Практически. БКС практические. Перечень лабораторных работ
 Скачать 1.44 Mb.
|
Ход работы:Каждый пользователь или устройство должны иметь доступ в Интернет для просмотра веб сайтов. Рабочие станции администратора и директора фирмы должны иметь доступ в Интернет без каких-либо ограничений. Рабочая станция ответственного сотрудника должна иметь доступ к частному ресурсу в сети по порту TCP 9443 Создание группы объектов: NET_LAN – все пользователи и устройства локальной сети. USER_CEO – адрес рабочей станции директора USER_ADMIN – адрес рабочей станции администратора USER_PRIVELEDGED – адрес рабочей станции сотрудника, который должен иметь некий расширенный доступ HOST_X — адрес внешнего ресурса, к которому требуется открыть доступ. USERS_FULL_ACCESS – группа, которой будет разрешен полный доступ в Интернет SERVICE_HTTP_HTTPS – группа портов для веб доступа HOST_DNS – адрес внешнего сервера DNS SERVICE_DNS – группа портов для доступа к службам DNS FW-DELTACONFIG(config)# object-group network NET_LAN network-object 192.168.10.0 255.255.255.0 object-group network USER_CEO network-object host 192.168.10.10 object-group network USER_ADMIN network-object host 192.168.10.100 object-group network USERS_FULL_ACCESS group-object USERS_CEO group-object USERS_ADMIN object-group network USER_PRIVELEDGED network-object host 192.168.10.50 network-object host 192.168.10.51 object-group network HOST_X network-object host 1.1.1.1 object-group network HOST_DNS network-object host 8.8.8.8 object-group service SERVICE_HTTP_HTTPS service-object tcp eq http service-object tcp eq https object-group service SERVICE_DNS service-object tcp eq 53 service-object udp eq 53 Создаем список доступа ACL_INSIDE_IN, в котором описываем все правила^ Полный доступ адресов из группы USERS_FULL_ACCESS в Интернет FW-DELTACONFIG(config)# access-list ACL_INSIDE_IN extended permit ip object-group USERS_FULL_ACCESS any Доступ адресов из группы USER_PRIVELEDGED к ресурсу с адресом из группы HOST_X по порту TCP 9443 FW-DELTACONFIG(config)# access-list ACL_INSIDE_IN extended permit tcp object-group USER_PRIVELEDGED object- group HOST_X eq 9443 Доступ в интернет по портам TCP 80(http) и TCP 443(https) для всех устройств локальной сети FW-DELTACONFIG(config)# access-list ACL_INSIDE_IN extended permit object-group SERVICE_HTTP_HTTPS object-group NET_LAN any Разрешение доступа всем устройствам локальной сети к серверу DNS Google. FW-DELTACONFIG(config)# access-list ACL_INSIDE_IN extended permit object-group SERVICE_DNS object-group NET_LAN object-group HOST_DNS Разрешение протокола icmp для запуска Ping с любого устройства локальной сети. FW-DELTACONFIG(config)# access-list ACL_INSIDE_IN extended permit icmp object-group NET_LAN any Явный запрет любых других соединений. Благодаря слову log в конце строки в журнал устройства будут попадать все попытки доступа, которые не были разрешены этим access list. FW-DELTACONFIG(config)# access-list ACL_INSIDE_IN extended deny ip any any log Контрольные вопросы: Описание технологии ACL Отличие конфигурации ACL на Cisco ASA от конфигурации на маршрутизаторе. |