CISCO-ASA防火墙配置实验

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

CISCOASA防火墙配置实验ASA模拟器并不像DynamipsGUI软件那样界面友好、操作方便,若要将ASA防火墙和路由器进行连接构建网络拓扑就需要分别编辑ASA模拟器和路由器的批处理文件才能完成,这就使得简单的网络拓扑搭建变得比较复杂。下面是实验环境拓扑以及搭建步骤:PC1(本地主机)--VMNET1----ASAE0/0WEB(VMwaerWIN2003虚拟主机)---VMNET2-----ASAE0/1ISP---VMNET3-----ASAE0/2一、安装VMware,启动虚拟网络管理器,选择hostvirtualadapters,添加VMnet2vmnet3虚拟网卡,如下图。二打开ASA实验机架下setup目录,运行“获取网卡参数.cmd文件获取三块VMware网卡参数,建议先开启一块VMware虚拟网卡关闭其它虚拟网卡,获取参数后再开启第二块,以此类推......避免虚拟网卡与参数对应出错。三、1桥接防火墙的各个接口,编辑“启动ASA防火墙.bat文件,将获取的网卡参数粘贴到如下位置:2桥接ISP路由器,编辑ISP目录下router1.bat文件,将上图第三行网卡参数替换到如下位置:T96100-FE-s0:0:gen_eth:\Device\NPF_{A9D211C2-5ABD-4F47-9BC0-D3F722CB36CC}..\unzip-c2691-advsecurityk9-mz.124四、双击“开启ASA防火墙.bat开启ISP.bat文件。运行命令”telnet127.0.0.14000登陆ASA运行命令“telnet127.0.0.14001登陆ISP路由器。五.1)ASA基本配置:配置接口名字,接口安全级别,接口IP地址conftinte0/0nameifinsideipadd192.168.0.254255.255.255.0security-level100noshutinte0/1nameifdmzipadd192.168.1.254255.255.255.0security-level50noshutinte0/2nameifoutsideipadd200.0.0.2255.255.255.252security-level0noshutshintipb查看接口状态shrun|binter查看接口配置参数enablepasswordccna特权密码安全级别的范围为0-100,值越大,安全级别越高。高级别区域可以访问低级别区域,反过来低级别区域禁止访问高级别区域,一般情况,都将inside的安全级别设置为最高(100),将outside设置为最低,这点毋庸置疑。但是为什么一般用于方式服务器的DMZ区的安全级别要在两者之间呢?错误的观点认为,DMZ放置的服务器资源非常重要(至少比客户端重要),所以它的安全级别应该最高。首先并不是所有的服务器需要放置在DMZ区,例如公司内部某部门内部使用的,或公司内部使用的服务器就不应放置在DMZ区;一般都会把需要外网访问的服务器放置在DMZ(分公司通过外网访问也算),这时就必须开放某些端口以提供访问,这就会降低安全性,相对来说更容易被入侵;如果将服务器放置在最高级别,一旦服务器被入侵,黑客将获得整个网络的访问权限。这是一种安全的设计理念,只是从可能性方面分析网络设计的合理性。DMZ区域可能不只一个,例如有一个DMZ是供分公司访问的,另外一个是供公网用户访问的,它们的安全级别自然不同,谁高谁低取决于谁更可信,一般来说,分公司要比公网用户更可信,所以分公司的DMZ的安全级别就会高于外网DMZ。2)配置ISP路由器:enconfthostnameISPintf0/0ipadd200.0.0.1255.255.255.252noshutiproute0.0.0.00.0.0.0200.0.0.23)启动VMwarewin2003系统,桥接网卡到VMNET2,配置IP地址192.168.1.1网关192.168.1.254配置本地主机IP192.168.0.1网关192.168.0.254测试:在ASA防火墙分别pingPC1、WEB、ISP接口IP.如果不通依次检测各个设备接口状态,IP地址掩码等参数是否正确,最后检查ASA接口桥接到虚拟网卡参数对应是否正确。在PC1分别PINGWEBISP是否通过?默认情况下,禁止ICMP报文穿越ASA防火墙,这是基于安全性的考虑。4)为便于测试配置ACL,允许ICMP的ECHO-RELYunreachabletime-exceeded信息从外网到内网。access-list101permiticmpanyanyecho-replyaccess-list101permiticmpanyanyunreachableaccess-list101permiticmpanyanytime-exceededaccess-group101inintoutside在PC1再次pingISP接口ping200.0.0.15)在PC1和WEB开启IIS服务,在PC1浏览器地址栏分别输入192.168.1.1、200.0.0.1证明可以从内网访问外面ISP和DMZ区域,反过来在WEB主机浏览PC1失败说明高级别区域可以访问低级别区域,低级别区域禁止访问高级别区域。六配置动态NAT首先配置默认路由routeoutside00200.0.0.1转换内部所有主机复用ASAoutside接口地址执行PATnat(inside)100global(outside)1interface测试:在ISP创建LOOP接口,设置任意IP地址在PC1都可以PING通。7)配置静态NAT,保证在公网可以访问位于DMZ区域WEB服务器。将ASAoutside接口80端口映射到DMZ中WEB的80端口。static(dmz,outside)200.0.0.5192.168.1.1由于外网比DMZ区域有更低的安全级别,所以必须配置访问列表开放必要的端口access-list101pertcpany200.0.0.5eq80便于测试允许ICMPecho信息进入access-list101perICMPany200.0.0.5echo测试:在ISPPING200.0.0.5七配置远程管理接入1)配置允许telnet接入telnet192.168.0.1255.255.255.255insidepasswdcisco2)配置允许SSH接入SSH需要主机名和域名产生密钥对hostnameasa802domain-nameasa.comcryptokeygeneratersamodulus1024ssh00outsidessh00inside在ISP执行:ssh-lpix200.0.0.2

1 / 6
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功