思科防火墙ASA配置案例

本文涉及的产品
云防火墙,500元 1000GB
公网NAT网关,每月750个小时 15CU
简介:

                   思科防火墙ASA配置案例 

拓扑图

要求:通过思科防火墙ASA使用内网用户可以访问外网与DMZ中的服务器,DMZ中的服务器可以发布到网络中,供外网用户访问

一.思科模拟防火墙的使用

因为我们没有真实的设备,所以我们使用一个使用linux内核的虚拟系统来模拟思科的防火墙,模拟防火墙可以自己下载,在使用时我们还要使用一个软件来连接这个模拟防火墙:nptp.ext

首先,我们打开ASA防火墙虚拟机,再安装nptp.exe软件

打开nptp,点击Edit新建一个连接,参数可如下

         

          

 

  使用连接工具进行连接

    

连接成功

二.IP地址配置

      外网IP配置

      ciscoasa> enable

      Password:   

      ciscoasa# conf t

      ciscoasa(config)# int eth0/0

      ciscoasa(config-if)# ip add 192.168.101.150 255.255.255.0      //外网ip

      ciscoasa(config-if)# no shut

      ciscoasa(config-if)# nameif outside                        //外网名,一定要配置

      内网IP配置

      ciscoasa(config-if)# int eth0/1

      ciscoasa(config-if)# ip add 192.168.1.1 255.255.255.0

      ciscoasa(config-if)# no shut

      ciscoasa(config-if)# nameif inside

     

       DMZ  IP配置

       ciscoasa(config-if)# int eth0/2

       ciscoasa(config-if)# ip add 192.168.2.1 255.255.255.0

       ciscoasa(config-if)# no shut

       ciscoasa(config-if)# nameif dmz

  

       查看路由

       ciscoasa(config-if)# show route

       C    192.168.1.0 255.255.255.0 is directly connected, inside

       C    192.168.2.0 255.255.255.0 is directly connected, dmz

      C    192.168.101.0 255.255.255.0 is directly connected, outside

    注:在ASA防火墙中一定要配置nameif名字,如果不配置的话,这个端口就不能启动,在配置名字的时候,不同的名字可以有不同的优先级,内网inside是一个系统自带的值,只可配置在内网的端口上,并且它的优先级是100,属于最高的级别,而另外的一些优先级都是0,在优先级高的区域访问优先级低的区域的时候,可以直接做snat就可以通信,而优先级低的访问优先级低的区域的时候,做dnat的同时,还要做访问控制列表。

三.内网访问外网

ciscoasa(config-if)# exit

ciscoasa(config)# global (outside) 1 interface                        //指定snat使用的外网接口为nameifoutside的端口

ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0             /指定内网的网段

测试

我们使用的192.168.101.0做为外网的网段,但是在测试的时候,不能使用ping命令测试,因为在默认情况下防火墙是把ping作为一种攻击手段给拒绝掉的。我现在在192.168.101.105上做了一个RDP服务器,可以进行测试

          

可以测试成功

四.内网访问DMZ服务器

基于前面的设置,我们只需要再做一条指令指明dmz区域即可

    ciscoasa(config)# global (dmz) 1 interface

测试一下访问DMZ中的www服务器

    

五.DMZ中服务器发布

RDP服务器发布

ciscoasa(config)# int eth0/2  

ciscoasa(config-if)# security-level 50        //修改DMZ区域的优先级大于outside区域

ciscoasa(config)# static (dmz,outside) tcp interface 3389 192.168.2.2 3389     //创建dmzoutsidednat  RDP服务

ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 3389   //创建访问控制列表,允许外网访问outside端口

ciscoasa(config)# access-group 100 in interface outside                       //outside端口上应用访问控制列表

 

测试

www服务器发布

ciscoasa(config)# static (dmz,outside) tcp interface www 192.168.2.2 www 

ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 80 

ciscoasa(config)# access-group 100 in interface outside 

测试










本文转自 guodong810 51CTO博客,原文链接:http://blog.51cto.com/guodong810/1117323,如需转载请自行联系原作者
目录
相关文章
|
7月前
|
网络协议 安全 Linux
linux配置防火墙 Centos7下 添加 端口白名单
linux配置防火墙 Centos7下 添加 端口白名单
1055 0
|
24天前
|
运维 安全 Linux
全面提升系统安全:禁用不必要服务、更新安全补丁、配置防火墙规则的实战指南
全面提升系统安全:禁用不必要服务、更新安全补丁、配置防火墙规则的实战指南
46 12
|
2月前
|
网络协议 Ubuntu 网络安全
|
3月前
|
运维 监控 安全
网络管理:防火墙和安全组配置详解
网络管理:防火墙和安全组配置详解
110 1
|
4月前
|
安全 网络安全 数据安全/隐私保护
手把手教你用eNSP模拟器配置防火墙源NAT
手把手教你用eNSP模拟器配置防火墙源NAT
459 4
|
4月前
|
监控 安全 网络安全
防火墙配置与管理技巧深度解析
【8月更文挑战第19天】防火墙的配置与管理是网络安全工作的重中之重。通过明确安全策略、精细的访问控制、日志与监控、更新与维护等配置技巧,以及权限管理、自动化与集成、应急响应计划等管理技巧,可以显著提升防火墙的安全防护能力。然而,网络安全是一个持续的过程,需要不断学习和适应新的威胁和挑战。因此,建议网络安全从业人员保持对新技术和新威胁的关注,不断提升自己的专业技能和应对能力。
|
4月前
|
网络安全
如何用HCL模拟器配置防火墙IRF?
如何用HCL模拟器配置防火墙IRF?
129 2
|
4月前
|
网络协议 Ubuntu 安全
在Ubuntu上安装和配置配置服务器防火墙(CSF)的方法
在Ubuntu上安装和配置配置服务器防火墙(CSF)的方法
57 1
|
4月前
|
安全 Linux 测试技术
在Linux中,如何配置防火墙和安全规则?
在Linux中,如何配置防火墙和安全规则?
|
4月前
|
前端开发 Linux 网络安全
在Linux中,如何配置防火墙?
在Linux中,如何配置防火墙?