首页>网络技术>网络安全>思科防火墙ASA配置案例
回复
« 返回列表
灯火互联
灯火互联
管理员
管理员
  • 注册日期2011-07-27
  • 发帖数41778
  • QQ
  • 火币41290枚
  • 粉丝1086
  • 关注100
写私信 打招呼
  • 终身成就奖
  • 最爱沙发
  • 忠实会员
  • 灌水天才奖
  • 贴图大师奖
  • 原创先锋奖
  • 特殊贡献奖
  • 宣传大使奖
  • 优秀斑竹奖
  • 社区明星
阅读:2542回复:1

思科防火墙ASA配置案例

楼主#
更多 发布于:2013-01-14 19:46
拓扑图

图片:20130114011717717.png



要求:通过思科防火墙ASA使用内网用户可以访问外网与DMZ中的服务器,DMZ中的服务器可以发布到网络中,供外网用户访问
一.思科模拟防火墙的使用
因为我们没有真实的设备,所以我们使用一个使用linux内核的虚拟系统来模拟思科的防火墙,模拟防火墙可以自己下载,在使用时我们还要使用一个软件来连接这个模拟防火墙:nptp.ext。
首先,我们打开ASA防火墙虚拟机,再安装nptp.exe软件
打开nptp,点击”Edit”新建一个连接,参数可如下

       

图片:20130114011717230.png



 使用连接工具进行连接

图片:20130114011717608.jpg



连接成功
二.IP地址配置
     外网IP配置
     ciscoasa> enable
     Password:  
     ciscoasa# conf t
     ciscoasa(config)# int eth0/0
     ciscoasa(config-if)# ip add 192.168.101.150 255.255.255.0      //外网ip
     ciscoasa(config-if)# no shut
     ciscoasa(config-if)# nameif outside                        //外网名,一定要配置

     内网IP配置
     ciscoasa(config-if)# int eth0/1
     ciscoasa(config-if)# ip add 192.168.1.1 255.255.255.0
     ciscoasa(config-if)# no shut
     ciscoasa(config-if)# nameif inside

      DMZ  IP配置
      ciscoasa(config-if)# int eth0/2
      ciscoasa(config-if)# ip add 192.168.2.1 255.255.255.0
      ciscoasa(config-if)# no shut
      ciscoasa(config-if)# nameif dmz

      查看路由
      ciscoasa(config-if)# show route
      C    192.168.1.0 255.255.255.0 is directly connected, inside
      C    192.168.2.0 255.255.255.0 is directly connected, dmz
     C    192.168.101.0 255.255.255.0 is directly connected, outside

   注:在ASA防火墙中一定要配置nameif名字,如果不配置的话,这个端口就不能启动,在配置名字的时候,不同的名字可以有不同的优先级,内网inside是一个系统自带的值,只可配置在内网的端口上,并且它的优先级是100,属于最高的级别,而另外的一些优先级都是0,在优先级高的区域访问优先级低的区域的时候,可以直接做snat就可以通信,而优先级低的访问优先级低的区域的时候,做dnat的同时,还要做访问控制列表。
三.内网访问外网
ciscoasa(config-if)# exit
ciscoasa(config)# global (outside) 1 interface                        //指定snat使用的外网接口为nameif为outside的端口
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0             /指定内网的网段
测试
我们使用的192.168.101.0做为外网的网段,但是在测试的时候,不能使用ping命令测试,因为在默认情况下防火墙是把ping作为一种攻击手段给拒绝掉的。我现在在192.168.101.105上做了一个RDP服务器,可以进行测试

       

图片:20130114011718779.jpg



图片:20130114011718841.jpg



可以测试成功

四.内网访问DMZ服务器
基于前面的设置,我们只需要再做一条指令指明dmz区域即可
   ciscoasa(config)# global (dmz) 1 interface
测试一下访问DMZ中的www服务器

图片:20130114011719334.jpg



五.DMZ中服务器发布
RDP服务器发布
ciscoasa(config)# int eth0/2  
ciscoasa(config-if)# security-level 50        //修改DMZ区域的优先级大于outside区域

ciscoasa(config)# static (dmz,outside) tcp interface 3389 192.168.2.2 3389     //创建dmz与outside的dnat  RDP服务
ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 3389   //创建访问控制列表,允许外网访问outside端口
ciscoasa(config)# access-group 100 in interface outside                       //在outside端口上应用访问控制列表

测试

图片:20130114011719870.jpg



www服务器发布
ciscoasa(config)# static (dmz,outside) tcp interface www 192.168.2.2 www
ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 80
ciscoasa(config)# access-group 100 in interface outside
测试

图片:20130114011719403.jpg
喜欢0 评分0
淘宝天猫隐藏优惠券地址
回复
luke2fly
luke2fly
侠客
侠客
  • 注册日期2013-01-01
  • 发帖数40
  • QQ1113263989
  • 火币65枚
  • 粉丝27
  • 关注7
写私信 打招呼
沙发#
发布于:2013-01-15 13:28
看不见呀
回复(0) 喜欢(0)     评分
游客

Powered by atcpu.com ©2008-2021

灯火互联网 蜀ICP备13028548号

手机认证个人空间个人相册音乐电台音乐畅听网站终身会员手机吉凶在线YY百宝箱
返回顶部