思科防火墙ASA配置案例
思科防火墙ASA配置案例
拓扑图
要求:通过思科防火墙ASA使用内网用户可以访问外网与DMZ中的服务器,DMZ中的服务器可以发布到网络中,供外网用户访问
一.思科模拟防火墙的使用
因为我们没有真实的设备,所以我们使用一个使用linux内核的虚拟系统来模拟思科的防火墙,模拟防火墙可以自己下载,在使用时我们还要使用一个软件来连接这个模拟防火墙:nptp.ext。
首先,我们打开ASA防火墙虚拟机,再安装nptp.exe软件
打开nptp,点击”Edit”新建一个连接,参数可如下
使用连接工具进行连接
连接成功
二.IP地址配置
外网IP配置
ciscoasa> enable
Password:
ciscoasa# conf t
ciscoasa(config)# int eth0/0
ciscoasa(config-if)# ip add 192.168.101.150 255.255.255.0 //外网ip
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif outside //外网名,一定要配置
内网IP配置
ciscoasa(config-if)# int eth0/1
ciscoasa(config-if)# ip add 192.168.1.1 255.255.255.0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif inside
DMZ IP配置
ciscoasa(config-if)# int eth0/2
ciscoasa(config-if)# ip add 192.168.2.1 255.255.255.0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif dmz
查看路由
ciscoasa(config-if)# show route
C 192.168.1.0 255.255.255.0 is directly connected, inside
C 192.168.2.0 255.255.255.0 is directly connected, dmz
C 192.168.101.0 255.255.255.0 is directly connected, outside
注:在ASA防火墙中一定要配置nameif名字,如果不配置的话,这个端口就不能启动,在配置名字的时候,不同的名字可以有不同的优先级,内网inside是一个系统自带的值,只可配置在内网的端口上,并且它的优先级是100,属于最高的级别,而另外的一些优先级都是0,在优先级高的区域访问优先级低的区域的时候,可以直接做snat就可以通信,而优先级低的访问优先级低的区域的时候,做dnat的同时,还要做访问控制列表。
三.内网访问外网
ciscoasa(config-if)# exit
ciscoasa(config)# global (outside) 1 interface //指定snat使用的外网接口为nameif为outside的端口
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0 /指定内网的网段
测试
我们使用的192.168.101.0做为外网的网段,但是在测试的时候,不能使用ping命令测试,因为在默认情况下防火墙是把ping作为一种攻击手段给拒绝掉的。我现在在192.168.101.105上做了一个RDP服务器,可以进行测试
可以测试成功
四.内网访问DMZ服务器
基于前面的设置,我们只需要再做一条指令指明dmz区域即可
ciscoasa(config)# global (dmz) 1 interface
测试一下访问DMZ中的www服务器
五.DMZ中服务器发布
RDP服务器发布
ciscoasa(config)# int eth0/2
ciscoasa(config-if)# security-level 50 //修改DMZ区域的优先级大于outside区域
ciscoasa(config)# static (dmz,outside) tcp interface 3389 192.168.2.2 3389 //创建dmz与outside的dnat RDP服务
ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 3389 //创建访问控制列表,允许外网访问outside端口
ciscoasa(config)# access-group 100 in interface outside //在outside端口上应用访问控制列表
测试
www服务器发布
ciscoasa(config)# static (dmz,outside) tcp interface www 192.168.2.2 www
ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 80
ciscoasa(config)# access-group 100 in interface outside
测试
思科防火墙ASA配置案例相关推荐
- 思科防火墙ASA5520配置
思科防火墙ASA5520配置: 目的:1.内网可以上网 2.内网可以访问DMZ区域的服务器 3.外网可以通过公网IP访问DMZ区域的服务器 要求:1.内网的网段192.168.10.0 2.DMZ的网 ...
- 第29节 天融信Topgate防火墙基础配置案例
防火墙配置目录 1 实验拓扑图及实验要求 1.1 网络拓扑图 1.2 实验1:验证防火墙的区域隔离及策略编写 1.3 实验2:做源转换SNAT 1.4 实验3:目标转换DNAT 1.5 实验4:应用层 ...
- 在CISCO的防火墙ASA配置HA
实验环境 在ASAv10和ASAv11上配置HA gi0/1为inside进口,gi0/2为outside出口,gi0/0为两台ASA的互联接口. 实验目的:使得两台防火墙互为主备,平时只有一台工作, ...
- 思科---防火墙asa5520配置笔记
一.防火墙的动态pat配置 Object network (inside)名称 //设置对象网络名称 Subnet 网段 掩码 //设置网段 Nat (inside,outside)指定接口方向 dy ...
- HUAWEI+Eudemon1000E+防火墙+典型配置案例
当使用consol口登入Eudemon1000E 防火墙时,如果登入失败退出可能会被锁定,提示:User interface con0 is locked! 锁定的时间默认是10分钟,可以通过对con ...
- 思科大型网络配置案例
设计要求: 1.分部和和总部所有部门都不可以访问财务部 2.设计部不给上外网 3.分部只能访问总部服务器区域和上公网,其它不允许 4.出口用vrrp做主备 5.双出口做nat访问外网 6.对外映射总部 ...
- 第30节 天融信Topgate防火墙高可用性(HA)配置案例
目录 1 实验要求及网络拓扑图 2 实验演示过程-构建高可用性HA 2.1 搭建网络结构 2.2 防火墙配置 2.3 验证 3 总结 参考文章 给防火墙做备份,也称为防火墙的HA,实现公司总出口的高可 ...
- 防火墙ASA5520配置
思科防火墙ASA5520配置: 目的:1.内网可以上网 2.内网可以访问DMZ区域的服务器 3.外网可以通过公网IP访问DMZ区域的服务器 要求:1.内网的网段192.168.10.0 2.DMZ的网 ...
- 思科防火墙PIX ASA精华配置总结
思科防火墙 PIX ASA 配置总结一(基础): 思科防火墙已经从PIX发展到ASA了,IOS也已经从早期的6.0发展到7.2.但总体的配置思路并没有多少变化.只是更加人性化,更加容易配置和管理了. ...
最新文章
- Ubuntu16.04 安装
- supervisor 守护php,laravel队列之Supervisor守护进程(centos篇)
- 十种创业病 你得了几个?
- python aes_python AES 加密
- 天通苑海鲜餐馆数据调查,很难想象消费越贵越受欢迎
- NOIP2016普及组第四题——魔法阵
- Linux下读写芯片的I2C寄存器
- java蓝桥暑假班_Java实现 蓝桥杯VIP 算法提高 班级排名
- mysql normal like_MYSQL语句
- JAVA面试要点007---equals和==的区别小结
- 用正则表达式抽取文本
- 【Python+OpenCV】Windows+Python3.6.0(Anaconda3)+OpenCV3.2.0安装配置
- mysql 队列存储_GitHub - hongliangbest/QueueTask: 一个轻量级可拓展的队列任务、暂时支持mysql、redis等存储方式...
- python实现一个json文件任意路径形式的接口项目
- Linux平台串口读取GPS每次只能收到8个字节 以及 使用LiveGBS 调试 GB28181设备 包括视频 GPS信息等等
- 2015最好用的PHP开源建站系统
- 华为鸿蒙系统卡片,18个月不卡?这四款华为2年还流畅,支持鸿蒙OS
- CodeForces 805C	Find Amir
- 德国Vue.js2终极开发教程(含Vue路由和Vuex)-Max-专题视频课程
- 移动端字体显示大小和css设置大小的不一致解决方案