Packet Tracer - Configuring a Zone-Based Policy Firewall (ZPF)

2024-02-05 07:04

本文主要是介绍Packet Tracer - Configuring a Zone-Based Policy Firewall (ZPF),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Packet Tracer - 配置基于区域的策略防火墙(ZPF)

地址表

在这里插入图片描述

目标

  • 在防火墙配置前验证设备之间的连通性。

  • 在路由器R3上配置基于区域的策略(ZPF)防火墙。

  • 使用ping、Telnet和网页浏览器验证ZPF防火墙功能。

背景/场景

基于区域的策略(Zone-Based Policy,ZPF)防火墙是Cisco防火墙技术发展的最新成果。在本活动中,您将在边缘路由器R3上配置一个基本的ZPF防火墙,允许内部主机访问外部资源,并阻止外部主机访问内部资源。然后,从内部和外部主机验证防火墙的功能。

路由器已预先配置了以下内容:

  • 控制台密码:ciscoconpa55

  • vty线路密码:ciscovtypa55

  • 启用密码:ciscoenpa55

  • 主机名和IP地址配置

  • 静态路由配置

第一部分:验证基本网络连通性

在配置基于区域的策略防火墙之前,验证网络连通性。

步骤1:从PC-A命令提示符,ping PC-C的192.168.3.3地址。
在这里插入图片描述

步骤2:从PC-C命令提示符,通过telnet连接到Router R2 S0/0/1接口的10.2.2.2地址。退出Telnet会话。
在这里插入图片描述

步骤3:从PC-C打开一个网页浏览器访问PC-A服务器。

a. 点击桌面标签页并点击Web浏览器应用程序。将PC-A的IP地址192.168.1.3作为URL输入。此时应显示来自Web服务器的Packet Tracer欢迎页面。
在这里插入图片描述

b. 关闭PC-C上的浏览器。

第二部分:在路由器R3上创建防火墙区域

注意:对于所有配置任务,请确保使用指定的确切名称。

步骤1:创建内部区域。

使用zone security命令创建名为IN-ZONE的区域。

R3(config)# zone security IN-ZONE

步骤2:创建外部区域。

使用zone security命令创建名为OUT-ZONE的区域,并退出区域安全配置模式。

R3(config)# zone security OUT-ZONE
R3(config-sec-zone)# exit

第三部分:定义流量类别和访问列表

步骤1:创建定义内部流量的ACL。

使用access-list命令创建扩展ACL 101,允许来自192.168.3.0/24源网络的所有IP协议到任何目的地。

R3(config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 any

步骤2:创建引用内部流量ACL的类映射。

使用带有match-all选项的class-map type inspect命令创建名为IN-NET-CLASS-MAP的类映射。使用match access-group命令匹配ACL 101。

R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP
R3(config-cmap)# match access-group 101
R3(config-cmap)# exit

注:虽然在本Packet Tracer练习中不支持,但可以通过match-any选项指定具体的协议(如HTTP、FTP等),以便对需要检查的流量类型提供更精确的控制。

第四部分:指定防火墙策略

步骤1:创建策略映射以确定如何处理匹配的流量。

使用policy-map type inspect命令并创建一个名为IN-2-OUT-PMAP的策略映射。

R3(config)# policy-map type inspect IN-2-OUT-PMAP

步骤2:指定inspect类型的类,并引用类映射IN-NET-CLASS-MAP。

R3(config-pmap)# class type inspect IN-NET-CLASS-MAP

步骤3:为该策略映射指定inspect操作。

使用inspect命令会调用基于上下文的访问控制(其他选项包括pass和drop)。

R3(config-pmap-c)# inspect%No specific protocol configured in class IN-NET-CLASS-MAP for inspection. All protocols will be inspected.

提示信息表示IN-NET-CLASS-MAP类没有配置特定协议进行检查,因此所有协议都将被检查。

连续两次发出exit命令,退出config-pmap-c模式并返回到config模式。

R3(config-pmap-c)# exit
R3(config-pmap)# exit

第五部分:应用防火墙策略

步骤1:创建一对区域。

使用zone-pair security命令,创建一个名为IN-2-OUT-ZPAIR的区域对。指定在任务1中创建的源和目标区域。

R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

步骤2:为两个区域之间的流量指定策略映射。

通过service-policy type inspect命令将策略映射及其关联操作附加到区域对,并引用之前创建的策略映射IN-2-OUT-PMAP。

R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP
R3(config-sec-zone-pair)# exit
R3(config)#

步骤3:将接口分配给相应的安全区域。

在接口配置模式下,使用zone-member security命令将Fa0/1分配给IN-ZONE,将S0/0/1分配给OUT-ZONE。

R3(config)# interface fa0/1
R3(config-if)# zone-member security IN-ZONE
R3(config-if)# exitR3(config)# interface s0/0/1
R3(config-if)# zone-member security OUT-ZONE
R3(config-if)# exit

步骤4:将运行配置复制到启动配置。

第六部分:从IN-ZONE到OUT-ZONE测试防火墙功能

验证配置基于区域的策略防火墙后,内部主机仍能访问外部资源。

步骤1:从内部PC-C,ping外部PC-A服务器。

从PC-C命令提示符,ping PC-A的192.168.1.3地址。ping操作应成功。
在这里插入图片描述

步骤2:从内部PC-C,telnet到路由器R2 S0/0/1接口。

a. 从PC-C命令提示符,telnet到R2的10.2.2.2,并提供vty密码ciscovtypa55。Telnet会话应成功。
在这里插入图片描述

b. 在活动的Telnet会话中,在R3上执行命令show policy-map type inspect zone-pair sessions以查看已建立的会话。
在这里插入图片描述

源IP地址和端口号是什么?

目标IP地址和端口号是什么?

步骤3:从PC-C退出R2上的Telnet会话并关闭命令提示符窗口。

步骤4:从内部PC-C,打开一个网页浏览器访问PC-A服务器的网页。

在浏览器URL字段中输入服务器IP地址192.168.1.3,并点击“Go”。HTTP会话应成功。在HTTP会话活动期间,在R3上执行命令show policy-map type inspect zone-pair sessions以查看已建立的会话。

注:如果在您在R3上执行命令之前HTTP会话超时,您需要在PC-C上点击“Go”按钮来生成PC-C与PC-A之间的会话。
在这里插入图片描述

源IP地址和端口号是什么?

目标IP地址和端口号是什么?

步骤5:关闭PC-C上的浏览器。

第七部分:从OUT-ZONE到IN-ZONE测试防火墙功能

验证配置基于区域的策略防火墙后,外部主机无法访问内部资源。

步骤1:从PC-A服务器命令提示符,ping PC-C。

从PC-A命令提示符,ping PC-C的192.168.3.3地址。ping操作应失败。
在这里插入图片描述

步骤2:从路由器R2,ping PC-C。

从R2,ping PC-C的192.168.3.3地址。ping操作应失败。
在这里插入图片描述

步骤3:检查结果。

您的完成百分比应为100%。点击“Check Results”查看反馈和已完成的必要组件验证。

这篇关于Packet Tracer - Configuring a Zone-Based Policy Firewall (ZPF)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/680093

相关文章

Retrieval-based-Voice-Conversion-WebUI模型构建指南

一、模型介绍 Retrieval-based-Voice-Conversion-WebUI(简称 RVC)模型是一个基于 VITS(Variational Inference with adversarial learning for end-to-end Text-to-Speech)的简单易用的语音转换框架。 具有以下特点 简单易用:RVC 模型通过简单易用的网页界面,使得用户无需深入了

音视频入门基础:WAV专题(10)——FFmpeg源码中计算WAV音频文件每个packet的pts、dts的实现

一、引言 从文章《音视频入门基础:WAV专题(6)——通过FFprobe显示WAV音频文件每个数据包的信息》中我们可以知道,通过FFprobe命令可以打印WAV音频文件每个packet(也称为数据包或多媒体包)的信息,这些信息包含该packet的pts、dts: 打印出来的“pts”实际是AVPacket结构体中的成员变量pts,是以AVStream->time_base为单位的显

MACS bdgdiff: Differential peak detection based on paired four bedGraph files.

参考原文地址:[http://manpages.ubuntu.com/manpages/xenial/man1/macs2_bdgdiff.1.html](http://manpages.ubuntu.com/manpages/xenial/man1/macs2_bdgdiff.1.html) 文章目录 一、MACS bdgdiff 简介DESCRIPTION 二、用法

Neighborhood Homophily-based Graph Convolutional Network

#paper/ccfB 推荐指数: #paper/⭐ #pp/图结构学习 流程 重定义同配性指标: N H i k = ∣ N ( i , k , c m a x ) ∣ ∣ N ( i , k ) ∣ with c m a x = arg ⁡ max ⁡ c ∈ [ 1 , C ] ∣ N ( i , k , c ) ∣ NH_i^k=\frac{|\mathcal{N}(i,k,c_{

Android Studio打开Modem模块出现:The project ‘***‘ is not a Gradle-based project

花了挺长时间处理该问题,特记录如下:1.背景: 在Android studio 下导入一个新增的modem模块,如MPSS.DE.3.1.1\modem_proc\AAA, 目的是看代码方便一些,可以自由搜索各种关键字。但导入该项目时出现了如下错误: The project '***' is not a Gradle-based project.造成的问题: (1) project 下没有代码,而

SIM(Search-based user interest modeling)

导读 我们对电商场景兴趣建模的理解愈发清晰:1. 通过预估目标item的信息对用户过去的行为做search提取和item相关的信息是一个很核心有效的技术。2. 更长的用户行为序列信息对CTR建模是非常有效且珍贵的。从用户的角度思考,我们也希望能关注用户长期的兴趣。但是当前的search方法无论是DIN和DIEN都不允许我们在线对一个超长的行为序列比如1000以上做有效搜索。所以我们的目标就比较明

Segmentation简记-Multi-stream CNN based Video Semantic Segmentation for Automated Driving

创新点 1.RFCN & MSFCN 总结 网络结构如图所示。输入视频得到图像分割结果。 简单粗暴

Attribute Recognition简记1-Video-Based Pedestrian Attribute Recognition

创新点 1.行人属性库 2.行人属性识别的RNN框架及其池化策略 总结 先看看行人属性识别RNN结构: backbone是ResNet50,输出是每一帧的空间特征。这组特征被送到两个分支,分别是空间池化和时间建模。最后两种特征拼接。然后分类(FC)。 LSTM关注帧间变化。受cvpr《Recurrent Convolutional Network for Video-Based Person

Cisco Packet Tracer的下载与安装+中文

Cisco Packet Tracer的下载与安装+中文 一、引言 Cisco Packet Tracer 是一款由思科公司开发的网络模拟软件,广泛用于网络设计和模拟。它支持模拟路由器、交换机、防火墙等网络设备,是学习网络技术的好帮手。本文将介绍如何下载、安装Cisco Packet Tracer,并将其设置为中文界面。 二、下载 1、下载方式 1.1、思科官网下载 首先推荐从思科官方

第十五章 WS-Policy 配置类详细信息 - 配置 XData 块的详细信息(二)

文章目录 第十五章 WS-Policy 配置类详细信息 - 配置 XData 块的详细信息(二)`<method>``<request>``<response>` 第十五章 WS-Policy 配置类详细信息 - 配置 XData 块的详细信息(二) <method> <method> 元素将策略与父 <service> 元素指定的 Web 服务或客户端内的特定 Web 方法