Министерство образования и науки Российской Федерации
федеральное государственное бюджетное образовательное учреждение высшего образования
"Российский экономический университет имени Г.В.Плеханова"
МОСКОВСКИЙ ПРИБОРОСТРОИТЕЛЬНЫЙ ТЕХНИКУМ
 
ЛАБОРАТОРНАЯ РАБОТА № 20 
 
“
 Настройка ACL-списков на межсетевом экране Cisco ASA.
”
(2 часа)
ПМ.03 «Эксплуатация объектов сетевой инфраструктуры» 
МДК.03.02 Безопасность компьютерных сетей 
Составители(авторы) Вилков А.Н. преподаватель ФГБОУ ВО "РЭУ им. Г.В.Плеханова"

Топология сети
Ход работы: 
— Каждый пользователь или устройство должны иметь доступ в Интернет для просмотра 
веб сайтов. 
— Рабочие станции администратора и директора фирмы должны иметь доступ в Интернет 
без каких-либо ограничений. 
— Рабочая станция ответственного сотрудника должна иметь доступ к частному ресурсу в 
сети по порту TCP 9443 
Создание группы объектов: 
NET_LAN – все пользователи и устройства локальной сети. 
USER_CEO – адрес рабочей станции директора 
USER_ADMIN – адрес рабочей станции администратора 
USER_PRIVELEDGED – адрес рабочей станции сотрудника, который должен иметь некий 
расширенный доступ 
HOST_X — адрес внешнего ресурса, к которому требуется открыть доступ. 
USERS_FULL_ACCESS – группа, которой будет разрешен полный доступ в Интернет 
SERVICE_HTTP_HTTPS – группа портов для веб доступа 
HOST_DNS – адрес внешнего сервера DNS 
SERVICE_DNS – группа портов для доступа к службам DNS 
FW-DELTACONFIG(config)# 
object-group network NET_LAN 

network-object 192.168.10.0 255.255.255.0 
object-group network USER_CEO 
network-object host 192.168.10.10 
object-group network USER_ADMIN 
network-object host 192.168.10.100 
object-group network USERS_FULL_ACCESS 
group-object USERS_CEO 
group-object USERS_ADMIN 
object-group network USER_PRIVELEDGED 
network-object host 192.168.10.50 
network-object host 192.168.10.51 
object-group network HOST_X 
network-object host 1.1.1.1 
object-group network HOST_DNS 
network-object host 8.8.8.8 
object-group service SERVICE_HTTP_HTTPS 
service-object tcp eq http 
service-object tcp eq https 
object-group service SERVICE_DNS 
service-object tcp eq 53 
service-object udp eq 53 
Создаем список доступа ACL_INSIDE_IN, в котором описываем все правила^ 
Полный доступ адресов из группы USERS_FULL_ACCESS в Интернет 
FW-DELTACONFIG(config)# 
access-list ACL_INSIDE_IN extended permit ip object-group USERS_FULL_ACCESS any 
Доступ адресов из группы USER_PRIVELEDGED к ресурсу с адресом из группы HOST_X по 
порту TCP 9443 
FW-DELTACONFIG(config)# 
access-list ACL_INSIDE_IN extended permit tcp object-group USER_PRIVELEDGED object-
group HOST_X eq 9443 
Доступ в интернет по портам TCP 80(http) и TCP 443(https) для всех устройств локальной 
сети 
FW-DELTACONFIG(config)# 
access-list ACL_INSIDE_IN extended permit object-group SERVICE_HTTP_HTTPS object-group 
NET_LAN any 
Разрешение доступа всем устройствам локальной сети к серверу DNS Google. 
FW-DELTACONFIG(config)# 
access-list ACL_INSIDE_IN extended permit object-group SERVICE_DNS object-group 
NET_LAN object-group HOST_DNS 
Разрешение протокола icmp для запуска Ping с любого устройства локальной сети. 
FW-DELTACONFIG(config)# 
access-list ACL_INSIDE_IN extended permit icmp object-group NET_LAN any 

Явный запрет любых других соединений. Благодаря слову log в конце строки в журнал 
устройства будут попадать все попытки доступа, которые не были разрешены этим access list. 
FW-DELTACONFIG(config)# 
access-list ACL_INSIDE_IN extended deny ip any any log 
Контрольные вопросы:
1. Описание технологии ACL 
2. Отличие конфигурации ACL на Cisco ASA от конфигурации на маршрутизаторе. 

Министерство образования и науки Российской Федерации
федеральное государственное бюджетное образовательное учреждение высшего образования

Download 3.15 Mb.

Do'stlaringiz bilan baham: