CCNA_SEC第一天作业

1. 思科官网防火墙产品和 AAA服务器产品页面(截图)
   Cisco Secure Firewall - Cisco
   
   Cisco Secure ISE - Cisco
   

2. 详细描述防火墙的三种类型及工作原理

防火墙是设置在被保护网络和外部网络之间的一道屏障，以防发生不可预测的、潜在的破坏性侵入。它可通过监测、限制或更改跨越防火墙的数据流，尽可能地对外部屏蔽内部网络的信息、结构和运行状况，以此来实现网络的安全保护。防火墙主要分为以下三种类型及工作原理：

包过滤防火墙：
- 工作原理：通常安装在路由器上，通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。
- 职责：根据访问表对进出路由器的分组进行检查和过滤，凡符合要求的放行，不符合的拒之门外。

代理服务器（代理服务型防火墙）：
- 构成：通常由服务器端程序和客户端程序两部分构成。
- 工作原理：运行于内部网络与外部网络之间的主机之上，通过代理服务来建立连接，内部网与外部网之间不存在直接的连接。
- 功能：同时提供日志（Log）与审计（Audit）服务。

状态监视器防火墙：
- 安全特性：较好，采用了一个在网关上执行网络安全策略的软件引擎，称为检测模块。
- 工作原理：检测模块在不影响网络正常工作的前提下，采用抽取状态信息的方法对网络通信的各层实施监测，并动态地保存起来作为做出安全决策的参考。

3. 简述什么是DMZ区域

DMZ，是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，该缓冲区位于企业内部网络和外部网络之间的小网络区域内。DMZ区可以理解为一个不同于外网或内网的特殊网络区域，它通常放置一些不含机密信息的公用服务器，如企业Web服务器、FTP服务器、E-Mail服务器和论坛等。这样来自外网的访问者只可以访问DMZ中的服务，但不可能接触到存放在内网中的信息等，即使DMZ中服务器受到破坏，也不会对内网中的信息造成影响。因此，DMZ区域是信息安全纵深防护体系的第一道屏障，能有效保护内部网络。

4. 简述传统ACL的缺陷有哪些

网络资源多时管理困难：当应用到规模大的企业内部网时，由于网络资源很多，ACL需要设定大量的表项，而且修改起来比较困难，实现整个组织范围内一致的控制政策也比较困难。这一缺陷使得ACL在大规模网络环境中的管理和维护变得复杂且耗时。
安全策略实现受限：单纯使用ACL，不易实现最小权限原则及复杂的安全政策。这意味着ACL可能无法为不同的用户或资源提供细粒度的访问控制，从而降低了网络的安全性。

实验

acl的log只会在con口打印
{.is-info}

1. 标准列表(access_class)限制设备登陆
   作业需求：限制仅允许L2L_PC【172.16.1.11】通过SSH登陆到Site2_GW【IP:172.16.1.254】设备并记录日志
   登陆MGMT_PC网管Site2_GW设备进行操作配置，
   L2L_PC使用MobaXterm通过SSH登陆Site2_GW[账号:admin密码:Cisc0123]测试
   并查看Site2_GW上登陆成功的日志.
   最后调整Site2_GW的VTY闲置超时时间1分钟.
   **设备配置： **
   预配：SSH、本地用户信息

   # 
   Standard IP access list 95
   	10 permit 172.16.1.11 log 
   # 
   line vty 0 15
   	access-class 95 in
     exec-timeout 1 0
     login local    
     transport input ssh
   

现像：

2. 扩展列表(object)限制流量穿越
   需求：
   限制仅允许L2L_PC【172.16.1.11】访问Site1_GW【IP:202.100.1.1】[账号:admin密码:Cisc0123]的SSH流量，
   拒绝访问Site1_GW【IP:202.100.1.1】其他的任何流量并记录日志
   允许L2L_PC【172.16.1.11】任何的流量并记录日志
   配置：

   Network object group L2L_PC  
   	host 172.16.1.11
   #
   Network object group Site1_GW  
   	host 202.100.1.1
   #
   ip access-list extended 110  
     10 permit tcp object-group L2L_PC object-group Site1_GW eq 22  
     20 deny   ip object-group L2L_PC object-group Site1_GW log  
     30 permit ip object-group L2L_PC any log   
   #
   interface GigabitEthernet2
   	ip access-group 110 in   
   

现像：

可以SSH，但无法PING通

LOG记录