码迷,mamicode.com
首页 > 其他好文 > 详细

asa防火墙的应用

时间:2018-01-31 00:49:43      阅读:209      评论:0      收藏:0      [点我收藏+]

标签:路由表   images   匹配   roc   sid   设置   ftp服务器   技术分享   2.0   

  • 实验名称:防火墙的应用

  • 实验拓步图:

  •                    技术分享图片

    3.实验目的:1.       client2 可以访问server3 

                        2.使用命令show conn  detail  查看 conn表状态

                        3.分别查看ASA  和 AR的路由表

                        4. 配置ACL禁止client5访问server1

    4.配置思路 : 

                         # 首先创建三个区域,分别是  内网,外网,DMAZ区 ,然后配置各个区域的服务器,最后设置acl权限


     5.   操作步骤 : 


                          # 首先配置各个区域的终端ip地址 

                              # 配置outside区域 : 

                                       配置  client2 ,server4 ,server1的ip 地址 

                                         ip address  192.168.8.2  255.255.255.0

                                             gateway  192.168.8.254                                          //server4 ftp 的配置

                                      ip address  192.168.8.1  255.255.255.0  

                                                 gateway 192.168.8.254 255.255.255.0         //client2的配置 

                                         ip address  192.168.8.100 255.255.255.0 

                                                 gateway  192.168.8.254           //server1 web的配置     

                 #配置DMAZ区域 

               # 配置server3 ,client5的ip 地址


                                 ip address 192.168.30.1 255.255.255.0 

                                   gateway  192.168.30.254  // client5的配置

                       

                               ip address  192.168.30.100 255.255.255.0 

                                   gateway 192.168.30.254  //server 3 的ip地址   


    #   配置 inside区域 

                          # 配置server2 client1的ip 地址 

                                 ip address 10.1.1.1 255.255.255.0 

                                    gateway  10.1.1.254         //server2 de ip 地址

                                  ip address 10.2.2.1  255.255.255.0

                                    gateway 10.2.2.254 // client 1的ip地址


    # 给防火墙各个端口配置ip地址 


                       #  interface g 0

                              nameif inside 

                                ip address 192.168.1.254  255.255.255.0

                                   no shutdow 

                          interface g 1

                           nameif outside 

                              ip address  192.168.8.254 255.255.255.0 

                                 no shutdown 

                         interface DMAZ 区 

                                 interface g 2 

                                    nameif  DMAZ  

                                     security-level 50 

                                        ip address  192.168.30.254 255.255.255.0 

                                               no shutdown 

                   #在防火墙asa上配置acl 使 client 2可以访问 server 2 ---web服务器 


                       access list 1 permit tcp any host 192.168.30.100 eq 80 

                       access-group 1 in interface outside // 默认防火墙的内网安全等级为100 ,外网为0   


                      如下图所示 :   证明 client2 已经可以访问web服务器

                             技术分享图片

                            

           

       #   接下来在AR1上配置ip地址,以及路由,并且在防火墙上配置去往内网的路由   


               inteface g0/0/0 

                    ip address 10.1.1.1.254 255.255.255.0

                            undo shutdown 

                interface g0/0/1

                    ip address 10.2.2.254 255.255.255.0  

                          undo shutdown 

                    interface g0/0/2 

                       ip address 192.168.1.1 255.255.255.0

                          undo shutdown 

                  ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 //去往外网的路由


               #在防火墙asa上配置去往内网的路由

                  route inside 10.1.1.0 255.255.255.0 192.168.1.1 

                  route inside 10.2.2.0 255.255.255.0 192.168.1.1   

       

                # 测试,如图所示 : 可以访问外网ftp服务器 

                           技术分享图片



    # 接下来可以查看 show conn detail  


             技术分享图片


    # 再到路由器上查看路由,并且到asa防火墙上查看路由,如下图所示


       技术分享图片


    技术分享图片


    # 最后配置acl使clietn 不能访问web --server1 

    access-list  2 deny tcp any host 192.168.8.100 eq 80  

    access-group 2 in interface DMAZ //在dmaz端口调用


    如下图所示,表示测试成功 

       技术分享图片



    总结 :防火墙的工作过程 :


                      默认是内网的安全等级高,外网的安全等级低,所以内网可以访问外网,而外网访问不了内网, 

                          举个简单的例子 :

                                  假如外网有一个web服务器,它默认内网是可以访问的,因为它是匹配了80端口,所以也可以回来,因此才会产生一个conn 状态表

                                     ,如果是Ping流量的话,它默认没有开启的,它是有出去的包,但是没有回来的包,要是能回来,只能写acl放行


    ___________________________________________________________________________________________________________________________________________


         end



                                        

       

     

                                          


                                             







    asa防火墙的应用

    标签:路由表   images   匹配   roc   sid   设置   ftp服务器   技术分享   2.0   

    原文地址:http://blog.51cto.com/11332405/2067085

    (0)
    (0)
       
    举报
    评论 一句话评论(0
    登录后才能评论!
    © 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
    迷上了代码!