05: 思科防火墙基础 、 思科ASA防火墙应用
回顾: 1, 防火墙本质 是控制
2, 部署位置 : 互联网边界不同部门3, 发展历史: 包过滤 应用代理 状态监测 UTM 下一代防火墙 AI4, 华为防火墙用安全区域---区分不同的网络----不同的安全区域默认不通UNtrust 非受信任区域 安全级别5 表示的是互联网的流量DMZ 非军事化区域 安全级别50 表示的是服务器区域trust 受信任区域 安全级别85 表示的内网区域local 设备自身 安全级别100 流量到达设备或者从设备发起的流量5,不通安全区域之间的访问-------安全策略6,PAT ------NAPT ----基于地址池------easyIP ----基于出接口
子网掩码 : 用来区分网络部分和主机部分
—用1表示网络部分
—用0表示主机部分
IPV4地址组成=网路部分+主机部分 =32位二进制
例如:C类 默认掩码 /24 255.255.255.0 11111111.11111111.11111111.00000000
192.168.1.1 /24 192. 168. 1.1 ---IP地址11111111.11111111.11111111.00000000 ---子网掩码---------------------------------------------------与运算192. 168. 1.0 ---网段表示一台主机: 192.168.1.1 /32
子网划分:将大的网络变成小的网络 ,将主机的位数变少即可
如:192.168.1.0 /24 当前IP地址为C类 默认掩码24 ,及网络部分24位,主机部分为8位 192.168.1.0 /29 当前掩码为29位 ,所以将29-24=5位的主机位充当了网络部分,剩下的主机位8-5=3位所以这个子网的主机数量为8 ,可用的主机数量为 8-2=6
==================================================================================
项目一:
需求:
1) Client1能够访问Server1的HTTP服务
2) Server1能够ping通Server2
配置思路:
— 配置接口IP地址并将接口加入安全区域
— 配置安全策略
— 配置NAT策略
— 配置路由
— 路由环路问题
1, 配置接口IP地址并将接口加入安全区域
接口配置IP:
interface GigabitEthernet1/0/1
undo shutdown
ip address 192.168.1.254 255.255.255.0
interface GigabitEthernet1/0/2
undo shutdown
ip address 192.168.200.1 255.255.255.252
interface GigabitEthernet1/0/3
undo shutdown
ip address 192.168.3.254 255.255.255.0
端口加入区域:
firewall zone trust
add interface GigabitEthernet1/0/1
firewall zone untrust
add interface GigabitEthernet1/0/2
firewall zone dmz
add interface GigabitEthernet1/0/3
2,配置安全策略
Trust访问Untrust
Untrust访问DMZ
security-policy
rule name OUT
source-zone trust
destination-zone untrust
action permit
rule name DMZ
source-zone untrust
destination-zone dmz
action permit
3,配置NAT策略
nat-policy
rule name NAPT
source-zone trust
destination-zone untrust
action nat address-group pool
配置地址池
nat address-group pool
mode pat
section 0 200.8.8.2 200.8.8.2
配置服务器发布:
nat server NATSERVER zone untrust protocol tcp global 200.8.8.1 80 inside 192.168.3.1 80
4,配置路由
防火墙[USG6000V1]ip route-static 0.0.0.0 0 192.168.200.2
路由器[isp]ip route-static 200.8.8.0 29 192.168.200.1
测试:
Client1能够访问Server1的HTTP服务
Server1能够ping通Server2
Ping 200.8.8.1
5,路由环路问题----用黑洞路由,将无用的路由让它有去无回
[USG6000V1]IP route-static 200.8.8.6 32 NULL 0
[USG6000V1]IP route-static 200.8.8.5 32 NULL 0
[USG6000V1]IP route-static 200.8.8.4 32 NULL 0
[USG6000V1]IP route-static 200.8.8.3 32 NULL 0
[USG6000V1]IP route-static 200.8.8.2 32 NULL 0
========================================================================
项目二
需求:
1) 只有PC可以telnet到防火墙(ISP不能telnet防火墙)
2) 配置安全策略和服务器发布,Client1可以访问Server1的HTTP服务
3) 配置安全策略和Easy IP,使Server1通过地址转换ping通PC(模拟上网)
##只有PC可以telnet到防火墙(ISP不能telnet防火墙)
@防火墙配置:
1,接口配置IP及接口加入安全区域,接口允许ping/telnet
interface GigabitEthernet1/0/0
ip address 200.1.1.1 255.255.255.252
service-manage telnet permit
interface GigabitEthernet1/0/1
ip address 192.168.1.254 255.255.255.0
firewall zone trust
add interface GigabitEthernet1/0/1
firewall zone untrust
add interface GigabitEthernet1/0/0
2,配置telnet
[USG6000V1]telnet server enable
[USG6000V1-aaa]manager-user admin
[USG6000V1-aaa-manager-user-admin]level 15
[USG6000V1-aaa-manager-user-admin]service-type web terminal telnet
[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa
[USG6000V1-ui-vty0-4]protocol inbound all
3,配置默认路由
[USG6000V1]ip route-static 0.0.0.0 0 200.1.1.2
测试:ISP 和PC 都可以访问防火墙
4,只允许PC可以访问防火墙
[USG6000V1]acl number 2000
[USG6000V1-acl-basic-2000]rule permit source 200.2.2.1 0
[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]acl 2000 inbound
测试:ISP 和PC 只有PC可以访问
3,PC配置默认路由:
[pc]ip route-static 0.0.0.0 0 200.2.2.2
##配置安全策略和服务器发布,Client1可以访问Server1的HTTP服务
1,配置安全策略
security-policy
rule name IN
source-zone untrust
destination-zone trust
action permit
2,配置服务器发布
nat server SERVER zone untrust protocol tcp global 200.1.1.1 www inside 192.1
68.1.1 www
测试:client可以访问内网服务器
访问地址200.1.1.1
但服务器ping不通client,说明不能访问外网
##配置安全策略和Easy IP,使Server1通过地址转换ping通PC(模拟上网)
1,配置安全策略
security-policy
rule name IN
source-zone untrust
destination-zone trust
action permit
rule name OUT
source-zone trust
destination-zone untrust
action permit
2,配置NAT策略
nat-policy
source-zone trust
destination-zone untrust
action nat easy-ip
测试:服务器可以ping通client
==================================================================================
项目三
需求:
- 配置Easy IP,使Client1通过地址转换ping通Client2(模拟上网)
- 配置服务器发布使Client2可以访问Server1的FTP服务
- 配置服务器发布使Client1能够通过公网地址访问Server1的FTP服务
配置思路:
— 配置主机IP/网关 基本信息 、防火墙接口配置IP、将接口加入安全区域
— 配置安全策略、配置NAT策略—基于出接口
— 配置安全策略、配置服务器发布 —外网访问内网FTP
— 配置NAT策略(源和目标区域都为trust)、配置服务器发布(区域为trust)—内网通过公网IP访问内网FTP
####配置Easy IP,使Client1通过地址转换ping通Client2(模拟上网)
1,基本配置
interface GigabitEthernet1/0/1
ip address 192.168.1.254 255.255.255.0
interface GigabitEthernet1/0/2
ip address 200.1.1.254 255.255.255.0
firewall zone trust
add interface GigabitEthernet1/0/1
firewall zone untrust
add interface GigabitEthernet1/0/2
2,配置安全策略和NAT策略
security-policy
rule name out
source-zone trust
destination-zone untrust
action permit
nat-policy
rule name in2out
source-zone trust
destination-zone untrust
action nat easy-ip
3,测试实现互通
####配置服务器发布使Client2可以访问Server1的FTP服务
1,配置安全策略
security-policy
rule name in
source-zone untrust
destination-zone trust
action permit
2,配置服务器发布
nat server NATSERVER1 zone untrust protocol tcp global 200.1.1.10 ftp inside
192.168.1.10 ftp
3,测试外网访问内网FTP 成功
####配置服务器发布使Client1能够通过公网地址访问Server1的FTP服务
1,配置NAT策略
nat-policy
rule name INTOIN
source-zone trust //注意源区域为trust
destination-zone trust
action nat easy-ip
2,配置服务器发布 //注意源区域为trust
nat server NATSERVER2 zone trust protocol tcp global 200.1.1.10 ftp inside 19
2.168.1.10 ftp
3,测试内网主机访问公网IP 访问FTP 成功
05: 思科防火墙基础 、 思科ASA防火墙应用相关推荐
- Cisco ASA防火墙基础
Cisco ASA防火墙基础 1.Cisco 防火墙简介: 硬件与软件防火墙: .软件防火墙: Cisco新版本的IOS软件提供了IOS防火墙特性集,它具有应用层智能状态监测防火墙引擎. Cisco ...
- 使用思科asa防火墙deny QQ农场
今天,某网友在群里咨询到我这样的一个问题,由于公司众多员工,在工作时间登陆qq空间玩qq农场游戏,浪费了大量的工作时间,所以想将qq农场禁止掉,现在以思科asa防火墙为例来禁止公司内部员工登陆qq农场 ...
- 思科ASA防火墙:控制防火墙不让访问指定网站
环境: 内网客户机:win10 思科asa防火墙 外网客户机:server 2016 win10可以通过域名访问网站 进入asa全局模式 access-list http permit tcp 192 ...
- 防火墙入侵于检测——————3、思科 PIX 防火墙和 ASA 防火墙产品线
思科 PIX 防火墙和思科 ASA自适应安全工具模型和特点 PIX防火墙家族 ASA自适应安全工具家族 思科PIX 防火墙 501 安全工具 •Designed for small offices ...
- 思科ASA防火墙中存在多个漏洞,可被用于供应链攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 思科ASA防火墙:内网telnet远程控制防火墙 外网ssh远程控制防火墙
现在他们相互都可以通信 全局通信 1.内网telnet连接ASA 进入asa防火墙全局模式 telnet 192.168.1.1 255.255.255.0 in telnet + 指定远程ip + ...
- ASA 5545防火墙及思科3750交换机配置办公网络
实验目标:ASA 5545防火墙一端作为外网入口,一端连接3750交换机.由于办公设备比较少,交换机3750作为核心交换机,没有再接其他交换机了. 为了做实验,在没有外部ISP外网的情况下,使用现有办 ...
- 图解思科ASA防火墙K8升级至K9
哎--,差不多一个月都没有来写博客了呀!这段时间比较忙呀!今天还是来发一篇文章吧!<?xml:namespace prefix = o ns = "urn:schemas-micros ...
- 第29节 天融信Topgate防火墙基础配置案例
防火墙配置目录 1 实验拓扑图及实验要求 1.1 网络拓扑图 1.2 实验1:验证防火墙的区域隔离及策略编写 1.3 实验2:做源转换SNAT 1.4 实验3:目标转换DNAT 1.5 实验4:应用层 ...
最新文章
- WEB安全_csrf攻击
- window - JDK的安装与卸载
- 一文简述FFmpeg
- 《图解 HTTP》读书笔记(未完待续)
- python中math库最大值_python-math库解析
- 双流国际机场公交线路到凤凰御庭
- 千载新论:只能指望员工做完工作,要做好依靠主管
- python求角度公式_Python 计算任意两向量之间的夹角方法
- spring-05 AOP
- OpenGL:太阳、地球、月球模型模拟动画
- mac 下安装 tomcat7
- alibaba人一起写过的技术丛书
- centos配置网桥以及brctl命令的使用
- 大连海事大学信息与通信工程系808考研上岸经验分享
- 内核线程卡死两例——sysrq运用简例
- js 图片放大缩小(动画效果)
- 5G专网是个大西瓜(一):价值之问
- H3CSE路由-路由过滤
- CAD图纸中,提取标注的方法是什么呢?
- 【OFDM系列6】MIMO-OFDM系统模型、迫零(ZF)均衡检测和最小均方误差(MMSE)均衡检测原理和公式推导