实验拓扑

QQ图片20211223211214.png


实验要求

  • 通过配置对象策略,实现以下要求:
    • 允许教师用户区城在任意时间通过Http、FTP协议访问软件下载中心,
    • 允许学生用户区域在工作时间通过FTP访问软件下载中心,任何时间禁止通过Http访问软件下载中心。

      实验内容

      实验内容:(以下实验内容可以通过WEB界面配置完成)。
      1.按拓扑结构连接Soft、Teacher、Student区域,Host_1、Host_2、Host_3均在Oracle VM VirtualBox中使用虚拟机,按图配置Host_1.Host_2.Host_3的IP地址和网关。在 Host_1使用工具软件Quick easy ftp server架设FTP服务、使用工具软件MyWebServer架设WEB服务。
      2.在F1060防火墙上配置G1/0/2、G1/0/5、G1/0/6的接口IP地址,并在各安全域中加入相应的接口。
      1. [H3C]sxsname Firewa11
      2. [H3C]acl b 2000
      3. [H3C]rule 0 permit source any
      4. [Firewa11]time-range worktime 08:00 to 18:00 working-dayw
      5. //创建名为worktime的时间段,其时间范围为每周工作日的8点到18点。
      6. //配置G1/0/2接口IP地址,创建soft安全域,并添加G1/0/2接口。
      7. [Firewa11]interface GigabitEthernst 1/0/2
      8. [Firewa11-GigabitEthernet1/0/2]ip address 172.16.1.1 24
      9. // 做个nat转换地址
      10. [Firewa11-GigabitEthernet1/0/2]nat ou 2000
      11. [Firewa11-GigabitEthernet1/0/2]quit
      12. [Firewa11]security-zone name soft
      13. [Firewa11-security-zone-soft]impoxt interface Gi 1/0/2
      14. [Firewa11-security-zone-soft]quit
      15. // 配置G1/0/5接口IP地址,创建teacher安全域,并添加G1/0/5接口。
      16. [Firewa11]interface GizabitEthornet 1/0/5
      17. [Firewa11-GigabitEthernet1/0/5]ip address 192.168.10.1 24
      18. [Firewa11-GigabitEthernet1/0/5]quit
      19. [Firewall]security-zone name teacher
      20. [Firewall-security-zone-teacher]import interface GigabitEthernet
      21. 1/0/5
      22. [Firewall-security-zone-teacher]quit
      23. // 配置G1/0/6接口IP地址,创建student 安全域,并添加G1/0/6接口。
      24. [Firewall]interface GigabitEthernet 1/0/6
      25. [Firewall-GigabitEthernet1/0/6]ip address 192.168.20.1 24
      26. [Firewall-GigabitEthernet1/0/6]quit
      27. [Firewall]securitv-zone name student
      28. [Firewall-security-zone-student]import interface GigabitEthernet 1/0/6
      3.配置IP地址对象组。
      1. // 创建名为softadd,的IP地址对象组,并定义其子网地址为172.16.1.0/24。
      2. [Firewall]object-group ip address softadd
      3. [Firewall-obj-grp-ip-softadd]network subnet 172.16.1.0 24
      4. [Firewall-obj-grp-ip-softadd]quit
      5. // 创建名为teacheradd的IP地址对象组,并定义其子网地址为192.168.10.0/24。
      6. [Firewall]object-group ip address teacheradd
      7. [Firewall-obj-grp-ip-teacheradd]network subnet 192.168.10.0 24
      8. [Firewall-obj-grp-ip-teacheradd]quit
      9. // 创建名为studentadd的IP地址对象组,并定义其子网地址192.168.20.0/24。
      10. [Firewall]object-group ip address studentadd
      11. [Firewall-obj-grp-ip-studentadd]network subnet 192.168.20.0 24
      12. [Firewall-obj-grp-ip-studentadd]quit
      4.配置策略,可以采用以下方法1或者方法2其中一种即可。如采用WEB配置方式,为方法1的方式。 ```swift 方法1:按以下步骤配置。 [Firewall]security-policy ip // 创建安全策略,安全策略规则0名称为teacher-soft [Firewall-security-policy-ip]rule 0 name teacher-soft // 为匹配的数据包指定操作 [Firewall-security-policy-ip-0-teacher-soft]action pass // 添加源安全区域匹配条件 指定源安全区域的名称 [Firewall-security-policy-ip-0-teacher-soft]source-zone teacher // 添加目标安全区域匹配条件为到达soft安全域的流量 [Firewall-security-policy-ip-0-teacher-soft]destination-zone soft // 源IP为设置的teacheradd子网段 [Firewall-security-policy-ip-0-teacher-soft]source-ip teacheradd [Firewall-security-policy-ip-0-teacher-soft]destination-ip softadd // 添加服务对象组匹配条件为FTP HTTP [Firewall-security-policy-ip-0-teacher-soft]service ftp [Firewall-security-policy-ip-0-teacher-soft]service http [Firewall-security-policy-ip-0-teacher-softlquit [Firewall-security-policy-ip]rule 1 name student-soft // 安全策略规则1,名称为student-soft [Firewall-security-policy-ip-l-student-soft]action pass // 设置时间范围为之前设置的工作时间 [Firewall-security-policy-ip-0-teacher-soft]time-range worktime [Firewall-security-policy-ip-1-student-soft]source-zone student [Firewall-security-policy-ip-1-student-soft]destination-zone soft [Firewall-security-policy-ip-l-student-soft]source-ip studentadd [Firewall-security-policy-ip-l-student-soft]destination-ip softadd [Firewall-security-policy-ip-1-student-soft]service ftp [Firewall-security-policy-ip-1-student-soft]quit [Firewall-security-policy-ip]quit //完成以上内容已可实现目的要求

方法2:按以下步骤配置。 // 配置从teacher区域去往soft区域的对象策略,允许ftp和 http,对象策略名称为teacher-soft [Firewall]object-policy ip teacher-soft [Firewall-object-policy-ip-teacher-soft]rule pass source-ip teacheradd destination-ip softaddservice ftp [Firewall-object-policy-ipteacher-soft]rule pass source-ip teacheradd destination-ip softaddservice http [Firewall-object-policy-ip-teacher-soft]quit // 配置从student区域去往soft区域的对象策略,工作时间允许ftp,任何时间丢弃 http,对象策略名称为student-soft. [Firewall]object-policy ip student-soft [Firewall-object-policy-ip-student-soft]rule pass source-ip studentadd destination-ip softadd service ftp time-range worktime. [Firewall-object-policy-ip-student-soft]rule drop source-ip studentadd destination-ip softaddservice http [Firewall-object-policy-ip-student-soft]quit // 在源安全域teacher和目的安全域soft之间,应用对象策略teacher-soft [Firewall]zone-pair security source teacher destination soft [Firewall-zone-pair-security-teacher-soft]object-policy apply ip teacher-soft [Firewall-zone-pair-security-teacher-soft]quit // 在源安全域student和目的安全域soft之间,应用对象策略student-soft [Firewall]zone-pair security source student destination soft. [Firewall-zone-pair-security-student-soft]object-policy apply ip student-soft [Firewall-zone-pair-security-student-soft]quit

  1. 5.结果验证。<br />(1)在Host_2I上,可以通过httpftp访问服务器172.16.1.2。<br />(2)在Host_3上,可以通过ftp访问服务器172.16.1.2,不能通过http访问172.16.1.2。<br />6.为了更好地保证Ftp传输安全,可以启用ASPF策略,ASPF (Advanced Stateful Packet<br />Filter,高级状态包过滤)的概念。ASPF 能够实现的主要功能有:应用层协议检测、传输层协议检测、ICMP差错报文检测、TCP连接首包检测等。ASPF可以和包过滤防火墙(ACL)协同工作,也可以和对象策略(Object-policy)协同工作,ACL或者0bjec-policy负责按照规则进行报文过滤(阻断或放行),ASPF负责对已放行报文进行信息记录。因此,ASPF能够为企业内部网络提供更全面的、更符合实际需求的安全策略。
  2. ```swift
  3. //创建ASPF 策略1,配置检测应用层协议FTP。
  4. [Firewall]aspf policy 1
  5. [Firewall-aspf-policy-1]detect ftp
  6. [Firewall-aspf-policy-l]quit
  7. [Firewall]zone-pair security source teacher destination soft
  8. [Firewall-zone-pair-security-teacher-soft]aspf apply policy l
  9. [Firewall-zone-pair-security-teacher-soft]quit
  10. [Firewall]zone-pair security source student destination soft
  11. [Firewall-zone-pair-security-student-soft]aspf apply policy 1
  12. [Firewall-zone-pair-security-student-soft]quit