Secure 第二天作业
实验需求:
- 需求一拓扑:
按照以上拓扑所示,在FW上配置FPM灵活包匹配技术,完成以下需求:
1)IN路由器Telnet Out路由器,并在密码输入错误后,屏蔽回显的“登录无效“通知。
设备配置:
##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
class-map type access-control match-all deny.invalid
match field TCP source-port eq 23
match field IP length eq 0x47
match start TCP payload-start offset 10 size 7 string "invalid"
class-map type stack match-all ip-tcp
match field IP protocol eq 0x6 next TCP
policy-map type access-control fpm-tcp
class deny.invalid
drop
policy-map type access-control fpm-policy
class ip-tcp
service-policy fpm-tcp
!
interface FastEthernet0/0
service-policy type access-control input fpm-policy
测试现象:
##此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图##
Inside#telnet 202.100.1.1
Trying 202.100.1.1 ... Open
User Access Verification
Username: k
Password:
[Connection to 202.100.1.1 closed by foreign host]
Inside#
show policy-map type access-control control-plane
- 需求二拓扑:
按照以上拓扑所示,在FW上配置CoPP控制层面策略,完成以下需求:
- 限制从Out路由器抵达FW路由器的ICMP流量为2秒一个;
- 仅允许IN路由器为源,通过Telnet和SSH网关FW路由器。
设备配置:
##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
1) 限制从 Out 路由器抵达 FW 路由器的 ICMP 流量为 2 秒一个
ip access-list extended icmp
10 permit icmp any any
!
class-map match-all control.icmp
match access-group name icmp
!
policy-map control.copp
class control.icmp
police rate 1 pps
2) 仅允许 IN器为源,通过 Telnet 和 SSH 网关 FW 路由器
ip domain name lxf
crypto key generate rsa modulus 1204[李1]
!
ip access-list extended control.telnet.ssh
deny tcp 10.1.1.0 0.0.0.255 any eq telnet
deny tcp 10.1.1.0 0.0.0.255 any eq 22
permit tcp any any eq 22
permit tcp any any eq telnet
!
class-map match-all control.telnet.ssh
match access-group name control.telnet.ssh
!
policy-map control.copp
class control.telnet.ssh
drop
!
control-plane
service-policy input control.copp
- 参照需求二拓扑,在FW上配置CPPr控制层面保护,完成以下需求:
- 限制抵达FW的Telnet网关流量的队列长度为10;
- 过滤抵达FW去往SSH端口的流量;
- 过滤抵达FW去往Closed-Port的流量。
设备配置:
##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
1) 限制抵达 FW 的 Telne量的队列长度为 10!
class-map type queue-threshold match-any telnet
match protocol telnet
!
policy-map type queue-threshold telnet
class telnet
queue-limit 10
!
control-plane host
service-policy type queue-threshold input telnet
2) 过滤抵达 FW 去往 SSH 端口的流量
3) 过滤抵达 FW 去往 Closed-Port 的流量
class-map type port-filter match-any cppr.class
match port tcp 22
match closed-ports
!
policy-map type port-filter cppr.policy
class cppr.class
drop
!
control-plane host
service-policy type port-filter input cppr.policy
show policy-map type queue-threshold control-plane host
- 参照需求二拓扑,在FW上配置MPP管理层面访问控制,完成以下需求:
- 仅允许来自IN路由器的SSH和SNMP流量,并限制每秒20个包;
- 指定FW直连IN路由器的接口为OOB管理接口,并仅允许SSH和SNMP流量。
设备配置:
##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
1) 仅允许来自IN由器的 SSH 和 SNMP 流量,并限制每秒 20
ip access-list standard out.tra
permit 10.1.1.0 0.0.0.255
deny any log
!
line vty 0 15
access-class out.tra in
login local
transport input ssh
snmp-server community sshro ro out.tra
ip access-list extended mpp
permit tcp 10.1.1.0 0.0.0.255 any eq 22
permit udp 10.1.1.0 0.0.0.255 any eq snmp
!
class-map match-all mpp
match access-group name mpp
policy-map mpp
class mpp
police rate 20 pps
conform-action transmit
exceed-action drop
control-plane host
service-policy input mpp
2) 指定 FW 直连 IN 路由器的接口为 OOB 管理接口,并仅允许 SSH 和 SNMP 流量
!
control-plane host
management-interface FastEthernet1/0 allow ssh snmp !
Management interface FastEthernet1/0
Protocol Packets processed
ssh 31
snmp 0
Inside#ssh -l admin 10.1.1.10
Password:
FW#
Outside#ssh - l admin 202.100.1.10
% Ambiguous command: "ssh - l admin 202.100.1.10"
Outside#
- 参照需求二拓扑,在Out上配置CPU/MEM通告,完成以下需求:
- 如果60秒内,CPU利用率高于50%,则产生通告;
- 如果10秒内,某一进程CPU利用率达到80%,则产生通告;
- 当设备剩余处理器内存小于10MB,则产生通告;
- 当设备I/O内存低于5M时,则产生通告。
设备配置:
##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
- 如果 60 秒内,CPU 利用率高于 50%,则产生通告
process cpu threshold type total rising 50 interval 60
- 如果 10 秒 ,某一进程 CPU 利用率达到 80%,则产生通告
process cpu threshold type process rising 80 interval 10
- 当设 剩余处理器内存小于 10MB,则产生通告
memory free low-watermark processor 10000
- 当设I/O 内存低于 5M 时,则产生通告
memory free low-watermark IO 5000