网络安全实验-访问控制列表讲解
网络安全实验6:访问控制列表
访问控制列表(ACL)基本的配置以及详细讲解2009-09-22 00:02:26标签:控制列表配置职场休闲【网络环境】网络时代的高速发展,对网络的安全性也越来越高。
西安凌云高科技有限公司因为网络建设的扩展,因此便引入了访问控制列表(ACL)来进行控制,作为网络管理员我们应该怎么来具体的实施来满足公司的需求呢?【网络目的】明白ACL访问控制列表的原理、以及正确的配置;按照网络拓扑图的要求来正确的连接设备。
创建访问控制列表来满足我们所定义的需求;【网络拓扑】【实验步骤】第一步:配置Router1的端口IP地址:(注意:在配置之前我们先要明白ACL访问控制列表的工作原理;ACL访问控制列表的原理是它是以包过滤技术,在路由器上读取OSI7层模型的第三层和第四层包头中的信息,根据自己预先定义好的规则,对包进行过滤,从而来达到访问控制的目的。
我们在配置IP地址的时候肯定会不明白为什么所配置的I P地址不在一个网段?但是又怎么样才能让它们互相通信?根据拓扑图:我们所看到的E0/1和E0/2和E0/0它们分别互连着交换机、PC 机而我们这样做的原因就是为了ACL访问控制列表对流量的归类,AC L通过在接口路由器上接口出控制数据包是转发还是丢弃,来过滤通信流量。
路由器根据ACL访问控制列表中的条件来检测通过路由器的数据包是,从而来决定该数据包是转发还是丢弃!!!)第二步:配置Router2的端口IP地址:(注意:ACL访问控制列表分为最基本的两种,它们是标准访问控制列表和扩展访问控制列表:标准访问控制列表和扩展访问控制列表有什么区别呢?标准的访问控制列表检查被路由器的源地址。
结果是基于源网络/子网/主机的IP地址,来决定该数据包是转发还是拒绝该数据包;它所使用1~99之间的数字作为表号。
扩展访问控制列表是对数据包的源地址和目的地址均进行检查,它也可以检查特定的协议、端口号以及其他的修改参数。
它所使用的是100~199之间的数字作为表号;我们在这里只对标准访问控制列表和扩展访问控制列表进行说明;还有一些例如:基于时间的访问控制列表基于动态访问控制列表等一些新的类型、ACL的定义的是基于协议的。
项目五、访问控制列表
2. 选择合适的控制方式
根据需求选择合适的控制方式,如IP地址、 端口、协议或用户角色。
4. 测试与验证
测试配置是否正确,确保访问控制列表按预 期工作。
配置示例
```
零信任网络架构
零信任网络架构强调对任何用户和设备的不信任,需要持续验证和授权。这种架构有助于降低内 部攻击风险,提高网络整体安全性。
应用拓展
物联网安全
金融行业应用
医疗保健行业应用
随着物联网设备的普及,访问 控制列表在物联网安全领域的 应用逐渐增多。通过为物联网 设备实施适当的访问控制策略 ,可以有效保护数据和设备安 全。
性能影响
虽然访问控制列表本身对网络性能的影响较小, 但是在大型网络中,过多的规则可能会导致路由 器的处理性能下降。
维护困难
随着网络的变化和安全需求的调整,访问控制列 表的规则可能需要经常修改和维护,增加了管理 员的工作量。
适用场景
安全需求较高的场景
对于对安全性要求较高的场景,如政府机构、金融行业等,访问控 制列表是一个很好的选择。
access-list 10 permit 192.168.1.0 0.0.0.255
配置示例
access-list 10 deny any interface GigabitEthernet0/0 ip access-group 10 in
配置示例
01
```
02
```
access-list 20 permit tcp any port 22
项目五:访问控制列表
目录
CONTENTS
• 访问控制列表简介 • 访问控制列表的配置 • 访问控制列表的优缺点 • 访问控制列表的安全性 • 访问控制列表的发展趋势
计算机网络实验报告 访问控制列表ACL配置实验
一、实验项目名称访问控制列表ACL配置实验二、实验目的对路由器的访问控制列表ACL进行配置。
三、实验设备PC 3台;Router-PT 3台;交叉线;DCE串口线;Server-PT 1台;四、实验步骤标准IP访问控制列表配置:新建Packet Tracer拓扑图(1)路由器之间通过V.35电缆通过串口连接,DCE端连接在R1上,配置其时钟频率64000;主机与路由器通过交叉线连接。
(2)配置路由器接口IP地址。
(3)在路由器上配置静态路由协议,让三台PC能够相互Ping通,因为只有在互通的前提下才涉及到方控制列表。
(4)在R1上编号的IP标准访问控制。
(5)将标准IP访问控制应用到接口上。
(6)验证主机之间的互通性。
扩展IP访问控制列表配置:新建Packet Tracer拓扑图(1)分公司出口路由器与外路由器之间通过V.35电缆串口连接,DCE 端连接在R2上,配置其时钟频率64000;主机与路由器通过交叉线连接。
(2)配置PC机、服务器及路由器接口IP地址。
(3)在各路由器上配置静态路由协议,让PC间能相互ping通,因为只有在互通的前提下才涉及到访问控制列表。
(4)在R2上配置编号的IP扩展访问控制列表。
(5)将扩展IP访问列表应用到接口上。
(6)验证主机之间的互通性。
五、实验结果标准IP访问控制列表配置:PC0:PC1:PC2:PC0ping:PC1ping:PC0ping:PC1ping:扩展IP访问控制列表配置:PC0:Server0:六、实验心得与体会实验中对ACL的配置有了初步了解,明白了使用ACL可以拒绝、允许特定的数据流通过网络设备,可以防止攻击,实现访问控制,节省带宽。
其对网络安全有很大作用。
另外,制作ACL时如果要限制本地计算机访问外围网络就用OUT,如果是限制外围网络访问本地计算机就用IN。
两者的区别在于他们审核访问的时候优先选择哪些访问权限。
访问控制列表实验报告
访问控制列表实验报告介绍访问控制列表(Access Control List)是一种用于网络安全的重要工具。
它用于限制用户或设备对网络资源的访问权限,以保护网络的安全和保密性。
在本实验中,我们将学习如何配置和管理访问控制列表,并通过实际的示例来演示ACL的工作原理和应用。
实验目标本实验的目标是帮助学生理解访问控制列表的基本概念和配置方法。
具体而言,我们将关注以下方面:1.访问控制列表的作用和用途;2.如何配置和管理访问控制列表;3.不同类型的访问控制列表及其应用场景。
实验步骤步骤一:了解访问控制列表访问控制列表是一种在路由器或交换机上配置的规则集合,用于控制网络流量的访问权限。
它基于源地址、目的地址、协议类型等条件来限制特定用户或设备对网络资源的访问权限。
ACL可以分为两种类型:标准ACL和扩展ACL。
标准ACL仅使用源地址作为匹配条件,而扩展ACL可以使用更多的条件来进行匹配,例如源地址、目的地址、协议类型、端口号等。
步骤二:配置访问控制列表在这个实验中,我们将使用一台路由器进行ACL的配置示例。
以下是一些基本的ACL配置命令:Router(config)# access-list 1 permit 192.168.0.0 0.0.255.255上述命令创建了一个标准ACL,允许所有源地址为192.168.0.0/16的流量通过。
Router(config)# access-list 2 permit tcp any host 192.168.1.1 eq 80上述命令创建了一个扩展ACL,允许任何源地址的TCP流量通过到目的地址为192.168.1.1、目的端口号为80的主机。
步骤三:应用访问控制列表完成ACL的配置后,我们需要将其应用到实际的接口或接口组上。
以下是一些基本的ACL应用命令:Router(config-if)# ip access-group 1 in上述命令将ACL 1应用到接口的入方向,用于限制进入该接口的流量。
访问控制列表详解
测试:18.5--X-->19.30
19.30--X-->18.5
访问列表生效,在IN 方向判断源地址18.5属于本VLAN
___________________________________________________
inter vlan 18
deny ip host 10.24.18.5 host 10.24.19.30
permit ip any any
__________________________________________________
inter vlan 18
ip access-g test_liu in
具体格式如下:
time-range 时间段名称
absolute start [小时:分钟] [日 月 年] [end] [小时:分钟] [日 月 年]
例如:time-range softer
absolute start 0:00 1 may 2005 end 12:00 1 june 2005
访问控制列表从概念上来讲并不复杂,复杂的是对它的配置和使用,许多初学者往往在使用访问控制列表时出现错误。
下面是对几种访问控制列表的简要总结。表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。
2.3 命名的访问控制列表
所谓命名的访问控制列表是以列表名代替列表编号来定义IP访问控制列表。
(1). 标准的命名访问控制列表
Route(config)#ip access-list standard list-name
网络安全之——ACL(访问控制列表)
网络安全之——ACL(访问控制列表)网络安全之——ACL(访问控制列表)【实验目的】1、掌握基本ACL的原理及配置方法。
2、熟悉高级ACL的应用场合并灵活运用。
【实验环境】H3C三层交换机1台,PC 3台,标准网线3根。
【引入案例1】某公司建设了Intranet,划分为经理办公室、档案室、网络中心、财务部、研发部、市场部等多个部门,各部门之间通过三层交换机(或路由器)互联,并接入互联网。
自从网络建成后麻烦不断,一会儿有人试图偷看档案室的文件或者登录网络中心的设备捣乱,一会儿财务部抱怨研发部的人看了不该看的数据,一会儿领导抱怨员工上班时候整天偷偷泡网,等等。
有什么办法能够解决这些问题呢?【案例分析】网络应用与互联网的普及在大幅提高企业的生产经营效率的同时也带来了许多负面影响,例如,数据的安全性、员工经常利用互联网做些与工作不相干的事等等。
一方面,为了业务的发展,必须允许合法访问网络,另一方面,又必须确保企业数据和资源尽可能安全,控制非法访问,尽可能的降低网络所带来的负面影响,这就成了摆在网络管理员面前的一个重要课题。
网络安全采用的技术很多,通过ACL (Access Control List,访问控制列表)对数据包进行过滤,实现访问控制,是实现基本网络安全的手段之一。
【基本原理】ACL是依据数据特征实施通过或阻止决定的过程控制方法,是包过滤防火墙的一种重要实现方式。
ACL是在网络设备中定义的一个列表,由一系列的匹配规则(rule)组成,这些规则包含了数据包的一些特征,比如源地址、目的地址、协议类型以及端口号等信息,并预先设定了相应的策略——允许(permint)或禁止(Deny)数据包通过。
基于ACL的包过滤防火墙通常配置在路由器的端口上,并且具有方向性。
每个端口的出站方向(Outbound)和入站方向(Inbound)均可配置独立的ACL 进行包过滤。
出方向过滤基于ACL的包过滤当路由器收到一个数据包时,如果进入端口处没有启动ACL包过滤,则数据包直接提交路由器转发进程处理,如果进入端口处启动了ACL包过滤,则数据交给入站防火墙进行过滤,其工作流程如图所示。
访问控制列表(ACL)配置实验
实验四:访问控制列表(ACL)配置实验一、实验原理1、ACL的定义和作用路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。
访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。
2、访问控制列表的分类:1. 基本的访问控制列表(basic acl)2.高级的访问控制列表(advanced acl)3.基于接口的访问控制列表(interface-based acl)4. 基于MAC的访问控制列表(mac-basedacl)三、实验方法和步骤1、按照拓扑图连线2、没有配如ACL访问控制列表的操作3、在AR28-1上配置高级访问控制列表四、实验结果测试一:试从AR18-1端的PC机向对端使用”飞鸽传书“传输数据,和使用PING与对方通信。
实验效果:可以飞鸽传书,可以PING通对方IP实验结果截图如下测试二:试从AR18-1端的PC机向对端使用”飞鸽传书“传输数据,和使用PING与对方通信。
实验效果:Router A/B这一组是通过配置AR28-1的ACL,使用与Router C/D这一组的PC机的飞鸽传书不能传输数据,可以发送聊天信息,可以PING通对方IP.实验结果截图如下五.思考题试分析交换机中ACL 配置信息的内容和作用答:ACL通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。
ACL是一张规则表,交换机按照顺序执行这些规则,并且处理每一个进入端口的数据包。
每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。
由于规则是按照一定顺序处理的,因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。
访问控制列表
访问控制列表1、访问控制列表的概念访问控制列表(Access Control List,ACL) 是路由器接口的指令列表,用来控制端口进出的数据包。
访问列表(access-list)就是一系列允许和拒绝条件的集合,通过访问列表可以过滤发进和发出的信息包的请求,实现对路由器和网络的安全控制。
路由器一个一个地检测包与访问列表的条件,在满足第一个匹配条件后,就可以决定路由器接收或拒收该包。
2、ACL的作用1)ACL可以限制网络流量、提高网络性能。
2)ACL提供对通信流量的控制手段。
3)ACL是提供网络安全访问的基本手段。
4)ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
3、ACL的分类ACL包括两种类型:1)标准访问列表:只检查包的源地址。
2)扩展访问列表:既检查包的源地址,也检查包的目的地址,也可以检查特殊的协议类型、端口以及其他参数,具有更大的自由度。
4、ACL的执行过程一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。
如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。
数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较。
如果匹配(假设为允许发送),则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。
如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。
5、ACL的取值范围在路由器配置中,标准ACL和扩展ACL的区别是由ACL的表号来体现的,下表指出了每种协议所允许的合法表号的取值范围。
6、正确放置ACLACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。
然而,网络能否有效地减少不必要的通信流量,这还要取决于网络管理员把ACL放置在哪个地方。
1)标准ACL要尽量靠近目的端。
2)扩展ACL要尽量靠近源端。
7、ACL的配置ACL的配置分为两个步骤:1)第一步:在全局配置模式下,使用下列命令创建ACL:Router (config)# access-list access-list-number {permit | deny } {test-conditions}其中,access-list-number为ACL的表号。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验一访问控制列表(路由器的防火墙功能)任务1 (标准访问控制列表)网络拓扑结构见图1。
请在packet tracert 软件中仿真实现该网络。
自行设计分配IP地址,检查网络连通性。
设计实现访问控制列表,不允许计算机PC0向外网发送IP数据包,不允许计算机PC2向外网发送任何IP数据包。
图1 ACL访问控制列表实验网络拓扑结构图报告要求:1、IP地址分配表2、路由器0的访问控制列表命令,并解释含义3、路由器1的访问控制列表命令,并解释含义4、测试及结果(加拷屏)任务2(扩展访问控制列表)网络拓扑结构见图1。
要求实现只允许计算机PC0 访问web服务器,只允许计算机PC2访问FTP服务器。
禁止其他一切网络间的数据通信。
报告要求:1、IP地址分配表2、路由器0的访问控制列表命令,并解释含义3、路由器1的访问控制列表命令,并解释含义4、测试方案及结果(加拷屏)任务3 基于上下文的访问控制协议CBAC)的防火墙设置基本原理CBAC(context-based access control)即基于上下文的访问控制。
通过检查通过防火墙的流量来发现&管理TCP和UDP的会话状态信息。
这些状态信息被用来在防火墙访问列表创建临时通道。
通过在流量向上配置ip inspect列表,允许为受允许会话返回流量和附加数据连接,临时打开返回数据通路。
受允许会话是指来源于受保护的内部网络会话。
另外CBAC在流量过滤、流量检查、警告和审计蛛丝马迹、入侵检测等方面都能应用。
网络拓扑结构见图2。
请在packet tracert 软件中仿真实现该网络。
分配的IP地址如表1所示,请配置好地址和路由(要使用静态路由),并检查网络连通性。
设计实现访问控制列表,不允许外部网络与内部网络通信,但是允许内部网络使用HTTP, ICMP协议访问外部网络的资源。
图2CBAC实验网络拓扑结构表1IP地址分配表实验步骤:第1步:搭建好网络平台,配置地址和路由信息,(要使用静态路由)检查网络的连通性。
用PC-Cping PC-A用PC-A ping PC-C用PC-C访问PC-AWWW服务器用PC-C访问PC-A FTP服务器第2步:在R3上设置限制外网访问内网任何资源。
Router(config)#access 101 deny ip any anyRouter(config)#interface Serial0/0/1Router(config-if)#ip access-group 101 in第3步检查连通性,检查外部网络是否能访问内网用PC-Cping PC-A用PC-A ping PC-C用PC-C访问PC-AWWW服务器第4步产生CBAC检查规则,允许内网icmp,http流量访问外网。
Router(config)# ip inspect name IN-OUT-IN icmpRouter(config)# ip inspect name IN-OUT-IN http将CBAC检查应用于接口S0/0/1上Router(config)#interface Serial0/0/1Router(config-if)# ip inspect IN-OUT-IN out第5步检查内网是否能访问外网的WWW服务器和使用PING命令。
用PC-Cping PC-A用PC-A ping PC-C用PC-C访问PC-AWWW服务器用PC-C访问PC-A FTP服务器是否验证内网可以访问外网,外网无法访问内网?检查CBAC的配置:show ip inspect configshow ip inspect interfacesshow ip inspect sessions(选做) 自己考虑怎么能让内网用户可以访问外网的FTP服务器, email服务器?第6步审计使用192.168.1.3 作为日志服务器,在路由器R3上,设置日志服务器的IP地址,并开启记录事件功能,例如记录每一次成功登陆和退出路由器的时间,以及CBAC事件记录。
Router(config)#Router(config)#logging host 192.168.1.3Router(config)# loggin onRouter(config)#ip inspect audit-trail设置后用在企业内部访问外网,访问过程将会在日志服务器中记录下来。
报告要求:1、任务要求2、总结路由器设置步骤,并要求拷屏。
3、解释每个设置命令的含义4、测试及结果(加拷屏)任务4ZFW基于区域策略的防火墙设置(CCNP实验ZFW)基本原理ZFW(Zone-Based Policy Firewall),是一种基于区域的防火墙,基于区域的防火墙配置的防火墙策略都是在数据从一个区域发到另外一个区域时才生效,在同一个区域内的数据是不会应用任何策略的,所以我们就可以将需要使用不同策略的接口划入不同的区域,这样就可以应用我们想要的策略。
区域Zone是应用防火墙策略的最小单位,一个zone中可以包含一个接口,也可以包含多个接口。
区域之间的所有数据默认是全部被丢弃的,所以必须配置相应的策略来允许某些数据的通过。
要注意,同区域的接口是不需要配置策略的,因为他们默认就是可以自由访问的,我们只需要在区域与区域之间配置策略,而配置这样的区域与区域之间的策略,必须定义从哪个区域到哪个区域,即必须配置方向,例如:配置从Zone1到Zone2的数据全部被放行。
可以看出,Zone1是源区域,Zone2是目的区域。
配置一个包含源区域和目的区域的一组策略,这样的一个区域组,被称为Zone-Pairs。
因此可以看出,一个Zone-Pairs,就表示了从一个区域到另一个区域的策略,而配置一个区域到另一个区域的策略,就必须配置一个Zone-Pairs,并加入策略。
当配置了一个区域到另一个区域的策略后,如果策略动作是inspect,则并不需要再为返回的数据配置策略,因为返回的数据是默认被允许的,如果策略动作是pass或drop则不会有返回流量或被直接被掉弃。
如果有两个zone,并且希望在两个方向上都应用策略,比如zone1到 zone2 或zone2 到 zone1,就必须配置两个zone-pairs ,就是每个方向一个zone-pairs。
基于区域的策略防火墙ZFW配置步骤:实验步骤:网络拓扑结构见图3。
请在packet tracert 软件中仿真实现该网络。
分配的IP地址如表1所示,请配置好地址和路由(要使用静态路由),并检查网络连通性。
实验具体目标:1、允许内网(私有网)用户访问外网的TCP/IP的应用服务。
2、允许内网(私有网)用户访问DMZ的TCP/IP的应用服务。
3、允许外网(Internet)用户访问DMZ区的HTTP服务。
4、内网能ping通Internet 跟DMZ区域。
5、DMZ区域不能访问Internet和内网。
6、从外网(Internet)不能ping通内网和DMZ区域。
其他一切数据传输都被禁止!第1步:搭建好网络平台,配置地址和路由信息,(要使用静态路由)检查网络的连通性。
1.用PC0ping 企业内部的计算机,非军事化区计算机。
2.用PC1ping外网Internet 计算机,非军事化区计算机。
3.用PC0浏览企业内部的计算机,非军事化区计算机WWW服务器。
4.用PC1浏览外网Internet 计算机,非军事化区计算机WWW服务器。
图3ZFW实验网络拓扑图第2步:创建zone/关联zone到接口FireWall (config)#zone security Private//创建安全区域 Private(私有网络)FireWall (config-sec-zone)#exiFireWall (config)#zone security Internet//创建外部安全区域InternetFireWall (config-sec-zone)#exiFireWall (config)#zone security DMZ//创建安全区域 DMZ (DMZ网络)FireWall (config-sec-zone)#exiFireWall (config)#int f0/0FireWall (config-if)#zone-member security Private//关联zone到接口FireWall (config-if)#int f0/1FireWall (config-if)#zone-member security InternetFireWall (config-if)#int f1/0FireWall (config-if)#zone-member security DMZ检查三个区域之间是否还能相互访问!第3步配置class-map匹配流量FireWall(config)#class-map type inspect match-any Private-To-Internet //创建私有网络到Internet网络的匹配条件名为Private-To-InternetFireWall(config-cmap)#match protocol httpFireWall(config-cmap)#match protocol icmpFireWall(config-cmap)#match protocol tcpFireWall(config-cmap)#match protocol udpFireWall(config-cmap)#match protocol telnetFireWall(config-cmap)#match protocol ipFireWall(config-cmap)#match protocol ntpFireWall(config-cmap)#exitFireWall(config)#class-map type inspect match-any Internet-To-DMZ //创建Internet网络到DMZ 网络的匹配条件名为Internet-To-DMZFireWall(config-cmap)#match protocol httpFireWall(config-cmap)#match protocol tcpFireWall(config-cmap)#exit第4步配置parameter-map(Cisco PacketTracer5.3不支持此项配置,此步不做!)R1(config)#parameter-map type inspect Private-To-Internet.paFireWall(config-profile)#max-incomplete low 800FireWall(config-profile)#max-incomplete high 1000FireWall(config-profile)#tcp synwait-time 5FireWall(config-profile)#tcp finwait-time 5FireWall(config-profile)#tcp idle-time 5FireWall(config-profile)#exiFireWall(config)#parameter-map type inspect Internet-To-DMZ.paFireWall(config-profile)#max-incomplete low 800FireWall(config-profile)#max-incomplete high 1000FireWall(config-profile)#tcp synwait-time 5FireWall(config-profile)#tcp finwait-time 5FireWall(config-profile)#tcp idle-time 5FireWall(config-profile)#exi第5步配置policy-mapFireWall(config)#policy-map type inspect 1 //创建策略1FireWall(config-pmap)#class type inspect Private-To-Internet //在策略中使用匹配条件Private-To-InternetFireWall(config-pmap-c)#inspect //定义满足条件时的行为inspectFireWall(config-pmap-c)#class type inspect class-default //配置默认FireWall(config-pmap-c)#endFireWall#conf tFireWall(config)#policy-map type inspect 2 //创建策略2FireWall(config-pmap)#class type inspect Internet-To-DM Z //在策略中使用匹配条件Internet-To-DMZFireWall(config-pmap-c)#inspect //定义满足条件时的行为inspectFireWall(config-pmap-c)#class type inspect class-default //配置默认FireWall(config-pmap-c)#end第6步运用policy-map到zone-pairsFireWall(config)#zone-pair security Private-Internet source Private destination Internet//创建从私有网络到Internet区域之间的区域策略FireWall(config-sec-zone-pair)#service-policy type inspect 1 //定义区域间的策略应用策略1 FireWall(config-sec-zone-pair)#exitFireWall(config)#zone-pair security Private-DMZ source Private destination DMZ//创建从私有网络到DMZ区域之间的区域策略FireWall(config-sec-zone-pair)#service-policy type inspect 1 //定义区域间的策略应用策略1 FireWall(config-sec-zone-pair)#exitFireWall(config)#zone-pair security Internet-DMZ source Internet destination DMZ//创建从Internet到DMZ区域之间的区域策略FireWall(config-sec-zone-pair)#service-policy type inspect 2 //定义区域间的策略应用策略2第7步设计测试方案,检查路由器的设置是否满足实验目标要求。