Noriu/Cyber_Security_Notes
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
5673305d63
Cyber_Security_Notes/B. 第二阶段/拓扑练习/0830_高级ACL.md
Noriu 9fdea7f887 2024年8月30日 15:59:40
2024-08-30 15:59:44 +08:00

130 lines
6.3 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# 高级ACL
![image-20240830093604188](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240830093604188.png)
![image-20240830093532029](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240830093532029.png)
### 一 、IP & Routing
- **PC、Client、Server**
- **AR1**
```
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 192.168.12.1 24
[AR1-GigabitEthernet0/0/0]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip add 192.168.1.254 24
[AR1-GigabitEthernet0/0/2]quit
[AR1]ip route-static 192.168.2.0 24 192.168.12.2
[AR1]ip route-static 192.168.3.0 24 192.168.12.2
[AR1]ip route-static 192.168.23.0 24 192.168.12.2
```
- **AR2**
```
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 192.168.12.2 24
[AR2-GigabitEthernet0/0/0]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 192.168.23.2 24
[AR2-GigabitEthernet0/0/1]int g0/0/2
[AR2-GigabitEthernet0/0/2]ip add 192.168.2.254 24
[AR2-GigabitEthernet0/0/2]quit
[AR2]ip route-static 192.168.1.0 24 192.168.12.1
[AR2]ip route-static 192.168.3.0 24 192.168.23.3
```
- **AR3**
```
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ip add 192.168.23.3 24
[AR3-GigabitEthernet0/0/0]int g0/0/2
[AR3-GigabitEthernet0/0/2]ip add 192.168.3.254 24
[AR3-GigabitEthernet0/0/2]quit
[AR3]ip route-static 192.168.1.0 24 192.168.23.2
[AR3]ip route-static 192.168.2.0 24 192.168.23.2
[AR3]ip route-static 192.168.12.0 24 192.168.23.2
```
### 二、连通性测试
> 三个终端全部互通
### 三、ACL
- **AR1**
```
[AR1]acl 3000
[AR1-acl-adv-3000]rule 10 permit tcp source 192.168.1.1 0.0.0.0 destination 192.168.3.1 0.0.0.0 destination-port eq 80
[AR1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0.0.0.0 destination 192.168.2.0 0.0.0.255
[AR1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0.0.0.0 destination any
[AR1]int g0/0/2
[AR1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000
```
*解析*
- `[AR1]acl 3000`在标记为AR1的网络设备上创建一个编号为3000的高级访问控制列表ACL
- `[AR1-acl-adv-3000]rule 10 permit tcp source 192.168.1.1 0.0.0.0 destination 192.168.3.1 0.0.0.0 destination-port eq 80`在ACL 3000中添加一条规则具体参数如下
- `rule 10`指定该规则的序号为10这将决定规则的评估顺序。
- `permit tcp`表示该规则将允许匹配条件的流量并且流量使用的是TCP协议。
- `source 192.168.1.1 0.0.0.0`指定流量的源IP地址为192.168.1.1。`0.0.0.0`通配符表示只匹配指定的IP地址没有变化。
- `destination 192.168.3.1 0.0.0.0`指定流量的目标IP地址为192.168.3.1。同样,`0.0.0.0`通配符表示只匹配指定的IP地址。
- `destination-port eq 80`指定该规则将匹配目标端口为80的流量80端口是HTTP流量的标准端口。
> 这条ACL规则允许来自源IP地址192.168.1.1到目标IP地址192.168.3.1的TCP流量且仅限于端口80。
- `[AR1-acl-adv-3000]rule 20 permit ip source 192.168.1.1 0.0.0.0 destination 192.168.2.0 0.0.0.255`在ACL 3000中添加一条规则具体参数如下
- `rule 20`指定该规则的序号为20这将决定规则的评估顺序。规则会按照序号从小到大的顺序进行匹配。
- `permit ip`表示该规则将允许匹配条件的IP流量这里没有指定具体的传输层协议因此这条规则将匹配所有使用IP协议的流量包括TCP、UDP、ICMP等。
- `source 192.168.1.1 0.0.0.0`指定流量的源IP地址为192.168.1.1。`0.0.0.0`通配符表示只匹配指定的IP地址没有变化。
- `destination 192.168.2.0 0.0.0.255`指定流量的目标IP地址范围为192.168.2.0/24网段。`0.0.0.255`通配符表示匹配192.168.2.0这个网段内的所有地址即192.168.2.0到192.168.2.255。
> 这条ACL规则允许来自源IP地址192.168.1.1的所有IP流量包括所有协议到目标IP地址范围192.168.2.0/24网段。
- `[AR1-acl-adv-3000]rule 30 deny ip source 192.168.1.1 0.0.0.0 destination any`在ACL 3000中添加一条规则具体参数如下
- `rule 30`指定该规则的序号为30这将决定规则的评估顺序。规则会按照序号从小到大的顺序进行匹配。
- `deny ip`表示该规则将拒绝匹配条件的IP流量这里没有指定具体的传输层协议因此这条规则将拒绝所有使用IP协议的流量包括TCP、UDP、ICMP等。
- `source 192.168.1.1 0.0.0.0`指定流量的源IP地址为192.168.1.1。`0.0.0.0`通配符表示只匹配指定的IP地址没有变化。
- `destination any`指定流量的目标IP地址可以是任何地址。这意味着这条规则将应用于从源IP地址192.168.1.1到任何目标IP地址的流量。
> 这条ACL规则的作用是拒绝来自IP地址192.168.1.1的所有IP流量无论这些流量的目标地址是什么。由于这条规则是在序号30的位置它将在评估完所有序号小于30的规则之后才被考虑。如果之前的规则已经允许了某些流量那么这些流量将不会被这条拒绝规则影响。
- `[AR1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000`在进入GigabitEthernet 0/0/2接口配置模式之后这条命令用于配置接口的入站inbound流量过滤规则。
- `traffic-filter` 命令用于指定应用于接口的ACL访问控制列表
- `inbound` 表示过滤的是进入该接口的流量。
- `acl 3000` 指定了之前创建的高级ACL 3000将应用于这个接口的入站流量。
> 在AR1设备的GigabitEthernet 0/0/2接口上应用编号为3000的高级ACL以过滤进入该接口的流量。这意味着所有尝试通过GigabitEthernet 0/0/2接口进入设备的流量都将根据ACL 3000中的规则进行检查并根据这些规则被允许或拒绝。
### 四、功能性测试
- **Client **
- PING Server*【Defeat】*
![image-20240830105915275](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240830105915275.png)
- 访问 Server HTTP*【Success】*
![image-20240830105705010](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240830105705010.png)
- 访问 Server FTP*【Defeat】*
![image-20240830112318917](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240830112318917.png)
Reference in New Issue View Git Blame Copy Permalink