asa防火墙的应用-创新互联

  1. 实验名称:防火墙的应用

    创新互联专业提供遂宁服务器托管服务,为用户提供五星数据中心、电信、双线接入解决方案,用户可自行在线购买遂宁服务器托管服务,并享受7*24小时金牌售后服务。
  2. 实验拓步图:

          asa防火墙的应用

3.实验目的:1.    client2 可以访问server3

          2.使用命令show conn detail 查看 conn表状态

          3.分别查看ASA 和 AR的路由表

          4. 配置ACL禁止client5访问server1

4.配置思路 :

           # 首先创建三个区域,分别是 内网,外网,DMAZ区 ,然后配置各个区域的服务器,最后设置acl权限

 5.  操作步骤 :

           # 首先配置各个区域的终端ip地址

             # 配置outside区域 :

                  配置 client2 ,server4 ,server1的ip 地址

                   ip address 192.168.8.2 255.255.255.0

                     gateway 192.168.8.254                     //server4 ftp 的配置

                 ip address 192.168.8.1 255.255.255.0

                       gateway 192.168.8.254 255.255.255.0     //client2的配置

                   ip address 192.168.8.100 255.255.255.0

                       gateway 192.168.8.254      //server1 web的配置

       #配置DMAZ区域 

# 配置server3 ,client5的ip 地址

               ip address 192.168.30.1 255.255.255.0

                gateway 192.168.30.254 // client5的配置

              ip address 192.168.30.100 255.255.255.0

                gateway 192.168.30.254 //server 3 的ip地址

#  配置 inside区域

           # 配置server2 client1的ip 地址

               ip address 10.1.1.1 255.255.255.0

                gateway 10.1.1.254     //server2 de ip 地址

               ip address 10.2.2.1 255.255.255.0

                gateway 10.2.2.254 // client 1的ip地址

# 给防火墙各个端口配置ip地址

          # interface g 0

             nameif inside

              ip address 192.168.1.254 255.255.255.0

                no shutdow

           interface g 1

            nameif outside

             ip address 192.168.8.254 255.255.255.0

               no shutdown

           interface DMAZ 区

               interface g 2

                nameif DMAZ

                 security-level 50

                  ip address 192.168.30.254 255.255.255.0

                      no shutdown

        #在防火墙asa上配置acl 使 client 2可以访问 server 2 ---web服务器

          access list 1 permit tcp any host 192.168.30.100 eq 80

          access-group 1 in interface outside // 默认防火墙的内网安全等级为100 ,外网为0

         如下图所示 :  证明 client2 已经可以访问web服务器

             asa防火墙的应用

  #  接下来在AR1上配置ip地址,以及路由,并且在防火墙上配置去往内网的路由

      inteface g0/0/0

        ip address 10.1.1.1.254 255.255.255.0

            undo shutdown

      interface g0/0/1

        ip address 10.2.2.254 255.255.255.0

           undo shutdown

        interface g0/0/2

          ip address 192.168.1.1 255.255.255.0

           undo shutdown

       ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 //去往外网的路由

      #在防火墙asa上配置去往内网的路由

       route inside 10.1.1.0 255.255.255.0 192.168.1.1

       route inside 10.2.2.0 255.255.255.0 192.168.1.1

      # 测试,如图所示 : 可以访问外网ftp服务器

            asa防火墙的应用

# 接下来可以查看 show conn detail

     asa防火墙的应用

# 再到路由器上查看路由,并且到asa防火墙上查看路由,如下图所示

  asa防火墙的应用

asa防火墙的应用

# 最后配置acl使clietn 不能访问web --server1

access-list  2 deny tcp any host 192.168.8.100 eq 80

access-group 2 in interface DMAZ //在dmaz端口调用

如下图所示,表示测试成功

  asa防火墙的应用

总结 :防火墙的工作过程 :

         默认是内网的安全等级高,外网的安全等级低,所以内网可以访问外网,而外网访问不了内网,

           举个简单的例子 :

               假如外网有一个web服务器,它默认内网是可以访问的,防火墙默认拦截所有流量,存入 conn状态表中,回来时,因为它是匹配了80端口,所以才可以回来

                 ,如果是Ping流量的话,它默认没有开启的,它是有出去的包,但是没有回来的包,要是能回来,只能写acl放行

___________________________________________________________________________________________________________________________________________


   end

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


文章标题:asa防火墙的应用-创新互联
浏览地址:http://pwwzsj.com/article/gejii.html