Packet Tracer - 配置区域策略防火墙

Packet Tracer - 配置区域策略防火墙

拓扑

地址表

设备	接口	IP地址	子网掩码	默认网关	交换机端口
R1	F0/1	192.168.1.1	255.255.255.0	N/A	S1 F0/2
R1	S0/3/0 (DCE)	10.1.1.1	255.255.255.252	N/A	N/A
R2	S0/3/0	10.1.1.2	255.255.255.252	N/A	N/A
R2	S0/3/1 (DCE)	10.2.2.2	255.255.255.252	N/A	N/A
R3	F0/0	192.168.33.1	255.255.255.0	N/A	N/A
	F0/1	192.168.3.1	255.255.255.0	N/A	S3 F0/1
	S0/3/0	10.2.2.1	255.255.255.252	N/A	N/A
PC-A	NIC	192.168.1.3	255.255.255.0	192.168.1.1	S1 F0/1
PC-B	NIC	192.168.3.3	255.255.255.0	192.168.3.1	S3 F0/2
PC-C	NIC	192.168.33.3	255.255.255.0	192.168.33.1	N/A

目标

第 1 部分：基本路由器配置

配置主机名、接口 IP 地址和访问密码。
配置静态路由，以启用端到端连接。

第 2 部分：配置基于区域的策略防火墙 (ZPF)

使用 CLI 配置基于区域的策略防火墙。
使用 CLI 验证配置。

路由器基本配置

在本实验的第 1 部分中，您需要建立网络拓扑并配置基本设置，例如接口 IP 地址、静态路由、设备访问和密码。

注意：在路由器 R1、R2 和 R3 上应执行所有任务。这里仅显示其中一台路由器的操作程序。

建立如拓扑图所示的网络。

按照拓扑图所示连接设备和电缆。

为每台路由器配置基本设置。

如拓扑所示，配置主机名称。

Router(config)#hostname R1

Router(config)#hostname R2

Router(config)#hostname R3

如 IP 地址分配表所示，配置接口 IP 地址。

R1(config)#interface f0/1

R1(config-if)#ip add 192.168.1.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#interface s0/3/0

R1(config-if)#ip address 10.1.1.1 255.255.255.252

R1(config-if)#no shutdown

R2(config)#interface s0/3/0

R2(config-if)#ip add 10.1.1.2 255.255.255.252

R2(config-if)#no shutdown

R2(config-if)#interface s0/3/1

R2(config-if)#ip add 10.2.2.2 255.255.255.252

R2(config-if)#no shutdown

R3(config)#interface s0/3/0

R3(config-if)#ip add 10.2.2.1 255.255.255.252

R3(config-if)#no shutdown

R3(config-if)#exit

R3(config)#interface f0/0

R3(config-if)#ip add 192.168.33.1 255.255.255.0

R3(config-if)#no shutdown

R3(config-if)#interface f0/1

R3(config-if)#ip add 192.168.3.1 255.255.255.0

R3(config-if)#no shutdown

连接 DCE 串行电缆，为路由器串行接口配置时钟速率。

R1(config)#interface Serial0/3/0

R1(config-if)#clock rate 250000

R2(config-if)#interface s0/3/1

R2(config-if)#clock rate 250000

禁用 DNS 解析。

要防止路由器尝试转换错误输入的命令，请禁用 DNS 查找。no ip domain-lookup

R1(config)#no ip domain-lookup

R2(config)#no ip domain-lookup

R3(config)#no ip domain-lookup

在 R1、R2 和 R3 上配置静态路由。

为实现端到端 IP 可访问性，必须在 R1、R2 和 R3 上配置适当的静态路由。R1 和 R3 是末节路由器，因此只需要指向 R2 的默认路由。R2 充当 ISP，必须知道在实现端到端 IP 可访问性之前如何到达 R1 和 R3 的内部网络。以下是 R1、R2 和 R3 的静态路由配置。

在 R1 上，使用以下命令：

配置默认静态

R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2

在 R2 上，使用以下命令。

配置静态

R2(config)#ip route 0.0.0.0 0.0.0.0 10.2.2.1

R2(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1

在 R3 上，使用以下命令。

配置默认静态

R3(config)#ip route 0.0.0.0 0.0.0.0 10.2.2.2

测试连通性

配置 PC 主机 IP 设置。

如 IP 地址分配表所示，为 PC-A、PC-B 和 PC-C 配置静态 IP 地址、子网掩码和默认网关。

验证基本网络连接。

从 R1 对 R3 执行 ping 操作。

若 ping 不成功，则需要排除设备基本配置故障才能继续。

从 R1 LAN 上的 PC-A 对 R3 LAN 上的 PC-C 执行 ping 操作。

若 ping 不成功，则需要排除设备基本配置故障才能继续。

注意：如果可以从 PC-A ping 通 PC-C，则表明已实现端到端 IP 可访问性。如果无法 ping 通，但设备接口已启用且 IP 地址正确，请使用 show interface、show ip interface 和 show ip route 命令帮助确定问题。

为 SSH 配置用户账户、加密密码和加密密钥。

注意：此任务中的最小密码长度设置为 5个字符，但为了方便执行实验，密码相对较为简单。建议在生产网络中使用更复杂的密码。

通过使用最小密码长度设置为 5 个字符，来配置最小密码长度。

配置域名。（姓名的评音）

test.com

R1(config)#ip domain-name fxd.com

R2(config)#ip domain-name fxd.com

R3(config)#ip domain-name fxd.com

为 SSH 配置加密密钥

使用密码 cisco12345 配置用户账户test01。（用自己名字）

R1(config)#username fxd01 secret cisco12345

R2(config)#username fxd01 secret cisco12345

R3(config)#username fxd01 secret cisco12345

配置控制台线路 0，以使用本地用户数据库登录。为提高安全性，如果 5 分钟内无任何操作，exec-timeout 命令将注销此线路。logging synchronous 命令可以防止控制台消息中断命令输入。

R1(config)#line console 0

R1(config-line)#exec-timeout 300

R1(config-line)#logging synchronous

R2(config)#line console 0

R2(config-line)#exec-timeout 300

R2(config-line)#logging synchronous

R3(config)#line console 0

R3(config-line)#exec-timeout 300

R3(config-line)#logging synchronous

配置 vty 线路 0 4，以使用本地用户数据库登录并仅限制对 SSH 连接的访问。

使用强加密方法配置启用密码。Cisco

R1(config)#line vty 0 4

R1(config-line)#transport input ssh

R1(config-line)#password Cisco

R2(config)#line vty 0 4

R2(config-line)#transport input ssh

R2(config-line)#password Cisco

R3(config)#line vty 0 4

R3(config-line)#transport input ssh

R3(config-line)#password Cisco

保存三台路由器的基本运行配置。

在特权执行模式提示符下，将运行配置保存到启动配置中。

R1# copy running-config startup-config

配置基于区域的策略防火墙 (ZPF)

在本实验的第 2 部分中，您需要使用命令行界面 (CLI) 在 R3 上配置基于区域的策略防火墙 (ZPF)。

验证当前的路由器配置。

在本任务中，您需要在实施 ZPF 之前验证端到端网络连接。

验证端到端网络连通性。

使用 R3 的千兆以太网接口 IP 地址从 R1 对 R3 执行 ping 操作。

若 ping 不成功，则需要排除设备基本配置故障才能继续。

从 R1 LAN 上的 PC-A 对 R3 会议室 LAN 上的 PC-C 执行 ping 操作。

若 ping 不成功，则需要排除设备基本配置故障才能继续。

执行从 R1 LAN 上的 PC-A 到 R3 内部 LAN 上的 PC-B 的 ping 操作。

若 ping 不成功，则需要排除设备基本配置故障才能继续。

显示 R3 运行配置。

在 R3 上发出 show ip interface brief 命令，以验证是否分配了正确的 IP 地址。使用 IP 地址分配表验证地址。

在 R3 上发出 show ip route 命令，以验证其是否拥有指向 R2 串行接口 0/0/1 的静态默认路由。

发出 show run 命令，以查看 R3 的当前基本配置。

创建基于区域的策略防火墙

在此任务中，您需要在 R3 上创建基于区域的策略防火墙，使其不仅可以充当路由器，还可以充当防火墙。R3 目前负责为其所连接的三个网络路由数据包。R3 的接口角色配置如下所示：

串行接口 0/0/1 连接到互联网。由于这是公共网络，因此它被视为不可信网络，且应具有最低安全级别。

G0/1 连接到内部网络。仅授权用户有权访问此网络。此外，重要的机构资源也位于此网络中。内部网络被视为可信网络，且应具有最高安全级别。

G0/0 连接到会议室。会议室用于与不属于此组织的人员举行会议。

启用安全技术包。

a.     在 R3 上，发出 show version 命令以查看安全技术包许可证信息。

b.     如果安全技术包尚未启用，请使用以下命令启用技术包。

R3(config)#license boot module c1900 technology-package securityk9

c.     接受最终用户许可协议。

d.     保存运行配置并重新加载该路由器以启用安全许可证。

R3#write

Building configuration...

[OK]

R3#reload

e.     使用 show version 命令验证是否启用了安全技术包。

% use 'write' command to make license boot config take effect on next boot

R3 充当防火墙时要执行的安全策略规定：

不允许从互联网发出的流量进入内部或会议室网络。
应该允许返回的互联网流量（将来自互联网的数据包返回到 R3 站点，以响应来自任何 R3 网络的请求）。
R3 内部网络中的计算机被视为可信设备，并且可以发出任何类型的流量（基于 TCP、UDP 或 ICMP 的流量）。
R3 会议室网络中的计算机被视为不可信设备，并且只允许向互联网发出 Web 流量（HTTP 或 HTTPS）。
内部网络和会议室网络之间不允许存在流量。无法保证会议室网络中访客计算机的状态。此类计算机可能会感染恶意软件，并可能尝试发送垃圾邮件或其他恶意流量。

创建安全区域。

在本实验中，R3 站点有三个接口；一个连接到内部可信网络，一个连接到会议室网络，还有一个连接到互联网。由于三个网络具有不同的安全要求和属性，我们将创建三个不同的安全区域。

在全局配置模式下创建安全区域，且此命令允许定义区域名称。在 R3 中，创建名为 INSIDE、CONFROOM 和 INTERNET 的三个区域：

R3(config)#zone security INSIDE

R3(config-sec-zone)#exit

R3(config)#zone security CONFROOM

R3(config-sec-zone)#EXIT

R3(config)#ZONE security INTERNET

R3(config-sec-zone)#EXIT

创建安全策略

在 ZPF 决定是允许还是拒绝某些特定流量之前，必须告知它应该考虑哪些流量。思科 IOS 使用类映射来选择流量。需要关注的流量是由类映射选择的流量的常用名称。

虽然类映射可以选择流量，但它们并不决定对所选流量的操作；而由策略映射决定所选流量的最终去向。

ZPF 流量策略定义为策略映射，并使用类映射来选择流量。换言之，类映射定义哪些流量将被监管，而策略映射定义要对所选流量采取的操作。

策略映射可以丢弃流量，允许其通过，或执行检查。由于我们希望防火墙监视在区域对方向上移动的流量，因此我们将创建检查策略映射。检查策略映射允许对返回流量进行动态处理。

首先，您需要创建类映射。创建类映射后，您需要创建策略映射，并将类映射与策略映射关联。

创建检查类映射，以匹配允许从 INSIDE 区域到 INTERNET 区域的流量。由于我们信任 INSIDE（内部）区域，因此我们允许所有主要协议。

R3(config)#class-map type inspect match-any INSIDE_INTERNET

R3(config-cmap)#description INSIDE to INTERNET

R3(config-cmap)# match protocol icmp

R3(config-cmap)# match protocol tcp

R3(config-cmap)# match protocol udp

R3(config-cmap)# match protocol http

R3(config-cmap)# match protocol https

创建检查类映射INSIDE_PROTOCOLS。关键字 match-any 向路由器指示，任何匹配的协议语句都视为成功匹配，从而应用策略。结果是与 TCP 或 UDP 或 ICMP 数据包匹配。

R3(config)#class-map type inspect match-any INSIDE_PROTOCOLS

R3(config-cmap)#description INSIDE to PROTOCOLS

R3(config-cmap)#match protocol icmp

R3(config-cmap)#match protocol tcp

R3(config-cmap)#match protocol udp

R3(config-cmap)#exit

同样，创建类映射CONFROOM_PROTOCOLS ，以匹配允许 CONFROOM 区域到 INTERNET 区域的流量。由于我们并不完全信任 CONFROOM 区域，因此必须限制服务器发送到互联网的内容：http、https、dns（match-any）

R3(config)#class-map type inspect match-any CONFROOM_PROTOCOLS

R3(config-cmap)#description CONFROOM to INTERNET

R3(config-cmap)#match protocol dns

R3(config-cmap)#match protocol http

R3(config-cmap)#match protocol https

R3(config-cmap)#exit

现在已创建类映射，您可以创建策略映射。

在以下命令中，第一行将创建名为 INSIDE_TO_INTERNET 的检查策略映射。

R3(config)#policy-map type inspect INSIDE_TO_INTERNET

R3(config-pmap)#class type inspect INSIDE_INTERNET

R3(config-pmap-c)#inspect

R3(config-pmap-c)#exit

R3(config-pmap)#exit

第二行将先前创建的 INSIDE_PROTOCOLS 类映射与INSIDE_TO_PROTOCOLS策略映射绑定，系统将检查匹配的数据包。

R3(config)#policy-map type inspect INSIDE_TO_PROTOCOLS

R3(config-pmap)#class type inspect INSIDE_PROTOCOLS

R3(config-pmap-c)#inspect

R3(config-pmap-c)#exit

R3(config-pmap)#exit

接下来的三行将创建一个名为 CONFROOM_TO_INTERNET 的类似策略映射，并关联 CONFROOM_PROTOCOLS 类映射，系统将检查匹配的数据包。

R3(config)#policy-map type inspect CONFROOM_TO_INTERNET

R3(config-pmap)#class type inspect CONFROOM_PROTOCOLS

R3(config-pmap-c)#inspect

R3(config-pmap-c)#exit

R3(config-pmap)#exit

创建区域对

区域对允许您在两个安全区域之间指定单向防火墙策略。

例如，常用的安全策略规定，内部网络可以向互联网发出任何流量，但不允许源自互联网的流量到达内部网络。

要定义区域对，请使用 zone-pair security 命令。流量的方向由源和目的区域指定。

在本实验中，您需要创建三个区域对：

INSIDE_TO_INTERNET：允许流量从内部网络流向互联网。

R3(config)#zone-pair security INSIDE_TO_INTERNET source INSIDE destination INTERNET

R3(config-sec-zone-pair)#exit

INSIDE_TO_CONFROOM：允许流量从内部网络流向会议室网络。

R3(config)#zone-pair security INSIDE_TO_CONFROOM source INSIDE destination CONFROOM

R3(config-sec-zone-pair)#exit

CONFROOM_TO_INTERNET：允许从会议室网络访问互联网。

R3(config)#zone-pair security CONFROOM_TO_INTERNET source CONFROOM destination INTERNET

R3(config-sec-zone-pair)#exit

检查创建区域对：

通过发出 show zone-pair security 命令，验证区域对是否已正确创建。请注意，尚无策略与区域对关联。安全策略将在下一步中应用于区域对。

R3# show zone-pair security

Zone-pair name INSIDE_TO_INTERNET

    Source-Zone INSIDE Destination-Zone INTERNET

    service-policy not configured

Zone-pair name INSIDE_TO_CONFROOM

    Source-Zone INSIDE Destination-Zone CONFROOM

    service-policy not configured

Zone-pair name CONFROOM_TO_INTERNET

    Source-Zone CONFROOM Destination-Zone INTERNET

    service-policy not configured

应用安全策略

作为最后一个配置步骤，将策略映射应用于区域对：

R3(config)#zone-pair security INSIDE_TO_INTERNET source INSIDE destination INTERNET

R3(config-sec-zone-pair)#service-policy type inspect INSIDE_TO_INTERNET

R3(config-sec-zone-pair)#exit

R3(config)#zone-pair security CONFROOM_TO_INTERNET source CONFROOM destination INTERNET

R3(config-sec-zone-pair)#service-policy type inspect CONFROOM_TO_INTERNET

R3(config-sec-zone-pair)#exit

R3(config)#zone-pair security CONFROOM_TO_INSIDE source INSIDE destination CONFROOM

R3(config-sec-zone-pair)#service-policy type inspect INSIDE_TO_PROTOCOLS

R3(config-sec-zone-pair)#exit

再次发出 show zone-pair security 命令，以验证区域对配置。请注意，此时将显示以下服务策略：

R3#show zone-pair security

Zone-pair name INSIDE_TO_INTERNET

Source-Zone INSIDE Destination-Zone INTERNET

service-policy INSIDE_TO_INTERNET

Zone-pair name CONFROOM_TO_INTERNET

Source-Zone CONFROOM Destination-Zone INTERNET

service-policy CONFROOM_TO_INTERNET

Zone-pair name CONFROOM_TO_INSIDE

Source-Zone INSIDE Destination-Zone CONFROOM

service-policy INSIDE_TO_PROTOCOLS

R3#

要获取有关区域对、其策略映射、类映射和匹配计数器的更多信息，请使用 show policy-map type inspect zone-pair sessions命令：

R3#show policy-map type inspect zone-pair sessions

policy exists on zp INSIDE_TO_INTERNET

Zone-pair: INSIDE_TO_INTERNET

Service-policy inspect : INSIDE_TO_INTERNET

Class-map: INSIDE_INTERNET (match-any)

Match: protocol icmp

8 packets, 1024 bytes

30 second rate 0 bps

Match: protocol tcp

0 packets, 0 bytes

30 second rate 0 bps

Match: protocol udp

0 packets, 0 bytes

30 second rate 0 bps

Match: protocol http

0 packets, 0 bytes

30 second rate 0 bps

Match: protocol https

0 packets, 0 bytes

30 second rate 0 bps

Inspect

Class-map: class-default (match-any)

Match: any

Drop (default action)

0 packets, 0 bytes

policy exists on zp CONFROOM_TO_INTERNET

Zone-pair: CONFROOM_TO_INTERNET

Service-policy inspect : CONFROOM_TO_INTERNET

Class-map: CONFROOM_PROTOCOLS (match-any)

Match: protocol http

0 packets, 0 bytes

30 second rate 0 bps

Match: protocol https

0 packets, 0 bytes

30 second rate 0 bps

Match: protocol dns

0 packets, 0 bytes

30 second rate 0 bps

Inspect

Class-map: class-default (match-any)

Match: any

Drop (default action)

0 packets, 0 bytes

policy exists on zp CONFROOM_TO_INSIDE

Zone-pair: CONFROOM_TO_INSIDE

Service-policy inspect : INSIDE_TO_PROTOCOLS

Class-map: INSIDE_PROTOCOLS (match-any)

Match: protocol icmp

19 packets, 2432 bytes

30 second rate 0 bps

Match: protocol tcp

0 packets, 0 bytes

30 second rate 0 bps

Match: protocol udp

0 packets, 0 bytes

30 second rate 0 bps

Inspect

Class-map: class-default (match-any)

Match: any

Drop (default action)

0 packets, 0 bytes

R3#

将接口分配到适当的安全区域

使用 zone-member security interface 命令将接口（物理接口和逻辑接口）分配到安全区域。

将 R3 的 G0/0 分配到 CONFROOM 安全区域：

R3(config)#interface f0/0

R3(config-if)#zone-member security CONFROOM

R3(config-if)#exit

将 R3 的 G0/1 分配到 INSIDE 安全区域：

R3(config)#interface f0/1

R3(config-if)#zone-member security INSIDE

R3(config-if)#exit

将 R3 的 S0/0/1 分配到 INTERNET 安全区域：

R3(config)#interface s0/3/0

R3(config-if)#zone-member security INTERNET

R3(config-if)#exit

验证区域分配

发出 show zone security 命令，以确保已正确创建区域并正确分配接口：

R3#show zone security

zone self

Description: System defined zone

zone INSIDE

Member Interfaces:

FastEthernet0/1

zone CONFROOM

Member Interfaces:

FastEthernet0/0

zone INTERNET

Member Interfaces:

Serial0/3/0

R3#

即使没有发出创建自身区域的命令，以上输出中仍显示了相关信息。为什么 R3 会显示名为 “self”（自身）的区域？此区域的意义何在？

这是因为在Cisco IOS防火墙中，"self"区域被认为是必需的，用于处理与路由器本身相关的流量。它允许您为路由器本身设置访问控制策略、安全策略和其他配置。

因此，当您在R3上运行"show running"命令时，即使没有显式创建"self"区域，也会在输出中看到名为"self"的区域。它表示路由器本身作为一个实体和安全域的存在。

_____________________________________________________________________________

_____________________________________________________________________________

ZPF 验证

验证 ZPF 防火墙功能

来自互联网的流量

要测试防火墙的有效性，请从 PC-A 对 PC-B 执行 ping 操作。在 PC-A 中，打开命令提示符并发出以下命令：

C:\Users\NetAcad> ping 192.168.3.3

ping 操作是否成功？说明原因。

没有成功________________________________________________________________

________________________________________________________________________

从 PC-A 对 PC-C 执行 ping 操作。在 PC-A 中，打开命令窗口并发出以下命令：

C:\Users\NetAcad> ping 192.168.33.3

ping 操作是否成功？说明原因。

没有成功________________________________________________________________

________________________________________________________________________

从 PC-B 对 PC-A 执行 ping 操作。在 PC-B 中，打开命令窗口并发出以下命令：

C:\Users\NetAcad> ping 192.168.1.3

ping 操作是否成功？说明原因。

成功___________________________________________________________________

________________________________________________________________________

从 PC-C 对 PC-A 执行 ping 操作。在 PC-C 中，打开命令窗口并发出以下命令：

C:\Users\NetAcad> ping 192.168.1.3

ping 操作是否成功？说明原因。

没有成功________________________________________________________________

________________________________________________________________________

自身区域验证

从 PC-A 对 R3 的 G0/1 接口执行 ping 操作：

C:\Users\NetAcad> ping 192.168.3.1

ping 操作是否成功？这种行为是否正确？说明原因。

成功____________________________________________________________________

________________________________________________________________________

从 PC-C 对 R3 的 G0/1 接口执行 ping 操作：

C:\Users\NetAcad> ping 192.168.3.1

ping 操作是否成功？这种行为是否正确？说明原因。

成功___________________________________________________________________

________________________________________________________________________

实验脚本：

R1：

enable

conf t

hostname R1

username fxd01 secret cisco12345

no ip domain-lookup

ip domain-name fxd.com

interface FastEthernet0/0

ip address 192.168.1.1 255.255.255.0

no shutdown

interface Serial0/3/0

ip address 10.1.1.1 255.255.255.252

clock rate 250000

no shutdown

exit

ip route 0.0.0.0 0.0.0.0 10.1.1.2

line con 0

exec-timeout 300

logging synchronous

line vty 0 4

password Cisco

login

transport input ssh

end

write

R2:

enable

conf t

hostname R2

username fxd01 secret cisco12345

no ip domain-lookup

ip domain-name fxd.com

interface Serial0/3/0

ip address 10.1.1.2 255.255.255.252

no shutdown

interface Serial0/3/1

ip address 10.2.2.2 255.255.255.252

clock rate 250000

no shutdown

ip route 0.0.0.0 0.0.0.0 10.2.2.1

ip route 0.0.0.0 0.0.0.0 10.1.1.1

line con 0

exec-timeout 300

logging synchronous

line vty 0 4

password Cisco

login

transport input ssh

end

write

R3(基础)：

enable

conf t

hostname R3

username fxd01 secret cisco12345

no ip domain-lookup

ip domain-name fxd.com

interface FastEthernet0/0

ip address 192.168.33.1 255.255.255.0

no shutdown

interface FastEthernet0/1

ip address 192.168.3.1 255.255.255.0

no shutdown

interface Serial0/3/0

ip address 10.2.2.1 255.255.255.0

no shutdown

ip route 0.0.0.0 0.0.0.0 10.2.2.2

line con 0

exec-timeout 300

logging synchronous

line vty 0 4

password Cisco

login

transport input ssh

end

write

R3（zpf配置）:

enable

conf t

class-map type inspect match-any INSIDE_PROTOCOLS

description INSIDE to PROTOCOLS

match protocol icmp

match protocol tcp

match protocol udp

class-map type inspect match-any CONFROOM_PROTOCOLS

description CONFROOM to INTERNET

match protocol http

match protocol https

match protocol dns

class-map type inspect match-any INSIDE_INTERNET

description INSIDE to INTERNET

match protocol icmp

match protocol tcp

match protocol udp

match protocol http

match protocol https

policy-map type inspect INSIDE_TO_INTERNET

class type inspect INSIDE_INTERNET

inspect

policy-map type inspect CONFROOM_TO_INTERNET

class type inspect CONFROOM_PROTOCOLS

inspect

policy-map type inspect INSIDE_TO_PROTOCOLS

class type inspect INSIDE_PROTOCOLS

inspect

zone security INSIDE

zone security CONFROOM

zone security INTERNET

zone-pair security INSIDE_TO_INTERNET source INSIDE destination INTERNET

service-policy type inspect INSIDE_TO_INTERNET

zone-pair security CONFROOM_TO_INTERNET source CONFROOM destination INTERNET

service-policy type inspect CONFROOM_TO_INTERNET

zone-pair security CONFROOM_TO_INSIDE source INSIDE destination CONFROOM

service-policy type inspect INSIDE_TO_PROTOCOLS

interface FastEthernet0/0

zone-member security CONFROOM

interface FastEthernet0/1

zone-member security INSIDE

interface Serial0/3/0

zone-member security INTERNET

end

write

实验链接：https://pan.baidu.com/s/1wMYLsevosrVqlwlmhjiUYA?pwd=zpf1

提取码：zpf1

--来自百度网盘超级会员V3的分享

链接里有搭好的拓扑图，也有做完的拓扑图，请自行分辨。