防火墙扩展分组过滤器实验

实验七 防火墙扩展分组过滤器实验

实验内容

互联网结构如图所示，分别在路由器 R1 接口1 输入方向和路由器 R2 接口2 输入方向设置扩展分组过滤器，实现只允许终端A访问Web服务器，终端B访问FTP服务器，禁止其他一切网络间通信过程的安全策略。

实验目的

1. 验证扩展分组过滤器的配置过程
2. 验证扩展分组过滤器实现访问控制策略的过程
3. 验证过滤规则设置原理和方法
4. 验证过滤规则作用过程

实验原理

为了实现只允许终端A访问Web服务器，终端B访问FTP服务器，禁止其他一切网络间通信过程的安全策略，需要在路由器R1接口1输入方向配置如下过滤规则集：

1. 协议类型 = TCP，源IP地址 = 192.1.1.1/32，源端口号 = *，目的IP地址 = 192.1.2.7/32，目的端口号 = 80；正常转发。
2. 协议类型 = TCP，源IP地址 = 192.1.1.7/32，源端口号 = 21，目的IP地址 = 192.1.2.1/32，目的端口号 = *；正常转发。
3. 协议类型 = TCP，源IP地址 = 192.1.1.7/32，源端口号 > 1024，目的IP地址 = 192.1.2.1/32，目的端口号 = *；正常转发。
4. 协议类型 = *，源IP地址 = any，目的IP地址 = any；丢弃。

同样，需要在路由器R2接口2输入方向配置如下过滤规则集：

1. 协议类型 = TCP，源IP地址 = 192.1.2.1/32，源端口号 = *，目的IP地址 = 192.1.1.7/32，目的端口号 = 21；正常转发。
2. 协议类型 = TCP，源IP地址 = 192.1.2.1/32，源端口号 = *，目的IP地址 = 192.1.1.7/32，目的端口号 > 1024；正常转发。
3. 协议类型 = TCP，源IP地址 = 192.1.2.7/32，源端口号 = 80，目的IP地址 = 192.1.1.1/32，目的端口号 = *；正常转发。
4. 协议类型 = *，源IP地址 = any，目的IP地址 = any；丢弃。

路由器R1接口1输入方向过滤规则①表明，只允许与终端A以HTTP访问Web服务器的过程有关的TCP报文继续正常转发。过滤规则②表明，只允许属于FTP服务器和终端B之间控制连接的TCP报文继续正常转发。过滤规则③表明，只允许属于FTP服务器和终端B之间数据连接的TCP报文继续正常转发。由于FTP服务器是被动打开的，因此，数据连接FTP服务器端的端口号是不确定的，FTP服务器在大于1024的端口号中随机选择一个端口号作为数据连接的端口号。过滤规则④表明，丢弃所有不符合上述过滤规则的IP分组。路由器R2接口2输入方向过滤规则集的作用与此相似。

实验步骤

1. 完成设备放置和连接后的逻辑工作区如图所示。完成路由器 Router1 和 Router2 各个接口的配置过程，完成各台路由器 RIP 配置过程。完成各个终端和服务器网络信息配置过程，验证终端和终端之间、终端和服务器之间、服务器和服务器之间的连通性。

   

   Router1 接口和 RIP 配置过程：

   enable
   configure terminal
   interface FastEthernet0/0
   no shutdown
   ip address 192.1.1.254 255.255.255.0
   exit
   interface FastEthernet0/1
   no shutdown
   ip address 192.1.3.1 255.255.255.0
   exit
   router rip
   network 192.1.1.0
   network 192.1.3.0
   exit

   Router2 接口和 RIP 配置过程：

   enable
   configure terminal
   interface FastEthernet0/0
   no shutdown
   ip address 192.1.2.254 255.255.255.0
   exit
   interface FastEthernet0/1
   no shutdown
   ip address 192.1.3.2 255.255.255.0
   exit
   router rip
   network 192.1.2.0
   network 192.1.3.0
   exit

   配置完成后从 PC0 ping PC2（192.1.1.1 to 192.1.2.1）:

   

   从 PC0 ping Web Server（192.1.1.1 to 192.1.2.7）：

   

   从 FTP Server ping Web Server（192.1.1.7 to 192.1.2.7）:

   

2. 在 CLI 配置方式下，完成路由器 Router1 编号为 101 的扩展分组过滤器的配置过程，并将其作用到路由器接口 FastEthernet0/0 输入方向。完成路由器 Router2 编号为 101 的扩展分组过滤器的配置过程，并将其作用到路由器接口 FastEthernet0/0 输入方向。

   路由器 Router1 扩展分组过滤器配置过程：

   enable
   configure terminal
   access-list 101 permit tcp host 192.1.1.1 host 192.1.2.7 eq www
   access-list 101 permit tcp host 192.1.1.7 eq ftp host 192.1.2.1
   access-list 101 permit tcp host 192.1.1.7 gt 1024 host 192.1.2.1
   access-list 101 deny ip any any
   interface FastEthernet0/0
   ip access-group 101 in
   exit

   尝试从 PC0 ping PC2 和 Web Server：

   

   路由器 Router2 扩展分组过滤器配置过程：

   enable
   configure terminal
   access-list 101 permit tcp host 192.1.2.1 host 192.1.1.7 eq ftp
   access-list 101 permit tcp host 192.1.2.1 host 192.1.1.7 gt 1024
   access-list 101 permit tcp host 192.1.2.7 eq www host 192.1.1.1
   access-list 101 deny ip any any
   interface FastEthernet0/0
   ip access-group 101 in
   exit

3. 验证不同网络的终端之间和服务器之间不能ping通。PC0 发送给 Web 服务器的 ICMP 报文，封装成IP分组后沿 PC0 至 Web 服务器的IP传输路径传输，到达路由器 Router1 接口 FastEthernet0/0时，被路由器 Router1 丢弃，如图所示：

   

4. 允许 PC0 通过浏览器访问 Web 服务器，如图所示：

   

   FTP 服务器配置界面如图所示，创建两个用户名分别为 aaa 和 cisco 的授权用户，授权用户的访问权限时全部操作功能：

   

   PC2 访问 FTP 服务器的过程如图：

   

5. 如果要求实现只允许 PC2 发起访问 FTP 服务器的访问控制策略，应该实施以下信息交换控制机制，必须在 PC2 向 FTP 服务器发送了 FTP 请求消息后，才能由 FTP 服务器向 PC2 发送对应的 FTP 响应消息。为此，在作用到路由器 Router1 接口 FastEthernet0/0 输入方向的编号为 101 的扩展分组过滤器中设置了规则②和③，设置这两个规则的目的是只允许FTP服务器向PC2的FTP响应消息，但扩展分组过滤器中的规则②和③并不能实现这一控制功能。相关TCP报文如图所示，该TCP报文并不是FTP服务器发送给PC2的FTP相应消息，但与规则③匹配，因此被允许输入路由器Router接口FastEthernet0/0。这也说明，用扩展分组过滤器实施精确控制是有困难的。

   

实验总结

验证了扩展分组过滤器实现访问控制策略的过程，了解了过滤规则作用过程。