实训项目7教学设计.docVIP

实训项目7-利用SDM对CISCO路由器IOS配置防火墙功能 一、实训题目： 利用SDM对CISCO路由器IOS配置防火墙功能 二、实训目的： 1．学习思科路由器IOS中集成的防火墙特性集功能； 2．能在路由器上配置常用防火墙功能； 3．学会思科路由器IOS安全特性的配置，能利用SDM软件配置路由器的防火墙功能，尽可能最小的经济投入下实现对企业网络的基本防护。 三、实训要求： 1．准备路由器模拟软件DynamipsGUI或实际硬件路由器及配置中工具软件； 2．准备SDM软件； 3．准备虚拟机VM软件。 四、引导文本： 1．Cisco IOS防火墙介绍； 2．Cisco IOS防火墙特性； 3．CBAC的工作原理； ４．CBAC适用于何处； ５．有关CBAC的其他说明； ６．思科原有IOS中的ACL特性与CBAC对比； ７．思科IOS防火墙基于CBAC的配置。 五、实训步骤： （一）设计路由防火墙防护功能 1．思科IOS防火墙在企业中的应用设计-两接口的路由防火墙 　　 ２．思科IOS防火墙在企业中的应用设计-三接口的路由防火墙 （二）利用路由防火墙实施安全防护 1、两接口的思科IOS防火墙的防护实施 根据要实现的功能的要求，可简化为允许内部与外部建立TCP、UDP和ICMP的连接通信，拒绝内部其他所有流量；仅允许外部网络主机访问S1服务器的80端口和ICMP通信、拒绝外部到内部的其他所有流量。下面是对路由器配置的两种方式:基于命令行方式和利用SDM软件配置实现。 （1）基于命令行方式实现 配置CBAC检测TCP和UDP协议数据： Router(config)# ip inspect name INtoOUT TCP Router(config)# ip inspect name INtoOUT UDP 定义内到外的访问控制规则ACL，允许内到外的访问： Router(config)# access-list 110 permit ip 55 any Router(config)# access-list 110 deny any any 应用于内接口的入方向： Router(config)# interface F0/0 Router(config-if)# ip inspect INtoOUT in Router(config-if)# ip access-group 110 in 对于由外部网络进入的流量仅允许访问内部的的WEB服务和ICMP协议的通信： Router(config)# ip inspect name OUTtoIN TCP Router(config)# access-list 111 permit icmp any host Router(config)# access-list 111 permit tcp any host eq www Router(config)# access-list 111 deny ip any any 将ACL与检测规则应用于外部接口的进入方向： Router(config)# interface F0/1 Router(config-if)# ip inspect OUTtoIN in Router(config-if)# ip access-group 111 in （2）利用SDM软件实现 通过命令行模式登录路由器检查基本防火墙特性加入的命令： Router#show run Building configuration... hostname Router ! ip inspect name SDM_LOW cuseeme ip inspect name SDM_LOW dns ip inspect name SDM_LOW ftp ip inspect name SDM_LOW h323 ip inspect name SDM_LOW https ip inspect name SDM_LOW icmp ip inspect name SDM_LOW imap ip inspect name SDM_LOW pop3 ip inspect name SDM_LOW netshow ip inspect name SDM_LOW rcmd ip inspect name SDM_LOW realaudio ip inspect name SDM_LOW rtsp ip inspect name SDM_LOW esmtp ip inspect name SDM_LOW sqlnet ip inspect name SDM_LOW str