Cisco ASA 防火墙基本配置

发表于 | 分类于
字数统计: 934 | 阅读时长 ≈ 4

1、实验目的

熟悉 ASA 基本配置

2、实验环境和需求

在WEB上建立站点www.benet.com.,在Out上建立站点www.out.com,并配置DNS服务,
负责解析www.benet.com(202.0.0.253/29)和www.out.com(IP为 202.2.2.1),PC1 的DNS
指向 200.2.2.1
只能从 PC1 通过 SSH 访问 ASA
从 PC1 可以访问 outside 和 dmz 区的网站,从 Out 主机可以访问 DMZ 区的 Web 站点
从 PC1 可以 ping 通 Out 主

3、实验拓扑图

4、配置步骤

4.1 路由器配置

1
2
3
4
5
6
7
8
9
int f1/0
ip add 200.0.0.1 255.255.255.252
no sh
int f0/0
ip add 200.2.2.254 255.255.255.0
no sh
exit
ip route 0.0.0.0 0.0.0.0 200.0.0.2
end

4.2 ASA 基本属性配置

4.2.1 接口配置

1
2
3
4
5
Interface E 0/0
Ip address 192.168.0.254 255.255.255.0
Nameif inside //设置内接口名字
Security-level 100 //设置内接口安全级别
No shutdown
1
2
3
4
5
Interface E 0/1
Ip add 192.168.1.254 255.255.255.0
Nameif dmz //设置接口为 DMZ
Security-level 50 //设置 DMZ 接口的安全级别
No shutdown
1
2
3
4
5
Interface E 0/2
Ip address 200.0.0.2 255.255.255.252
Nameif outside //设置外接口名字
Security-level 0 //设置外接口安全级别
No shutdown

4.2.2 ASA 路由配置:静态路由方式

1
(config)# Route outside 0.0.0.0 0.0.0.0 200.0.0.1

4.2.3 从 PC1 上可以 PING 通 通 OUT 主机

默认情况下不允许 ICMP 流量穿过,从内 Ping 外网是不通的,因为 ICMP 应答的报文
返回时不能穿越防火墙,可以配置允许几种报文通过,

1
2
(Config)# Access-list 111 permit icmp any any
(config)# Access-group 111 in interface outside

此时在 PC1 上就可台 PING 通 OUT 主机了。
测试时允许,在工程中测试完以后关闭。

4.3 只能通过 PC1 telnet 或 或 SSH 访问 ASA

4.3.1 telnet 的密码配置

1
Passwd benet

4.3.2 特权模式密码

1
Enable password 1234

telnet

1
2
3
4
5
telnet 0 0 inside //允许来自内网的所有用户 telnet 登录,外网拒绝
telnet 192.168.0.0 255.255.255.255 inside //只允许这台机 telnet 登录
passwd 1234 //telnet 登录密码
who //查哪些用户已登录
kill //**断开连接的用户**

SSH

1
2
3
4
5
6
Domain-name xjld.com //配置域名,在生成密钥时要用到
Crypto key generate rsa modulus 1024
Ssh 192.168.0.0 255.255.255.0 inside
Show ssh
测试:
在 PC1 开 SecureCRT.exe 测试,默认用户名 pix

4.4 从 PC1 可以访问 ouside 和 和 DMZ 的网站,从 OUT 可能访问 DMZ 的网站

4.4.1 从 PC1 上就可以访问 Outside 和 dmz 区的网站

1
2
3
4
5
(Config)# Nat-control
(Config)# Nat (inside) 1 0 0 //内接口所有参与地址转换
(Config)# Global (outside) 1 interface //转换成外接口的 IP
(config)# global (dmz) 1 192.168.1.100-192.168.1.110
(config)# show xlate //查看转换条目

4.4.2 从外网 OUT 主机访问 DMZ 中 WEB 服务器

1
2
3
(config)# static (dmz,outside) 200.0.0.253 192.168.1.1
(Config)#access-list 111 permit tcp any host 200.0.0.253 eq www
(config)#access-group 111 in int outside

4.4.3 测试

1) 在内部访问外部 OUT 主机 WEB 服务。
2) 在外部 OUT 主机通过 IP 200.0.0.253 访问 DMZ 中 192.168.1.1 的 WEB 服务。

注意啦:
如果只有 ASA 外接口一个公网 IP,发布 DMZ 服务器 NAT 方式如下:

这样在外网通过访问 ASA 外接口 80 端口可以访问 192.168.1.1WEB 服务。

1
2
3
(config)# static (dmz,outside) tcp int 80 192.168.1.1 80
(Config)#access-list 111 permit tcp any int outside eq www
(config)#access-group 111 in int outside

这样在外网通过访问 ASA 外接口 80 端口可以访问 192.168.1.1WEB 服务。

-------------本文结束感谢您的阅读-------------
分享到: 收藏夹 复制网址 邮件 微信 QQ空间 腾讯微博 豆瓣 一键分享 更多