第十七期 ASA【防火墙】基本配置

实验目的：1. DMZ发布Web服务器，Client2可以访问Server3

使用命令show conn detail查看Conn表
查看ASA和AR【R1】的路由表
配置ACL禁止Client3访问Sever2
实验步骤：
1. 配置ASA及路由器：
  R1：配置IP地址：interface GigabitEthernet0/0/0
  ip address 192.168.1.1 255.255.255.0
  interface GigabitEthernet0/0/1
  ip address 10.1.1.254 255.255.255.0
  interface GigabitEthernet0/0/2
  ip address 10.2.2.254 255.255.255.0
  配置下一跳: ip route-static 0.0.0.0 0.0.0.0 192.168.1.254
2. 配置ASA及端口：
  ASA：配置接口:
  interface GigabitEthernet0
  nameif inside
  security-level 100\inside默认安全级别为100
  ip address 192.168.1.254 255.255.255.0
  interface GigabitEthernet1
  nameif outside
  security-level 0\outside默认安全级别为0
  ip address 192.168.8.254 255.255.255.0
```
  interface GigabitEthernet2
  nameif DMZ
  security-level 50\\DMZ默认安全级别为0-100之间即可
  ip address 192.168.3.254 255.255.255.0
route inside 10.1.1.0 255.255.255.0 192.168.1.1 1\\配置下一跳
```
  route inside 10.2.2.0 255.255.255.0 192.168.1.1 1\配置下一跳

配置ACL：ASA(config)# show ru access-list
access-list ICMP extended permit icmp any any \设置ping包成功【ping为ICMP】
access-list in-to-out extended deny ip 10.1.1.0 255.255.255.0 any
access-list in-to-out extended permit ip any any
access-list DMZ extended permit tcp host 192.168.8.1 host 192.168.3.100
access-list C3-S2 extended deny tcp host 192.168.3.1 host 192.168.8.100
access-list C3-S2 extended deny tcp host 192.168.3.1 host 192.168.8.100
调用ACL：access-group C3-S2 in interface outside
access-group DMZ in interface outside
实验结果：
使用命令show conn detail查看Conn表

查看ASA的路由表

DMZ发布Web服务器，Client2可以访问Server3

配置ACL禁止Client3访问Server2

查看AR【R1】路由表

谢谢大家支持

原文地址：http://blog.51cto.com/13556999/2067911

时间： 2024-10-05 20:11:30

第十七期 ASA【防火墙】基本配置的相关文章

ASA防火墙基本配置

全局模式下 asa(config)#int e0/0 //进入接口// asa(config-if)#nameif 名字 //配置接口名称// asa(config-if)#security-leve 0-100 //配置接口安全级别,0-100表示安全级别// asa(config-if)#ip add 192.168.1.1 255.255.255.0 //配置接口ip地址// asa(config)#access-list

ASA防火墙应用配置（NAT和PAT）

实验配置ASA应用(NAT和PAT) inisde区域是内部,ip地址192.168.1.1网关,outside区域是外部,也就是公网12.0.0.0网段,DMZ区域是隔离区,ip地址192.168.10.1 C3是server2008服务器并且提供WEB网站,IP地址13.0.0.2,网关13.0.0.1,虚拟机网卡绑定VMnet1 C2是linux服务器并且提供APACHE服务,ip地址192.168.10.1

ASA 防火墙基本配置命令

ASA 5505 ASA 5510 中小企业 5520 5540 5550 5580大型企业 ASA 是思科的产品,前身是PIX. ASA基本配置命令命令名称模式具体命令修改防火墙名称 config# hostname xxxx 配置特权密码 config# enable password xxxx 远程登陆密码 config# password xxxx 配置接口名称 config-if # nameif xxxx 配置接口安全级别 config-if

第十八期 ASA各类NAT配置

实验目的:1.配置动态NAT2.配置静态NAT实验步骤:1.配置动态NAT:[基本配置已配好,详见ASA配置实验报告]asa(config)# object network ob-inasa(config-network-object)# subnet 10.2.2.0 255.255.255.0asa(config-network-object)#nat(inside,outside)dynamic200.8.8.3\200.8.8.3不能为真实设备IP动态NAT端口:[配置如上,只需改变一条

ASA 防火墙nat配置

1.防火墙上动态nat配置 nat (inside) id号 192.168.20.0 255.255.255.0 //宣告要转化的网段// global (outsie) id号 12.0.0.2-12.0.0.6 //宣告转化后的网段// 查看nat 为show xlate deatil 2.防火墙上动态pat配置 nat (inside) id号 192.168.20.0 255.255.255.0 //宣告需要转换的网段// global (outside)

cisco ASA 防火墙常用配置（ASA Version 8.2(5) ）

注:内网口:192.168.3.253 外网口:192.168.6.45 (以下指令皆据此)!!! 接口模式下加入vlan: switchport access vlan 2 vlan接口配置IP地址: interface Vlan1 nameif inside security-level 50 ip address 192.168.3.253 255.255.255.0 配置端口映射: access-list Outside_Access extended permit ip any

防火墙（ASA）高级配置之URL过滤、日志管理、透明模式

对于防火墙产品来说,最重要的一个功能就是对事件进行日志记录.本篇博客将介绍如何对ASA进行日志管理与分析.ASA透明模式的原理与配置.利用ASA防火墙的IOS特性实施URL过滤. 一.URL过滤利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的. 实施URL过滤一般分为以下三个步骤: (1)创建class-map(类映射),识别传输流量. (2)创建policy-map(策略映射),关联class-map. (3)应用policy-map到接口上. 案例:

Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚拟专用网（解决出差员工访问内网的问题）

在Cisco ASA防火墙上配置远程访问虚拟专用网(Easy 虚拟专用网)原理和路由器一样,对Easy 虚拟专用网原理不清楚的朋友可以参考博文Cisco路由器实现远程访问虚拟专用网--Easy虚拟专用网(解决出差员工访问内网的问题) 在路由器上配置和在防火墙上配置终归还是会区别的.这里就直接开始配置了,不再详细的介绍了! 在防火墙上实现IPSec 虚拟专用网技术可以参考博文Cisco ASA防火墙实现IPSec 虚拟专用网,可跟做!!! 一.案例环境由于模拟器的原因,导致防火墙不能和终端设备相

思科ASA防火墙与山石防火墙进行IPSec对接

使用环境:客户分支通过ASA防火墙通过PPOE拨号接入internet,总部Hillstone防火墙有独立的公网IP地址.两端对接实现网内相互访问 ASA防火墙端配置当前ASA的版本信息如下: 主要配置如下:object network LAN_NATsubnet 10.11.2.0 255.255.255.0 object network DC_01subnet 172.16.0.0 255.240.0.0 nat (inside,outside) source static LAN_NAT