您的位置:首页 > 服装鞋帽 > 男装 > PIX实验指南(二)

PIX实验指南(二)

luyued 发布于 2011-05-28 03:32   浏览 N 次  

一、 Download ACL

拓扑

需求

客户端通过telnet/http/ftp等协议引发一个登陆验证,使用user1账户的客户机可以随意访问DMZ和outside区域,但是使用user2账户的客户机只能访问DMZ区域中的服务器,不能访问outside外部网络,其他任何没有通过验证的客户端不允许访问任何网络,只能访问本地inside网络。本实验通过DMZ区域中的AAA服务器来完成用户的验证、用户ACL的下发。

配置

1. 安装ACS服务器后,点击NetworkConfiguration,添加pix为AAA Client。协议改为Radius

2.

点击InterfaceConfiguration,选择Advanced Options。

3.

勾选user-level downloadable ACLs后点击提交。

4.

点击SharedProfileComponents选择Downloadable IP ACLs。

5.

点击ADD按钮,添加一个名为user1ACL的Downloadable ACL.该ACL中建立一个名字为user1list,内容为permit ip any any的访问列表项。

6.按照上一步,再次点击ADD按钮,添加一个名为user2ACL的Downloadable ACL.该ACL中建立一个名字为user2list,内容为permit ip any 192.168.2.0 255.255.255.0;deny ip any any的访问列表项。

7.点击UserSetup,添加一个名为user1的用户,密码自行定义,在该用户属性的最下方勾选Assign IP ACL,并选择user1ACL。

8.

同上一步,建立一个用户名为user2的用户,在该用户属性的最下方勾选Assign IP ACL,并选择user2ACL。

9.

配置PIX

PIX Version 7.2(1)

!

hostname mypix

interface Ethernet0

nameif outside

security-level 0

ip address 202.100.1.13 255.255.255.0

!

interface Ethernet1

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0

!

interface Ethernet2

nameif dmz

security-level 50

ip address 192.168.2.1 255.255.255.0

access-list outsidelist extended permit icmp any interface outside echo-reply //允许外网回送ECHO-REPLY,该ACL用于ping测试。

access-list dmzlist extended permit ip any any //允许DMZ区域所有协议通过DMZ接口。

access-list nonat extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 //从192.168.1.0到192.168.2.0的所有报文不允许NAT/PAT。

access-list authlist extended permit ip any any //在认证成功前,凡符合该ACL的所有流量除TELNET/FTP/HTTP以外都将被阻止。

nat-control

global (outside) 1 interface

nat (inside) 0 access-list nonat//调用nonat ACL,nat 0号进程不会进行NAT/PAT

nat (inside) 1 192.168.1.0 255.255.255.0

access-group outsidelist in interface outside

access-group dmzlist in interface dmz

route outside 0.0.0.0 0.0.0.0 202.100.1.1 1

aaa-server myserver protocol radius

广告赞助商