ASA防火墙应用配置(NAT和PAT)

                                         实验配置ASA应用(NATPAT

inisde区域是内部,ip地址192.168.1.1网关,outside区域是外部,也就是公网12.0.0.0网段,DMZ区域是隔离区,ip地址192.168.10.1

C3server2008服务器并且提供WEB网站,IP地址13.0.0.2,网关13.0.0.1,虚拟机网卡绑定VMnet1

C2linux服务器并且提供APACHE服务,ip地址192.168.10.10,网关192.168.10.1,虚拟机网卡绑定VMnet2

C1是内部的主机ip地址是192.168.1.2,网关192.168.1.1,宿主机网卡是Loopback(回环网卡),并且DNS指向13.0.0.2

实验步骤:

1.首先我搭建server2008服务器的web(网站为accp.com

设置网卡,以及ip地址

这里DNS指向自己目的是为了解析,在server2008服务器上搭建DNS并且创建区域,地址指向Linux服务器

添加角色

先搭建DNS(域名解析)

然后在搭建WEB

测一下WEB

创建两个正向查询区域(下面都是一样)

第一个区域名称benet.com(第二个区域是accp.com,然后下一步,下一步)

a记录(benet.com ip 192.168.10.10(accp.com ip13.0.0.2)

 

2.搭建linux服务器APACHE服务(网站为benet.com

首先查看网卡绑定vmnet1,在进入linux图形化界面,点击终端,用ifconfig查看ip地址

查看网关

在用vi编辑器配置httpd.conf文件

监听端口

名字改下

主机名修改成sr1

启用httpd服务,并且关闭防火墙

输入ip地址检测下apache

 

3.配置R1ASA(交换机是二层所以什么都不用配置,在这里pc机是不能直接连asa防火墙,所以加了个二层交换机)

首先配置R1 ip地址和默认路由

配置ASA

首先还是先初始化

然后配置接口名称和ip地址,在配置下接口的安全级别(inside默认100dmz配下50 outside默认为0

ASA上配置默认路由

 

然后在宿主机上查看下ip地址并且访问www.benet.com和www.accp.com

4.开启NAT转换(动态)

把内部所有地址转换成outside接口地址,并且查看nat转换表

ping不通13.0.0.2

如果想ping通,配置ACL并且允许ICMP进行穿越

应用入口方向的outside接口上

这样就能ping通了

抓个包,查看下nat转换

5.默认C1或者是内部所有地址可以访问任何网段,假如我不想192.168.1.5 通过,那么我就要在inside上配置ACL(在这里我把C1ip改成192.168.1.5

配置ACL,拒绝ip 192.168.1.5 所有

应用接口inside

在回到宿主上把IP地址改成192.168.1.5,并且访问www.accp.com或者www.benet.com(注意:如果还能访问,清除下DNS缓存,命令为ipconfig /flushdns)

6.C2做个静态NAT(双向通信),映射一个地址为12.0.0.1这个网段,要让C3能够访问C2 DMZ区域,但是C3访问C2不能是C2的原来地址,而是C2映射过后的地址也就是12.0.0.1

配置静态NAT(注意:先配置outside地址12.0.0.3,在配置DMZ地址192.168.10.10)

我想外面可以访问进来,做个策略配置ACL只允许访问我的网站(允许13.0.0.2访问C2映射过后的地址12.0.0.3)并且应用outside接口

在这里注意个问题,一个接口只能应用一个outside,现在外面已经应用了两条,所以现在这条覆盖了access-list 111 ,想要解决,就把ICMP允许所有,这样就能应用这两条ACL访问控制列表

在到Server2008服务器上输入C2的映射过后的地址12.0.0.3

                     

时间: 2024-10-11 01:26:19

ASA防火墙应用配置(NAT和PAT)的相关文章

ASA防火墙基本配置

全局模式下 asa(config)#int e0/0                 //进入接口// asa(config-if)#nameif 名字           //配置接口名称// asa(config-if)#security-leve 0-100       //配置接口安全级别,0-100表示安全级别// asa(config-if)#ip add 192.168.1.1 255.255.255.0   //配置接口ip地址// asa(config)#access-list

cisco ASA 防火墙常用配置(ASA Version 8.2(5) )

注:内网口:192.168.3.253  外网口:192.168.6.45  (以下指令皆据此)!!! 接口模式下加入vlan: switchport access vlan 2 vlan接口配置IP地址: interface Vlan1  nameif inside security-level 50  ip address 192.168.3.253 255.255.255.0 配置端口映射: access-list Outside_Access extended permit ip any

ASA 防火墙基本配置命令

ASA 5505      ASA 5510     中小企业 5520   5540   5550     5580大型企业 ASA 是思科的产品,前身是PIX. ASA基本配置命令 命令名称 模式 具体命令 修改防火墙名称 config# hostname xxxx 配置特权密码 config# enable password xxxx 远程登陆密码 config# password xxxx 配置接口名称 config-if # nameif xxxx 配置接口安全级别 config-if

防火墙(ASA)高级配置之URL过滤、日志管理、透明模式

对于防火墙产品来说,最重要的一个功能就是对事件进行日志记录.本篇博客将介绍如何对ASA进行日志管理与分析.ASA透明模式的原理与配置.利用ASA防火墙的IOS特性实施URL过滤. 一.URL过滤 利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的. 实施URL过滤一般分为以下三个步骤: (1)创建class-map(类映射),识别传输流量. (2)创建policy-map(策略映射),关联class-map. (3)应用policy-map到接口上. 案例:

asa的基础配置

网络拓扑 在asa防火墙设置动态PAT使内网可以通过一个公网地址访问外网 命令如下: ciscoasa(config)# nat (inside) 1192.168.1.0 255.255.255.0 ciscoasa(config)# global (outside) 1interface 在asa防火墙设置静态NAT使客户机可以通过一个公网地址访问dmz区域的web服务器,还需要设置ACL策略允许客户端访问dmz区域. 命令如下: ciscoasa(config)# static (dmz,

Cisco防火墙ASA-EZVPN配置

       Cisco防火墙ASA-EZVPN配置    Easy VPN也叫做EZVPN,是Cisco为远程用户.分支办公室提供的一种远程访问VPN解决方案,EzVPN提供了中心的VPN管理,动态的策略分发,降低了远程访问VPN部署的复杂程度,并且增加了扩展和灵活性.  Easy VPN特点介绍: 1. Easy VPN是Cisco私有技术,只能运用在Cisco设备.2. Easy VPN适用于中心站点固定地址,客户端动态地址的环境,并且客户端身后网络环境需要尽可能简单,例如:小超市,服装专

思科ASA防火墙与山石防火墙进行IPSec对接

使用环境:客户分支通过ASA防火墙通过PPOE拨号接入internet,总部Hillstone防火墙有独立的公网IP地址.两端对接实现网内相互访问 ASA防火墙端配置当前ASA的版本信息如下: 主要配置如下:object network LAN_NATsubnet 10.11.2.0 255.255.255.0 object network DC_01subnet 172.16.0.0 255.240.0.0 nat (inside,outside) source static LAN_NAT

Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚拟专用网(解决出差员工访问内网的问题)

在Cisco ASA防火墙上配置远程访问虚拟专用网(Easy 虚拟专用网)原理和路由器一样,对Easy 虚拟专用网原理不清楚的朋友可以参考博文Cisco路由器实现远程访问虚拟专用网--Easy虚拟专用网(解决出差员工访问内网的问题) 在路由器上配置和在防火墙上配置终归还是会区别的.这里就直接开始配置了,不再详细的介绍了! 在防火墙上实现IPSec 虚拟专用网技术可以参考博文Cisco ASA防火墙实现IPSec 虚拟专用网,可跟做!!! 一.案例环境 由于模拟器的原因,导致防火墙不能和终端设备相

ASA配置实例之NAT和PAT的地址转换(二)

ASA防火墙配置实验 实验拓扑图: 基础配置命令: ASA conf t hostname ASA int e0/0 nameif inside security-level 100 ip add 192.168.1.5 255.255.255.0 no sh int e0/1 nameif dmz security-level 50 ip add 192.168.2.5 255.255.255.0 no sh int e0/2 nameif outside security-level 0 i