cisco防火墻asa
cisco思科是全球領(lǐng)先的大品牌,相信很多人也不陌生,那么你知道cisco防火墻asa嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于cisco防火墻asa的相關(guān)資料,供你參考。
cisco防火墻asa的配置方法:
拓?fù)鋱D
要求:通過思科防火墻ASA使用內(nèi)網(wǎng)用戶可以-與DMZ中的服務(wù)器,DMZ中的服務(wù)器可以發(fā)布到網(wǎng)絡(luò)中,供外網(wǎng)用戶訪問
一.思科模擬防火墻的使用
因?yàn)槲覀儧]有真實(shí)的設(shè)備,所以我們使用一個使用linux內(nèi)核的虛擬系統(tǒng)來模擬思科的防火墻,模擬防火墻可以自己下載,在使用時我們還要使用一個軟件來連接這個模擬防火墻:nptp.ext。
首先,我們打開ASA防火墻虛擬機(jī),再安裝nptp.exe軟件
打開nptp,點(diǎn)擊”Edit”新建一個連接,參數(shù)可如下
使用連接工具進(jìn)行連接
連接成功
二.IP地址配置
外網(wǎng)IP配置
ciscoasa> enable
Password:
ciscoasa# conf t
ciscoasa(config)# int eth0/0
ciscoasa(config-if)# ip add 192.168.101.150 255.255.255.0 //外網(wǎng)ip
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif outside //外網(wǎng)名,一定要配置
內(nèi)網(wǎng)IP配置
ciscoasa(config-if)# int eth0/1
ciscoasa(config-if)# ip add 192.168.1.1 255.255.255.0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif inside
DMZ IP配置
ciscoasa(config-if)# int eth0/2
ciscoasa(config-if)# ip add 192.168.2.1 255.255.255.0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif dmz
查看路由
ciscoasa(config-if)# show route
C 192.168.1.0 255.255.255.0 is directly connected, inside
C 192.168.2.0 255.255.255.0 is directly connected, dmz
C 192.168.101.0 255.255.255.0 is directly connected, outside
注:在ASA防火墻中一定要配置nameif名字,如果不配置的話,這個端口就不能啟動,在配置名字的時候,不同的名字可以有不同的優(yōu)先級,內(nèi)網(wǎng)inside是一個系統(tǒng)自帶的值,只可配置在內(nèi)網(wǎng)的端口上,并且它的優(yōu)先級是100,屬于最高的級別,而另外的一些優(yōu)先級都是0,在優(yōu)先級高的區(qū)域訪問優(yōu)先級低的區(qū)域的時候,可以直接做snat就可以通信,而優(yōu)先級低的訪問優(yōu)先級低的區(qū)域的時候,做dnat的同時,還要做訪問控制列表。
三.內(nèi)網(wǎng)
-ciscoasa(config-if)# exit
ciscoasa(config)# global (outside) 1 interface //指定snat使用的外網(wǎng)接口為nameif為outside的端口
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0 /指定內(nèi)網(wǎng)的網(wǎng)段
測試
我們使用的192.168.101.0做為外網(wǎng)的網(wǎng)段,但是在測試的時候,不能使用ping命令測試,因?yàn)樵谀J(rèn)情況下防火墻是把ping作為一種攻擊手段給拒絕掉的。我現(xiàn)在在192.168.101.105上做了一個RDP服務(wù)器,可以進(jìn)行測試
可以測試成功
四.內(nèi)網(wǎng)訪問DMZ服務(wù)器
基于前面的設(shè)置,我們只需要再做一條指令指明dmz區(qū)域即可
ciscoasa(config)# global (dmz) 1 interface
測試一下訪問DMZ中的www服務(wù)器
五.DMZ中服務(wù)器發(fā)布
RDP服務(wù)器發(fā)布
ciscoasa(config)# int eth0/2
ciscoasa(config-if)# security-level 50 //修改DMZ區(qū)域的優(yōu)先級大于outside區(qū)域
ciscoasa(config)# static (dmz,outside) tcp interface 3389 192.168.2.2 3389 //創(chuàng)建dmz與outside的dnat RDP服務(wù)
ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 3389 //創(chuàng)建訪問控制列表,允許訪問outside端口
ciscoasa(config)# access-group 100 in interface outside //在outside端口上應(yīng)用訪問控制列表
測試
www服務(wù)器發(fā)布
ciscoasa(config)# static (dmz,outside) tcp interface www 192.168.2.2 www
ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 80
ciscoasa(config)# access-group 100 in interface outside
測試
看過文章“cisco防火墻asa”的人還看了: