deny} protocol +源地址+反码 +目标地址+反码+operator operan(it小于,gt大于,eq等于,neq不等于。具体可?)+端口号

access-list-number是acl编号为1-99 或者 1300-1999之间的数字。

protocol可以是ip、tcp、udp、icmp等。

端口号可以是具体端口号80,也可以是应用层协议ftp、www等。

标准ACL举例:

R1(config)#access-list 110 deny tcp any host 192.168.1.2 eq www    

R1(config)#access-list 110 permit ip any any

把配置好的ACL应用到端口,in是流入路由器,out是流出路由器。

R1(config)#int fa0/1   

R1(config-subif)#ip access-group 110 out

7、测试各PC与服务器互联应用情况,以及验证截图。

PC0 ping服务器是否连通?   否    是否可以使用FTP    否    是否可以访问WEB    可以    PC2 ping服务器是否连通?   否     是否可以使用FTP   否     是否可以访问WEB     可以   

PC0

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_acl_29

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_服务器_30

 

 

PC2

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_cisco_31

防火墙过滤规则表ACK值为yes表示什么 防火墙的acl_服务器_32