Packet Tracer - 配置 IP ACL 来缓解攻击

news2024/11/17 11:33:58

Packet Tracer - 配置 IP ACL 来缓解攻击

拓扑图

 

地址分配表

设备

接口

IP 地址

子网掩码

默认网关

交换机端口

R1

G0/1

192.168.1.1

255.255.255.0

不适用

S1 F0/5

S0/0/0 (DCE)

10.1.1.1

255.255.255.252

不适用

不适用

R2

S0/0/0

10.1.1.2

255.255.255.252

不适用

不适用

S0/0/1 (DCE)

10.2.2.2

255.255.255.252

不适用

不适用

Lo0

192.168.2.1

255.255.255.0

不适用

不适用

R3

G0/1

192.168.3.1

255.255.255.0

不适用

S3 F0/5

S0/0/1

10.2.2.1

255.255.255.252

不适用

不适用

PC-A

NIC

192.168.1.3

255.255.255.0

192.168.1.1

S1 F0/6

PC-C

NIC

192.168.3.3

255.255.255.0

192.168.3.1

S3 F0/18

目标

· 在配置防火墙之前先验证设备之间的连接。

· 使用 ACL,确保只能 从管理站 PC-C 远程访问路由器。

· 在 R1 和 R3 上配置 ACL 以缓解攻击。

· 验证 ACL 功能。

背景/场景

只允许 从管理站 PC-C 访问路由器 R1、R2 和 R3。PC-C 还可用于 PC-A 的连接测试 ,PC-A 是提供 DNS、SMTP、FTP 和 HTTPS 服务的服务器。

标准操作程序是在边缘 路由器上应用 ACL,以根据源和目的 IP 地址缓解常见威胁。 在本练习中,您需要在边缘路由器 R1 和 R3 上创建 ACL 以实现 此目标。然后,您需要验证内部和外部 主机的 ACL 功能。

路由器已采用以下信息进行预配置:

o    启用 密码:ciscoenpa55

o    控制台 密码:ciscoconpa55

o    SSH 登录 用户名和密码:SSHadmin/ciscosshpa55

o    IP 寻址

o    静态路由

第1 部分:验证基本网络连接

在配置 IP ACL 之前先验证网络连接。

步骤 1:      从 PC-A 验证与 PC-C 和 R2 的连接。

  1.      在命令提示符后,对 PC-C (192.168.3.3) 执行 ping 操作。

 

b.     在命令提示符后,使用用户名 SSHadmin 和密码 ciscosshpa55 与 R2 Lo0 接口 (192.168.2.1) 建立 SSH 会话。 完成后,退出 SSH 会话。

SERVER> ssh -l SSHadmin 192.168.2.1

 

步骤 2:      从 PC-C 验证与 PC-A 和 R2 的连接。

  1.      在命令提示符后,对 PC-A (192.168.1.3) 执行 ping 操作。

 

  1.      在命令提示符后,使用用户名 SSHadmin 和密码 ciscosshpa55 与 R2 Lo0 接口 (192.168.2.1) 建立 SSH 会话。 完成后关闭 SSH 会话。

C:\>ssh -l SSHadmin 192.168.2.1

 

  1.      打开 PC-A 服务器 (192.168.1.3) 的 Web 浏览器以显示 网页。完成后关闭浏览器。

 

第 2 部分:保护路由器访问的安全

步骤 1:      配置 ACL 10 以阻止除 PC-C 以外对路由器的所有远程访问。

使用 access-list 命令在 R1R2 和 R3 上创建带编号的 IP ACL。

R1(config)#access-list 10 permit host 192.168.3.3

R2(config)#access-list 10 permit host 192.168.3.3

R3(config)# access-list 10 permit host 192.168.3.3

步骤 2:      向 VTY 线路上的入口流量应用 ACL。

使用 access-class 命令,将该访问 列表应用到 VTY 线路上的入口流量

R1(config)#line vty 0 4

R1(config-line)#access-class 10 in

R2(config)#line vty 0 4

R2(config-line)#access-class 10 in

R3(config)#line vty 0 4

R3(config-line)#access-class 10 in

步骤 3:      验证来自管理站 PC-C 的独占访问。

  1.      建立从 PC-C 到 192.168.2.1 的 SSH 会话(应该 成功)。

 

  1.      建立从 PC-A 到 192.168.2.1 的 SSH 会话(应该失败)。

 

第 3 部分:在 R1 上创建 编号为 120 的 IP ACL

使用以下规则 创建编号为 120 的 IP ACL:

o    允许任何外部主机访问服务器 PC-A 上的 DNS、SMTP 和 FTP 服务。

o    拒绝任何 外部主机访问 PC-A 上的 HTTPS 服务。

o    允许 PC-C 通过 SSH 访问 R1

注意:在第 4 部分中进行修改之前,检查结果不显示 ACL 120 的正确 配置。

步骤 1:      验证 PC-C 是否可使用 Web 浏览器通过 HTTPS 访问 PC-A。

务必在 PC-A 上禁用 HTTP 并启用 HTTPS。

 

步骤 2:      配置 ACL 120 以明确允许和拒绝指定的流量。

使用 access-list 命令创建带编号的 IP ACL。

R1(config)#access-list 120 permit udp any host 192.168.1.3 eq domain

R1(config)#access-list 120 permit tcp any host 192.168.1.3 eq smtp

R1(config)#access-list 120 permit tcp any host 192.168.1.3 eq ftp

R1(config)#access-list 120 deny tcp any host 192.168.1.3 eq 443

R1(config)#access-list 120 permit tcp host 192.168.3.3 host 10.1.1.1 eq 22

步骤 3:      将 ACL 应用到接口 S0/0/0。

使用 ip access-group 命令将该访问 列表应用到接口 S0/0/0 上的传入流量。

R1(config)#interface s0/0/0

R1(config-if)#ip access-group 120 in

步骤 4:      验证 PC-C 无法使用 Web 浏览器通过 HTTPS 访问 PC-A。

 

第 4 部分:在 R1 上修改 现有 ACL

允许来自外部网络的 ICMP 回应应答和目的地不可达消息(相对于 R1 )。拒绝所有其他 传入的 ICMP 数据包。

R1(config)#access-list 120 permit icmp any any echo-reply

R1(config)#access-list 120 permit icmp any any unreachable

R1(config)#access-list 120 permit ip any any

R1(config)#access-list 120 deny icmp any any

步骤 1:      验证 PC-A 无法成功 ping 通 R2 上的环回接口。

 

步骤 2:      对 ACL 120 进行任何必要的更改,以允许和拒绝指定的 流量。

使用 access-list 命令创建带编号的 IP ACL。

R1(config)#access-list 120 permit udp any host 192.168.1.3 eq domain

R1(config)#access-list 120 permit tcp any host 192.168.1.3 eq smtp

R1(config)#access-list 120 permit tcp any host 192.168.1.3 eq ftp

R1(config)#access-list 120 permit tcp host 192.168.3.3 host 10.1.1.1 eq 22

R1(config)#access-list 120 deny tcp any host 192.168.1.3 eq 443

步骤 3:      验证 PC-A 可成功 ping 通 R2 上的环回接口。

 

第 5 部分:在 R3 上创建 编号为 110 的 IP ACL

拒绝源地址超出 R3 上的内部 IP 地址范围的所有出站数据包。

步骤 1:      将 ACL 110 配置为只允许来自内部网络的流量。

使用 access-list 命令创建带编号的 IP ACL。

R3(config)#access-list 110 permit ip 192.168.3.0 0.0.0.255 any

步骤 3:      将 ACL 应用到接口 G0/1。

使用 ip access-group 命令将该访问 列表应用到接口 G0/1 上的传入流量。

R3(config)#interface g0/1

R3(config-if)#ip access-group 110 in

第 6 部分:在 R3 上创建 编号为 100 的 IP ACL

在 R3 上,阻止来自以下地址池的包含源 IP 地址的所有数据包:任何 RFC 1918 专用地址、127.0.0.0/8 以及任何 IP 组播地址。由于 PC-C 将用于远程 管理,因此允许将来自 10.0.0.0/8 网络的 SSH 流量返回到 主机 PC-C。

步骤 1:      将 ACL 100 配置为阻止来自外部 网络的所有指定流量。

如果不是 RFC 1918 地址,您还应阻止来自您自己的 内部地址空间的流量。在本练习中,您的 内部地址空间是 RFC 1918 中指定的专用地址空间的一部分。

使用 access-list 命令创建带编号的 IP ACL。

R3(config)#access-list 100 permit tcp 10.0.0.0 0.255.255.255 eq 22 host 192.168.3.3

R3(config)#access-list 100 deny ip 10.0.0.0 0.255.255.255 any

R3(config)#access-list 100 deny ip 172.16.0.0 0.15.255.255 any

R3(config)#access-list 100 deny ip 192.168.0.0 0.0.255.255 any

R3(config)#access-list 100 deny ip 127.0.0.0 0.255.255.255 any

R3(config)#access-list 100 deny ip 224.0.0.0 15.255.255.255 any

R3(config)#access-list 100 permit ip any any

步骤 2:      将 ACL 应用到接口 Serial 0/0/1。

使用 ip access-group 命令将该访问 列表应用到串行接口 0/0/1 上的传入流量。

R3(config)#interface s0/0/1

R3(config-if)#ip access-group 100 in

步骤 3:      确认已正确处理 进入串行接口 0/0/1 的指定流量。

  1.      在 PC-C 命令提示符后,对 PC-A 服务器执行 ping 操作。ICMP 回应 应答被 ACL 阻止,因为它们源自 192.168.0.0/16 地址空间。

 

  1.      建立从 PC-C 到 192.168.2.1 的 SSH 会话(应该 成功)。

 

步骤 4:      检查结果。

完成比例应为 100%。点击 CheckResults(检查结果)以查看反馈 并验证已完成的所需组件。

实验具体步骤:

R1:

R1>en

Password:

R1#conf

Configuring from terminal, memory, or network [terminal]?

Enter configuration commands, one per line. End with CNTL/Z.

R1(config)#access-list 10 permit host 192.168.3.3

R1(config)#line vty 0 4

R1(config-line)#access-class 10 in

R1(config-line)#exit

R1(config)#access-list 120 permit udp any host 192.168.1.3 eq domain

R1(config)#access-list 120 permit tcp any host 192.168.1.3 eq smtp

R1(config)#access-list 120 permit tcp any host 192.168.1.3 eq ftp

R1(config)#access-list 120 deny tcp any host 192.168.1.3 eq 443

R1(config)#access-list 120 permit tcp host 192.168.3.3 host 10.1.1.1 eq 22

R1(config)#interface s0/0/0

R1(config-if)#ip access-group 120 in

R1(config-if)#exit

R1(config)#access-list 120 permit icmp any any echo-reply

R1(config)#access-list 120 permit icmp any any unreachable

R1(config)#access-list 120 deny icmp any any

R1(config)#access-list 120 permit ip any any

R1(config)#

R2:

R2>en

Password:

R2#conf

Configuring from terminal, memory, or network [terminal]?

Enter configuration commands, one per line. End with CNTL/Z.

R2(config)#access-list 10 permit host 192.168.3.3

R2(config)#line vty 0 4

R2(config-line)#access-class 10 in

R3:

R3>en

Password:

R3#conf

Configuring from terminal, memory, or network [terminal]?

Enter configuration commands, one per line. End with CNTL/Z.

R3(config)# access-list 10 permit host 192.168.3.3

R3(config)#line vty 0 4

R3(config-line)#access-class 10 in

R3(config-line)#exit

R3(config)#access-list 110 permit ip 192.168.3.0 0.0.0.255 any

R3(config)#interface g0/1

R3(config-if)#ip access-group 110 in

R3(config-if)#exit

R3(config)#access-list 100 permit tcp 10.0.0.0 0.255.255.255 eq 22 host 192.168.3.3

R3(config)#access-list 100 deny ip 10.0.0.0 0.255.255.255 any

R3(config)#access-list 100 deny ip 172.16.0.0 0.15.255.255 any

R3(config)#access-list 100 deny ip 192.168.0.0 0.0.255.255 any

R3(config)#access-list 100 deny ip 127.0.0.0 0.255.255.255 any

R3(config)#access-list 100 deny ip 224.0.0.0 15.255.255.255 any

R3(config)#access-list 100 permit ip any any

R3(config)#interface s0/0/1

R3(config-if)#ip access-group 100 in

实验链接:https://pan.baidu.com/s/13VfrxjqYg9BUzD6Xt6RkMw?pwd=4125

提取码:4125

--来自百度网盘超级会员V2的分享

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/497041.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

10款UML建模工具更新(2023.4)Software Ideas Modeler 、Rhapsody、Papyrus

最近一段时间更新的工具有: 工具最新版本:Software Ideas Modeler 13.99 更新时间:2023年4月17日 工具简介 轻量级建模工具,支持UML、BPMN、SysML。 平台:Windows 获得地址 https://www.softwareideas.net/en/do…

java学习之异常二

目录 一、异常处理机制 一、try-catch-finally 二、throws 二、try-catch 异常处理使用细节 三、try-catch-finally练习 第一题 第二题 第三题 第四题 一、异常处理机制 共有两种异常处理机制 一、try-catch-finally 处理机制图示 二、throws 关于第二点,如E…

Linux性能分析工具perf和火焰图使用方法

简介 perf是linux上的性能分析工具,perf可以对event进行统计得到event的发生次数,或者对event进行采样,得到每次event发生时的相关数据(cpu、进程id、运行栈等),利用这些数据来对程序性能进行分析。 perf可以统计或采样的event有…

JVM学习随笔02——虚拟机内存区组成与内存溢出异常

一、Java虚拟机内存区组成图 1、程序计数器: 每个线程独占一个计数器,用来指示该线程下一条要执行的指令的地址。这一部分不会导致内存异常。PS:如果一个线程进入的是一般的Java方法,计数器指示的是下一条指令地址;如果…

taro小程序中如何引入css_moudle?配置后不生效的解决方法

1.根据文档Taro配置 编译配置存放于项目根目录下的 config 目录中,包含三个文件: index.js 是通用配置dev.js 是项目预览时的配置prod.js 是项目打包时的配置 参考Taro官网,我们要做的是:找到项目根文件夹下的 config 文件&…

【Android车载系列】第12章 车载渲染-SurfaceFlinger单独绘制到界面

1 SurfaceFlinger渲染方案 车载的倒车影像同学们知道是怎么实现的吗?等待Android设备开机再打开倒车影像App?车子挂到R档倒车如果等待这个流程实在太久,是否还有其它办法可以让车子挂R档直接展示倒车影像呢?大家思考一下。 我们从…

opencv_c++学习(四)

图像在opencv中的存储方式 在上图中可以看出,在opencv中采用的是像素值来代表每一个像素三通道颜色的深浅。 Mat对象 Mat对象是在OpenCV2.0之后引进的图像数据结构、自动分配内存、不存在内存泄漏的问题,是面向对象的数据结构。分了两个部分&#xff0…

Graph—随机游走

Random Walk Approaches for Node Embeddings 一、随机游走基本概念 想象一个醉汉在图中随机的行走,其中走过的节点路径就是一个随机游走序列。 随机行走可以采取不同的策略,如行走的方向、每次行走的长度等。 二、图机器学习与NLP的关系 从图与NLP的…

《计算机网络—自顶向下方法》 第二章Wireshark实验:HTTP协议分析

HTTP 协议工作于客户端-服务端架构上。浏览器作为 HTTP 客户端通过 URL 向 HTTP 服务端即 WEB 服务器发送所有请求。 WEB 服务器有:Apache服务器,IIS服务器(Internet Information Services)等。URL:即统一资源定位符(…

手写自己的Springboot-1-整合tomcat

文章目录 创建自己的Springboot创建项目注册、启动Spring容器启动tomcat 引用测试 创建自己的Springboot 首先明确本文章想要达到的目的,就是引入我们自己写的Springboot项目的依赖,无需配置,就可以达到处理普通请求的效果. 这里有一个非常简单的Springboot项目,项目里面就只…

将 Segment Anything 扩展到医学图像领域

文章目录 前言技术交流SAM 拆解分析从医学角度理解 SAM 的效用MedSAM实验总结 前言 SAM 是一种在自然图像分割方面取得成功的模型,但在医学图像分割方面表现不佳。MedSAM 首次尝试将 SAM 的成功扩展到医学图像,并成为用于分割各种医学图像的通用工具。为…

22.网络爬虫—APP数据抓取详讲

网络爬虫—APP数据抓取详讲 Fiddler工作原理安装完成Fiddler后的配置前提条件工具配置 手机数据抓取Fiddler手机端配置手机端操作 实战演示后记 前言: 🏘️🏘️个人简介:以山河作礼。 🎖️🎖️:Python领域新…

springboot+mybatis搭建maven多模块工程

最近看了一篇博客,选定springbootmybatis作为框架,在idea中搭建maven的多模块工程,下面也再温习一下,并将搭建过程分享出来,供小伙伴们参考。 1、开发工具及系统环境 Idea 2020.3系统环境为win10mysql5.7springboot2.…

GNN学习/GCN学习/GNN环境配置cuda安装/GCN代码展示

参考: A Gentle Introduction to Graph Neural Networks https://distill.pub/2021/gnn-intro/Understanding Convolutions on Graphs https://distill.pub/2021/understanding-gnns/Graph neural networks: A review of methods and applications https://arxiv.org/pdf/1812…

【Java】认识异常

目录 1.异常概念和分类 2.异常的抛出 3.异常的捕获 3.1异常声明throws 3.2异常捕获try-catch 3.3finally 3.4.异常的处理流程 4.自定义异常类 1.异常概念和分类 public class Test {public static void test() {test();}public static void main(String[] args) {Sy…

详解数据集safety-pilot-model-deployment-data

safety-pilot-model-deployment-data这个数据集是由美国交通部的联邦航空管理局(FAA)和交通运输部(DOT)主导的“安全试点”(Safety Pilot Model Deployment)项目所提供的。该项目旨在研究汽车与飞机之间的通…

Vue电商项目--开发Search模块与mockjs模拟数据

Search模块中商品分类与过度动画 现在完成了在/home路由下实现三级导航组件的显示隐藏 通过this.$route.path!/home在搜索页面显示,通过方法鼠标移入移出从而又控制在search路由下的显示隐藏 过渡动画:前提组件|元素必要又v-if| v-show指令才可以进行…

Linux进程状态及优先级

本文已收录至《Linux知识与编程》专栏! 作者:ARMCSKGT 演示环境:CentOS 7 进程状态及优先级 前言正文进程状态就绪运行状态R阻塞睡眠状态 S休眠状态D挂起 暂停状态T前台与后台进程待追踪暂停状态t 死亡状态 X僵尸状态 Z 孤儿进程进程优先级查…

nginx(七十三)nginx与Location响应头细节探讨

一 nginx与Location响应头细节探讨 ① 重定向和Location回顾 多种重定向跳转方式的差异 nginx之absolute_redirect、server_name_in_redirect、port_in_redirect 共同控制Location响应头 ② STS响应头导致307重定向 "第一次访问 http://www.baidu.com" 观察…

基于Qt、C++的毕业设计课设数学绘图工具(平面图、图表、立体图绘制-附下载链接)

基于Qt、C的毕业设计课设数学绘图工具(平面图、图表、立体图绘制) 介绍 这是我的毕业设计,基于Qt Creator 4.11.1,c语言。 效果图如下 点我下载项目源码(含打包软件) 使用说明 1. 二维函数绘制 开始界面…