ASA防火墙的应用

实验

实验拓扑图:

实验环境:

 

在虚拟机上搭建一台2008服务器和一台linux服务器:

 

 

实验要求:

 

一,在ASA防火墙上配置inside,outside,dmz区域,配置ACL实现ICMP流量可以穿越防火墙。

二,通过配置ACL禁止DMZ区域访问outside区域,但可以访问inside区域。

三,将内网的10.0网段通过动态PAT转换成公网outside接口地址访问WEB网页。

四,创建静态PAT将DMZ区域的Apache服务器内网地址映射成公网地址。

五,配置SSH,在inside方向接入,实现对防火墙的管理。

 

 

实验步骤:

 

一,在ASA防火墙上配置inside,outside,dmz区域,配置ACL实现ICMP流量可以穿越防火墙。

 

R2上的配置:

配置各接口IP地址:

R2(config)#int f0/1

R2(config-if)#ip add 12.0.0.2 255.255.255.0

R2(config-if)#no shut

R2(config-if)#int f0/0

R2(config-if)#ip add 13.0.0.1 255.255.255.0

R2(config-if)#no shut

 

 

做一条默认路由通向内网:

R2(config-if)#ex   

R2(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.1

 

防火墙的配置:

配置各接口区域名称和安全级别:

 

asa(config)# int e0/0

asa(config-if)# ip add 192.168.10.1 255.255.255.0

asa(config-if)# nameif inside

asa(config-if)# no shut

asa(config-if)# int e0/1

asa(config-if)# ip add 12.0.0.1 255.255.255.0

asa(config-if)# no shut

asa(config-if)# nameif outside

asa(config-if)# int e0/2

asa(config-if)# ip add 192.168.20.1 255.255.255.0

asa(config-if)# no shut

asa(config-if)# nameif dmz

asa(config-if)# security-level 50

 

做一条默认路由指定outsie区域为出口路由与外网通信:

 

asa(config)# route outside 0 0 12.0.0.2

 

配置ACL:

 

asa(config)# access-list 1 permit icmp any any

asa(config)# access-group 1 in int outside

asa(config)# access-group 1 in int dmz

测试全网互通:

真机ping两个服务器地址:

交换机作为二层设备不做任何配置:

 

 

二,通过配置ACL禁止DMZ区域访问outside区域,但可以访问inside区域。

配置如下:

asa(config)# access-list 2 deny icmp host 192.168.20.10 host 13.0.0.2

asa(config)# access-list 2 permit icmp any any 

asa(config)# access-group 2 in int dmz

 

测试apache服务器与另两台PC通信:

 

发现ping外网的服务器ping不通:

三,将内网的10.0网段通过动态PAT转换成公网outside接口地址访问WEB网页。

 

动态PAT配置如下:

 

asa(config)# nat (inside) 1 192.168.10.0 255.255.255.0  //定义要转换的内网网段,1代表ID号。

asa(config)# global (outside) 1 interface  //定义转换的公网为出口接口IP地址,ID号要相同。

 

测试使用真机访问WEB网站:

 

基于域名访问需要搭建DNS服务,并做主机A记录:

使用抓包软件查看PAT转换过程:

四,创建静态PAT将DMZ区域的Apache服务器内网地址映射成公网地址。

 

静态PAT配置如下:

 

asa(config)# static (dmz,outside) tcp 12.0.0.88 http 192.168.20.10 http  //定义将apache服务器地址转换成公网地址。

asa(config)# access-list out_to_dmz permit ip host 13.0.0.2 host 12.0.0.88 //ACL配置的要访问的服务器地址是转换后的公网地址。

asa(config)# access-group out_to_dmz in int outside  

 

DNS的A记录:

测试使用外网服务器访问Apache网站:

查看转换后的xlate表

五,配置SSH,在inside方向接入,实现对防火墙的管理:

 

配置如下:

 

asa(config)# domain-name asa.com  //配置域名

asa(config)# crypto key generate rsa modulus 1024  //生成密钥长度

asa(config)# ssh 192.168.10.0 255.255.255.0 inside //定义允许哪段网段可以从哪个区域接入

asa(config)# ssh timeout 5     //定义多少时间未接入自动断开,单位分钟

asa(config)# ssh version 2   //定义版本号

asa(config)# passwd 123123 //配置登陆密码

 

测试使用putty软件登陆:

ASA的默认使用用户名为pix。

实验完成

时间: 2024-08-15 10:28:23

ASA防火墙的应用的相关文章

ASA防火墙穿越NAT设备与路由器做ipsecVPN

一. 实验任务及思路: 1.  使用GNS3搭建拓扑(拓扑如下),R2路由器模拟ISP服务提供商,R1上配置PAT实现内网对Internet的访问,要求ASA防火墙与R3之间建立IPSec VPN,连接穿过NAT设备,配置实现两端对等体建立IPSec VPN连接. 2. C1与C2先后互ping,比较ipsecVPN连接情况 二.  实验拓扑: 三.  IP地址规划:    C1 192.168.10.10/24 ASA1 e0/1 192.168.10.1/24 e0/0 172.16.11.

ASA防火墙应用技术:配置PAT

如不明白或有疑问请点击此处:ASA防火墙应用技术:配置PAT:理论知识+实验教程

配置Cisco的ASA防火墙(三个区域)

配置Cisco的ASA防火墙(三个区域),布布扣,bubuko.com

ASA防火墙 (一)

ASA防火墙实验(一) SW1: interface FastEthernet1/0 ! interface FastEthernet1/1 switchport access vlan 2 spanning-tree portfast ! interface FastEthernet1/2 switchport access vlan 3 spanning-tree portfast ! interface FastEthernet1/3 switchport access vlan 4 sp

ASA防火墙基本配置

全局模式下 asa(config)#int e0/0                 //进入接口// asa(config-if)#nameif 名字           //配置接口名称// asa(config-if)#security-leve 0-100       //配置接口安全级别,0-100表示安全级别// asa(config-if)#ip add 192.168.1.1 255.255.255.0   //配置接口ip地址// asa(config)#access-list

ASA防火墙之三-屏蔽内网访问某些域名

在公司有时候老板可能不想让自己的员工,在上班时间上淘宝,QQ空间的之类的网站,影响工作的质量,所以,会叫技术员屏蔽掉这些域名.在这里,我采用思科ASA防火墙实现这个效果. 实验要求: 100.1.1.1作为外网WEB服务,内网的192.168.1.1用户能够获得"163.COM"的域名解析,但无法获得"taobao.com"的域名解析. conf t hostname ASA int e0/0 nameif inside ip add 192.168.1.5 255

ASA防火墙配置案例(一)

实验目标: 1.配置静态路由,实现全网互通. 2.R1能telnet到R3,R4,R3被拒绝ACL规则telnet到R4,R4无法telnet到R1和R3. ASA en conf t int e0/1 nameif inside security-level 100 ip add 10.1.1.10 255.255.255.0 no sh int e0/2 nameif dmz security-level 50 ip address 192.168.1.10 255.255.255.0 no

基于ASA防火墙的NAT地址转换和SSH远程登录实验

实验环境:使用两台linux虚拟机,linux-3是作为外网的apache网站服务器,另外一台linux-1属于内网DMZ(非军事化区域)的apache服务器,再搭建一个DNS服务来解析IP地址.然后客户端使用本地的一个回环网卡进行连接. 实验要求:通过实验在ASA防火墙上进行配置,来证明NAT地址转换和做ACL入站连接. 首先是配置交换机和路由器上面的部分,在两台交换机上面只要关闭路由功能就行了. 在R3路由器上需要做IP地址的配置,以及一条默认路由就OK了. 下面是设置启用防火墙的配置文件.

ASA防火墙基础

实验配置简单的ASA防火墙 实验步骤: 1.允许R1远程R2和ping通R2 首先配置R1,R2,的ip地址,在配置静态路由 ASA防火墙先要初始化一下,在配置ASA的接口的名称和ip地址, 远程访问R2必须设置远程密码和特权密码 在进入到R1上远程访问R2 能远程,但不能ping通,是因为没有开启入站连接 配置允许入站连接, 然后ping下 2.在这里我要在ASA防火墙上配置静态路由实验,我就不用路由,直接在R1和R2上添加loopback 首先在R1和R2上配置loopback地址 ASA配

PIX或者ASA防火墙开放内网连接外网VPN权限

声明 作者:昨夜星辰 博客:http://yestreenstars.blog.51cto.com/ 本文由本人创作,如需转载,请注明出处,谢谢合作! 目的 修改配置文件使内网能够使用PPTP或者L2TP连接VPN服务器. 环境 默认的PIX或者ASA防火墙都是禁止内网使用PPTP或者L2TP连接的,我们必须手动开启才能使用. 防火墙配置 进入全局配置模式(configure terminal): 依次输入policy-map global_policy.class inspection_def