第二章ASA防火墙
实验案例一ASA防火墙基本配置
一、实验目的:
熟悉ASA基本配置
二、实验环境和需求
在WEB上建立站点https://www.doczj.com/doc/4e5346842.html,.,在Out上建立站点https://www.doczj.com/doc/4e5346842.html,,并配置DNS服务,负责解析https://www.doczj.com/doc/4e5346842.html,(202.0.0.253/29)和https://www.doczj.com/doc/4e5346842.html,(IP为202.2.2.1),PC1的DNS 指向200.2.2.1
只能从PC1通过SSH访问ASA
从PC1可以访问outside和dmz区的网站,从Out主机可以访问DMZ区的Web站点从PC1可以ping通Out主
三、实验拓扑图
四、配置步骤
(一)路由器配置
int f1/0
ip add 200.0.0.1 255.255.255.252
no sh
int f0/0
ip add 200.2.2.254 255.255.255.0
no sh
exit
ip route 0.0.0.0 0.0.0.0 200.0.0.2
end
(二) ASA基本属性配置
1、接口配置
Interface E 0/0
Ip address 192.168.0.254 255.255.255.0
Nameif inside //设置内接口名字
Security-level 100 //设置内接口安全级别
No shutdown
Interface E 0/1
Ip add 192.168.1.254 255.255.255.0
Nameif dmz //设置接口为DMZ
Security-level 50 //设置DMZ接口的安全级别
No shutdown
Interface E 0/2
Ip address 200.0.0.2 255.255.255.252
Nameif outside //设置外接口名字
Security-level 0 //设置外接口安全级别
No shutdown
2、ASA路由配置:静态路由方式
(config)#Route outside 0.0.0.0 0.0.0.0 200.0.0.1
3、从PC1上可以PING通OUT主机
默认情况下不允许ICMP流量穿过,从内Ping外网是不通的,因为ICMP应答的报文返回时不能穿越防火墙,可以配置允许几种报文通过,
(Config)# Access-list 111 permit icmp any any
(config)# Access-group 111 in interface outside
此时在PC1上就可台PING通OUT主机了。
测试时允许,在工程中测试完以后关闭。
(二)只能通过PC1 telnet 或SSH访问ASA
1) telnet的密码配置
Passwd benet
2) 特权模式密码
Enable password 1234
1、telnet
telnet 0 0 inside //允许来自内网的所有用户telnet 登录,外网拒绝
telnet 192.168.0.0 255.255.255.255 inside //只允许这台机telnet 登录
passwd 1234 //telnet 登录密码
who //查哪些用户已登录
kill //断开连接的用户
2、SSH
Domain-name https://www.doczj.com/doc/4e5346842.html, //配置域名,在生成密钥时要用到
Crypto key generate rsa modulus 1024
Ssh 192.168.0.0 255.255.255.0 inside
Show ssh
测试:
在PC1开SecureCRT.exe测试,默认用户名pix
(二)从PC1可以访问ouside和DMZ的网站,从OUT可能访问DMZ的网站
1、从PC1上就可以访问Outside 和 dmz区的网站
(Config)# Nat-control
(Config)# Nat (inside) 1 0 0 //内接口所有参与地址转换
(Config)# Global (outside) 1 interface //转换成外接口的IP
(config)# global (dmz) 1 192.168.1.100-192.168.1.110
(config)# show xlate //查看转换条目
2、从外网OUT主机访问DMZ中WEB服务器
(config)# static (dmz,outside) 200.0.0.253 192.168.1.1
(Config)#access-list 111 permit tcp any host 200.0.0.253 eq www
(config)#access-group 111 in int outside
3、测试
1)在内部访问外部OUT主机WEB服务。
2)在外部OUT主机通过IP 200.0.0.253访问DMZ中192.168.1.1的WEB服务。
注意啦:
如果只有ASA外接口一个公网IP,发布DMZ服务器NAT方式如下:(config)# static (dmz,outside) tcp int 80 192.168.1.1 80
(Config)#access-list 111 permit tcp any int outside eq www
(config)#access-group 111 in int outside
这样在外网通过访问ASA外接口80端口可以访问192.168.1.1WEB服务。
实验案例二ASA安全设备的高级应用之URL过滤
一、实验目的:
熟悉ASA安全配置—过滤URL
二、实验环境和需求
1、在WEB上建立站点,配置DNS
2、在ASA上配置过滤特定的URL地
三、实验拓扑图
四、配置步聚
1、基本配置,如案例一
2、在外部服务器上建好WEB站点,并配置DNS新建两个区域
3、在内部PC上测试能通过https://www.doczj.com/doc/4e5346842.html,和https://www.doczj.com/doc/4e5346842.html,访问外部服务器的WEB站点。
4、在ASA上配置过滤*https://www.doczj.com/doc/4e5346842.html,
conf t
access-list tcp_filter2 permit tcp any any eq www
class-map tcp_filter_class2
match access-list tcp_filter2
exit
regex url2 "\.kkgame\.com"
class-map type regex match-any url_class2
match regex url2
exit
class-map type inspect http http_url_class2
match request header host regex class url_class2
exit
policy-map type inspect http http_url_policy2
class http_url_class2
drop-connection log
exit
exit
policy-map inside_http_url_policy
class tcp_filter_class2
inspect http http_url_policy2
exit
exit
service-policy inside_http_url_policy interface inside
4、在内部PC上测试,
5、如果要过滤多个URL地址
conf t
access-list tcp_filter2 permit tcp any any eq www class-map tcp_filter_class2
match access-list tcp_filter2
exit
regex url2 "\.kkgame\.com"
regex url3 "\.gz-benet\.com\.cn"
class-map type regex match-any url_class2
match regex url2
match regex url3
exit
class-map type inspect http http_url_class2
match request header host regex class url_class2 exit
policy-map type inspect http http_url_policy2
class http_url_class2
drop-connection log
exit
exit
policy-map inside_http_url_policy
class tcp_filter_class2
inspect http http_url_policy2
exit
exit
service-policy inside_http_url_policy interface inside
6、在PC上测试,两个地址都不能访问了
实验案例三ASA安全设备的高级应用
一、实验目的:
熟悉ASA安全配置
二、实验环境和需求
1、在WEB上建立站点https://www.doczj.com/doc/4e5346842.html,.,在Out为RH5系统,并安装hping2软件包。
在PC1安装日志服务器软件,安装文件为Kiwi_Syslogd
2、在ASA上配置使用日志服务器
3、测试ASA防泪滴攻击
4、测试防IP分片攻击
5、在ASA上启IDS,防死亡之ping
三、实验拓扑图
四、配置步骤
1、在ASA上配置使用日志服务器。
在pc1上安装日志服务器的软件,如Kiwi_Syslogd_8.3.19_Beta.setup.exe asa802(config)# logging enable
asa802(config)# logging trap informational
asa802(config)# logging host inside 192.168.0.1
如果在ASA上输入如下命令
asa802(config)#int e0/2
asa802(config)#shu
asa802(config)#no shu
在PC1上看到日志如下:
2、测试ASA防御泪滴攻击。
ASA默认配置了基本的威胁检测,它能防御一些基本的威胁
asa802(config)#threat-detection basic-threat
在外部主机PC2上对WEB服务器发起泪滴攻击:
在PC1查看日志,看到teardrop fragment已经被Deny了
在WEB服务器上启用sniffer抓包,没有抓到泪滴攻击的包,说明基本安全威胁配置就可以防泪滴攻击
3、测试防范IP分片攻击。
1) 为了测试,允许外网ping WEB的外部地址200.0.0.253
asa802(config)#access-list out-to-dmz permit icmp any any echo
asa802(config)#access-list out-to-dmz permit icmp any any echo-reply
2) 在外部主机上ping 一个20000字节包,同时在WEB上抓包
在Web抓包看到了分片
3)在ASA上启用如下命令,禁用分片,重复第二步
Asa802(config)#fragment chain 1
在WEB上没有抓到包,在PC1上日志服务器可以看分片被丢弃
4、在ASA上启用IDS功能,防御死亡之ping。
1)配置IDS策略,并应用到inside和outside接口上
(config)# ip audit name inside_ids_info info action alarm
(config)# ip audit name inside_ids_attack attack action alarm
(config)# ip audit name intside_ids_info info action alarm
(config)# ip audit name outside_ids_attack attack action alarm reset
(config)# ip audit interface inside inside_ids_info
(config)# ip audit interface inside inside_ids_attack
(config)# ip audit interface outside outside_ids_info
(config)# ip audit interface outside outside_ids_attack
实验案例四ASA防火墙+ADSL共享上网
一、实验目的:
熟悉ASA通过ADSL连入互联网
二、实验环境和需求
在ASA上ADSL拔入互联网,实现局域网共享上网。
三、实验拓扑图
四、配置步骤
(一) ASA基本属性配置
1、内接口配置
Interface vlan 1
Ip address 192.168.100.1 255.255.255.0
Nameif inside //设置内接口名字
Security-level 100 //设置内接口安全级别
No shutdown
Interface E 0/0
Swithport access vlan 1 //E0/0加入VLAN 1,就是内接口
No shutdown
2、拔号配置
Conf t
Vpdn username 用户名 password 密码
Vpdn group isp1 localname 用户名
vpdn group ISP1 ppp authentication pap
Vpdn group isp1 request dialout pppoe
3、外接口配置
Interface vlan 2
No Ip address
Pppoe client vpdn group isp1
Ip address pppoe setroute
Nameif outside //设置外接口名字
Security-level 0 //设置外接口安全级别
No shutdown
Interface E 0/2
Switchport access vlan 2 //E0/2加入VLAN2,就是外接口
No shutdown
Show ip add outside pppoe //查拔号链路是否已建立(二)配路由
Router ospf 1
Network 192.168.100.0 255.255.255.0 area 0
Default-information originate //重分发默认路由
(二)从PC1可以访问ouside和DMZ的网站,从OUT可能访问DMZ的网站
1、从PC1上就可以访问Outside 和 dmz区的网站
(Config)# Nat-control
(Config)# Nat (inside) 1 0 0 //内接口所有参与地址转换
(Config)# Global (outside) 1 interface //转换成外接口的IP
(config)# show xlate //查看转换条目
李伟阶
QQ: 17533203
2011-11-30
安全级别:0-100 从高安全级别到低安全级别的流量放行的 从低安全到高安全级别流量禁止的 ASA防火墙的特性是基于TCP和UDP链路状态的,会话列表,记录出去的TCP或者UDP 流量,这些流量返回的时候,防火墙是放行的。 ASA防火墙的基本配置 ! interface Ethernet0/0 nameif inside security-level 99 ip address 192.168.1.2 255.255.255.0 ! interface Ethernet0/1 nameif dmz security-level 50 ip address 172.16.1.2 255.255.255.0 ! interface Ethernet0/2 nameif outside security-level 1 ip address 200.1.1.2 255.255.255.0 ciscoasa# show nameif Interface Name Security Ethernet0/0 inside 99 Ethernet0/1 dmz 50 Ethernet0/2 outside 1
2、路由器上配置 配置接口地址 路由--默认、静态 配置VTY 远程登录 R3: interface FastEthernet0/0 ip address 200.1.1.1 255.255.255.0 no shutdown 配置去内网络的路由 ip route 192.168.1.0 255.255.255.0 200.1.1.2配置去DMZ区域的路由 ip route 172.161.0 255.255.255.0 200.1.1.2 配置远程登录VTY R3(config)#line vty 0 2 R3(config-line)#password 666 R3(config-line)#login R2: interface FastEthernet0/0 ip address 172.16.1.1 255.255.255.0 no shutdown 配置默认路由 IP route 0.0.0.0 0.0.0.0 172.16.1.2 配置远程登录VTY R3(config)#line vty 0 2 R3(config-line)#password 666 R3(config-line)#login R2: interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 no shutdown 配置默认路由 IP route 0.0.0.0 0.0.0.0 192.168.1.2 配置远程登录VTY R3(config)#line vty 0 2 R3(config-line)#password 666
Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS
Cisco ASA 5500不同安全级别区域实现互访实验 一、 网络拓扑 二、 实验环境 ASA 防火墙eth0接口定义为outside 区,Security-Level:0,接Router F0/0;ASA 防火墙eth1接口定义为insdie 区,Security-Level:100,接Switch 的上联口;ASA 防火墙Eth2接口定义为DMZ 区,Security-Level:60,接Mail Server 。 三、 实验目的 实现inside 区域能够访问outside ,即Switch 能够ping 通Router 的F0/0(202.100.10.2);dmz 区能够访问outside ,即Mail Server 能够ping 通Router 的F0/0(202.100.10.2); outside 能够访问insdie 区的Web Server 的http 端口(80)和dmz 区的Mail Server 的pop3端口(110)、smtp 端口(25). 最新【 2009 C C I E R S L a b (160,N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视 频 Q Q :986942623 C C I E s e r v i c e 提供
四、 详细配置步骤 1、端口配置 CiscoASA(config)# interface ethernet 0 CiscoASA(config)#nameif ouside CiscoASA(config-if)# security-level 0 CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 1 CiscoASA(config)#nameif inside CiscoASA(config-if)# security-level 100 CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 2 CiscoASA(config)#nameif dmz CiscoASA(config-if)# security-level 50 CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0 CiscoASA(config-if)# no shut 2、路由配置 CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由 CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由 3、定义高安全接口区域需要进行地址转换的IP 范围CiscoASA(config)# nat (inside) 1 0 0 CiscoASA(config)# nat (dmz) 1 0 0 4、定义低安全接口区域用于高安全接口区域进行IP 转换的地址范围CiscoASA(config)# global (outside) 1 interface CiscoASA(config)# global (dmz) 1 interface 5、定义静态IP 映射(也称一对一映射)CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255 #实现从outside 区访问inside 区10.1.1.1的80端口时,就直接访问10.1.1.1:80 对outside 区的映射202.100.10.1:80 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的110时,就直接访问172.16.1.2:110 对outside 区的映射202.100.10.1:110 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的25时,就直接访问172.16.1.2:25 对outside 区的映射202.100.10.1:25 6、定义access-list CiscoASA(config)# access-list 101 extended permit ip any any CiscoASA(config)# access-list 101 extended permit icmp any any CiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq www CiscoASA(config)# access-list 102 extended permit icmp any any CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3 CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp 最新【 2009 C C I E R S L a b (160,N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视频 Q Q :986942623 C C I E s e r v i c e 提供
CISCO ASA防火墙ASDM安装和配置 准备工作: 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口,通过开始——>程序——> 附件——>通讯——>超级终端 输入一个连接名,比如“ASA”,单击确定。 选择连接时使用的COM口,单击确定。 点击还原为默认值。 点击确定以后就可能用串口来配置防火墙了。 在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。 在串口下输入以下命令: ciscoasa> ciscoasa> en Password: ciscoasa# conf t 进入全局模式 ciscoasa(config)# webvpn 进入WEBVPN模式 ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口 ciscoasa(config-if)# ip address 192.168.4.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字 ciscoasa(config-if)# no shutdown 激活接口 ciscoasa(config)#q 退出管理接口 ciscoasa(config)# http server enable 开启HTTP服务 ciscoasa(config)# http 192.168.4.0 255.255.255.0 guanli 在管理口设置可管理的IP 地址 ciscoasa(config)# show run 查看一下配置 ciscoasa(config)# wr m 保存 经过以上配置就可以用ASDM配置防火墙了。 首先用交叉线把电脑和防火墙的管理口相连,把电脑设成和管理口段的IP地址,本例中设为192.168.4.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.4.1 弹出一下安全证书对话框,单击“是” 输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“确定”。出现也下对话框,点击“Download ASDM Launcher and Start ASDM”开始安装ASDM管理器,安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上Java 版本),进入https://www.doczj.com/doc/4e5346842.html,下载安装,安装完后点击下面的“R un ASDM as a Java Applet ”。 出现以下对话框,点击“是”。 出现以下对话框,输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“是”。 出现以下对话框,点击“是”。 进入ASDM管理器。 这样就可以通过ASDM来配置防火墙了。 以后就可以直接使用ASDM来管理防火墙了。
一、基本配置 #hostname name //名字的设置 #interface gigabitethernet0/0 //进入接口0/0 #nameif outside //配置接口名为outside #security-level 0 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown #interface ethernet0/1 //进入接口0/1 #nameif inside //配置接口名为inside #security-level 100 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 192.168.10.1 255.255.255.0 //设置ip地址 #duplex full //全双工 #speed 100 //速率 #no shutdown #interface ethernet0/2 //进入接口0/2 #nameif dmz //配置接口名为dmz #security-level 50 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址 #no shutdown #interface Management0/0 //进入管理接口 # nameif guanli //接口名 # security-level 100 //安全级别 #ip address 192.168.1.1 255.255.255.0 //IP地址 注意:security-level 配置安全级别。默认外网接口为0/0 安全级别默认为0 内网接口为0/1 安全级别默认为100 dmz 接口为0/2 安全级别默认为50 默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令: #same-security-traffic permit interface //允许相同安全级别接口之间互相通信。 较高安全接口访问较低安全接口:允许所有基于IP的数据流通过,除非有ACL访问控制列表,认证或授权的限制。 较低安全接口访问较高安全接口:除非有conduit或acl进行明确的许可,否则丢弃所有的数据包。
Cisco ASA5520防火墙配置 前言 ●主要从防火墙穿越的角度,描述Cisco ASA5520防火墙的配置 ●对Pix ASA系列防火墙配置具有参考意义 内容 ●防火墙与NAT介绍 ●基本介绍 ●基本配置 ●高级配置 ●其它 ●案例 防火墙与NAT介绍 ●防火墙 门卫 ●NAT 过道 ●区别 两者可以分别使用 Windows有个人防火墙 Windows有Internet Connect sharing服务 一般防火墙产品,同时带有NAT 基本介绍 ●配置连接 ●工作模式 ●常用命令 ●ASA5520介绍 配置连接 ●初次连接 使用超级终端登陆Console口 Cicso的波特率设置为9600 ●Telnet连接 默认不打开,在使用Console配置后,可以选择开启 开启命令:telnet ip_addressnetmaskif_name 连接命令:telnet 192.168.1.1 ASA5520默认不允许外网telnet,开启比较麻烦 ●ASDM连接 图形界面配置方式 ●SSH连接 工作模式 ●普通模式 连接上去后模式 进入普通模式需要有普通模式密码 Enable 进入特权模式,需要特权密码
●特权模式 Config terminal 进入配置模式 ●配置模式 ●模式转换 exit 或者ctrl-z退出当前模式,到前一模式 也适用于嵌套配置下退出当前配置 常用命令 ●命令支持缩写,只要前写到与其它命令不同的地方即可 config terminal = conf term = conf t Tab键盘补全命令 ?Or help 获取帮助 ●取消配置 no 命令取消以前的配置 Clear 取消一组配置,具体请查看帮助 ●查看配置 Show version show run [all] , write terminal Show xlat Show run nat Show run global ●保存配置 Write memory ASA5520介绍 ●硬件配置:ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz ●1个Console口,一个Aux口,4个千兆网口 ●支持并发:280000个 ●支持VPN个数:150 ●支持双机热备、负载均衡 ●可以通过show version 查看硬件信息 基本配置 ●接口配置 ●NAT配置 ●ACL访问控制 接口配置 ●四个以太网口 GigabitEthernet0/0、gig0/1、gig0/2、gig0/3 进入接口配置: interface if_name ●配置IP ip address ip_address [netmask] ip address ip_addressdhcp
第二章ASA防火墙 实验案例一ASA防火墙基本配置 一、实验目的: 熟悉ASA基本配置 二、实验环境和需求 在WEB上建立站点https://www.doczj.com/doc/4e5346842.html,.,在Out上建立站点https://www.doczj.com/doc/4e5346842.html,,并配置DNS服务,负责解析https://www.doczj.com/doc/4e5346842.html,(202.0.0.253/29)和https://www.doczj.com/doc/4e5346842.html,(IP为202.2.2.1),PC1的DNS 指向200.2.2.1 只能从PC1通过SSH访问ASA 从PC1可以访问outside和dmz区的网站,从Out主机可以访问DMZ区的Web站点从PC1可以ping通Out主 三、实验拓扑图 四、配置步骤 (一)路由器配置 int f1/0 ip add 200.0.0.1 255.255.255.252 no sh
int f0/0 ip add 200.2.2.254 255.255.255.0 no sh exit ip route 0.0.0.0 0.0.0.0 200.0.0.2 end (二) ASA基本属性配置 1、接口配置 Interface E 0/0 Ip address 192.168.0.254 255.255.255.0 Nameif inside //设置内接口名字 Security-level 100 //设置内接口安全级别 No shutdown Interface E 0/1 Ip add 192.168.1.254 255.255.255.0 Nameif dmz //设置接口为DMZ Security-level 50 //设置DMZ接口的安全级别 No shutdown Interface E 0/2 Ip address 200.0.0.2 255.255.255.252 Nameif outside //设置外接口名字 Security-level 0 //设置外接口安全级别 No shutdown 2、ASA路由配置:静态路由方式 (config)#Route outside 0.0.0.0 0.0.0.0 200.0.0.1 3、从PC1上可以PING通OUT主机 默认情况下不允许ICMP流量穿过,从内Ping外网是不通的,因为ICMP应答的报文返回时不能穿越防火墙,可以配置允许几种报文通过, (Config)# Access-list 111 permit icmp any any
实验10 思科ASA防火墙的NAT配置 一、实验目标 1、掌握思科ASA防火墙的NAT规则的基本原理; 2、掌握常见的思科ASA防火墙的NAT规则的配置方法。 二、实验拓扑 根据下图搭建拓扑通过配置ASA防火墙上的NAT规则,使得inside区能单向访问DMZ区和outside区,DMZ区和outside区能够互访。 三、实验配置 1、路由器基本网络配置,配置IP地址和默认网关 R1#conf t R1(config)#int f0/0 R1(config-if)#ip address 192.168.2.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#ip default-gateway 192.168.2.254 //配置默认网关 R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254 //添加默认路由R1(config)#exit R1#write R2#conf t R2(config)#int f0/0 R2(config-if)#ip address 202.1.1.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit R2(config)#ip default-gateway 202.1.1.254 R2(config)#exit
R2#write Server#conf t Server(config)#no ip routing //用路由器模拟服务器,关闭路由功能Server(config)#int f0/0 Server(config-if)#ip address 192.168.1.1 255.255.255.0 Server(config-if)#no shutdown Server(config-if)#exit Server(config)#ip default-gateway 192.168.1.254 Server(config)#exit Server#write *说明:实际配置中最好在三台路由器上都添加一条通往防火墙的默认路由,但在本实验中Server和R2不配置不影响实验效果。 2、防火墙基本配置,配置端口IP地址和定义区域 ciscoasa# conf t ciscoasa(config)# int g0 ciscoasa(config-if)# nameif inside ciscoasa(config-if)# ip address 192.168.2.254 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit ciscoasa(config)# int g1 ciscoasa(config-if)# nameif dmz ciscoasa(config-if)# security-level 50 ciscoasa(config-if)# ip address 192.168.1.254 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit ciscoasa(config)# int g2 ciscoasa(config-if)# nameif outside ciscoasa(config-if)# ip address 202.1.1.254 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit 3、防火墙NAT规则配置 *说明:思科ASA 8.3 版本以后,NAT配置的方法发生了很大的改变。本文档会对改版前后的命令作比较,便于读者的理解和运用。 *可以通过show version命令来查看防火墙当前的版本。 (1)配置协议类型放行 //状态化icmp流量,让icmp包能回包。fixup命令作用是启用、禁止、改变一个服务或协议通过防火墙。
interface Vlan2 nameif outside --------------------对端口命名外端口 security-level 0 --------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址 ! interface Vlan3 nameif inside --------------------对端口命名内端口 security-level 100 --------------------调试外网地址 ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级 ! interface Ethernet0/0 switchport access vlan 2 --------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 --------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS name-server 211.99.129.210 name-server 202.106.196.115 access-list 102 extended permit icmp any any ------------------设置ACL列表(允许ICMP全部通过) access-list 102 extended permit ip any any ------------------设置ACL列表(允许所有IP全部通过)
ASA防火墙配置命令(v1.0) 版本说明
目录 1. 常用技巧 (3) 2. 故障倒换 (3) 3. 配置telnet、ssh及http管理 (5) 4. vpn常用管理命令 (5) 5. 配置访问权限 (6) 6. 配置sitetosite之VPN (6) 7. webvpn配置(ssl vpn) (7) 8. 远程拨入VPN (8) 9. 日志服务器配置 (10) 10. Snmp网管配置 (11) 11. ACS配置 (11) 12. AAA配置 (11) 13. 升级IOS (12) 14. 疑难杂症 (12)
1. 常用技巧 Sh ru ntp查看与ntp有关的 Sh ru crypto 查看与vpn有关的 Sh ru | inc crypto 只是关健字过滤而已 2. 故障倒换 failover failover lan unit primary failover lan interface testint Ethernet0/3 failover link testint Ethernet0/3 failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001 failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001 failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001 failover mac address Management0/0 0018.1900.7000 0018.1900.7001 failover interface ip testint 10.3.3.1 255.255.255.0 standby 10.3.3.2 注:最好配置虚拟MAC地址 sh failover显示配置信息 write standby写入到备用的防火墙中
配置asa 5505防火墙 1.配置防火墙名 ciscoasa> enable ciscoasa# configure terminal ciscoasa(config)# hostname asa5505 2.配置Http.telnet和ssh管理
ASA防火墙初始配置 1.模式介绍 “>”用户模式 firewall>enable 由用户模式进入到特权模式 password: “#”特权模式 firewall#config t 由特权模式进入全局配置模式 “(config)#”全局配置模式 防火墙的配置只要在全局模式下完成就可以了。 2.接口配置(以5510以及更高型号为例,5505接口是基于VLAN的): interface Ethernet0/0 nameif inside (接口的命名,必须!) security-level 100(接口的安全级别) ip address 10.0.0.10 255.255.255.0 no shut interface Ethernet0/1 nameif outside security-level 0 ip address 202.100.1.10 255.255.255.0 no shut 3.路由配置: 默认路由: route outside 0 0 202.100.1.1 (0 0 为0.0.0.0 0.0.0.0) 静态路由: route inside 192.168.1.0 255.255.255.0 10.0.0.1 5505接口配置: interface Ethernet0/0 ! interface Ethernet0/1 switchport access vlan 2 interface Vlan1
nameif inside security-level 100 ip address 192.168.6.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 202.100.1.10 ASA防火墙NAT配置 内网用户要上网,我们必须对其进行地址转换,将其转换为在公网上可以路由的注册地址, 防火墙的nat和global是同时工作的,nat定义了我们要进行转换的地址,而global定义了要被转换为的地址, 这些配置都要在全局配置模式下完成, Nat配置: firewall(config)# nat (inside) 1 0 0 上面inside代表是要被转换得地址, 1要和global 后面的号对应,类似于访问控制列表号,也是从上往下执行, 0 0 代表全部匹配(第一个0代表地址,第二个0代表掩码),内部所有地址都回进行转换。 Global配置: firewall(config)#global (outside)1 interface Gobalb定义了内网将要被转换成的地址, Interface 代表外端口的地址 当然,如果您有更多的公网IP地址,您也可以设置一个地址池,上面一条也是必须的,地址转换首先会用地址池内地址, 一旦地址被用完后会用到上面一条及外端口做PAT转换上网。 或者在如下的配置后面再加上一条:firewall(config)#global (outside)1222.128.1.10 firewall(config)#global (outside)1222.128.1.100-222.128.1.254 服务器映射配置: 如果在内网有一台web服务器需要向外提供服务,那么需要在防火墙上映射,公网地址多的情况下可以做一对一的映射,如下 firewall(config)#static (inside,outside)222.128.100.100 1.1.1.50
ASA防火墙疑难杂症解答 ASA防火墙疑难杂症解答 1...............................内部网络不能ping通internet 2........................内部网络不能使用pptp拨入vpn服务器 3....................内部网络不能通过被动Mode访问ftp服务器 4.................................内部网络不能进行ipsec NAT 5...................................内网不能访问DMZ区服务器 6................................内网用户不能ping web服务器1. 内部网络不能ping通internet 对于ASA5510,只要策略允许,则是可以Ping通的,对于ASA550,部分IOS可以ping,如果所以流量都允许还是不能Ping的话,则需要做 inspect,对icmp协议进行检查即可 2. 内部网络不能使用pptp拨入vpn服务器 因pptp需要连接TCP 1723端口,同时还需要GRE协议,如果防火墙是linux的Iptables,则需要加载: modprobe ip_nat_pptp modprobe ip_conntrack_proto_gre 如果防火墙是ASA,则需要inspect pptp。 3. 内部网络不能通过被动Mode访问ftp服务器 同样需要inspect ftp,有些还需要检查相关参数 policy-map type inspect ftp ftpaccess parameters match request-command appe cdup help get rnfr rnto put stou site dele mkd rmd 4. 内部网络不能进行ipsec NAT 这种情况不多用,如查进行ipsect :IPSec Pass Through 5. 内网不能访问DMZ区服务器 增加NAT规则,即DMZ到内网的规则 6. 内网用户不能ping web服务器
Cisco ASA 防火墙配置手册 基本配置过程 ----------Conan Zhongjm
拓扑图 1、配置主机名 hostname asa5520 2、配置密码 Enable password asa5520 Passwd cisco 3、配置接口 Conf t Interface ethernet 0/0 Nameif outside Security-level 0 Ip address 210.10.10.2 255.255.255.0 No shutdown Exit Interface ethernet 0/1 Nameif inside Security-level 100 Ip address 192.168.201.1 255.255.255.0 No shutdown Exit Interface ethernet 0/2 Nameif dmz Security-level 50 Ip address 192.168.202.1 255.255.255.0 No shutdown Exit 4、配置路由
Route outside 0.0.0.0 0.0.0.0 210.10.10.1 End Show route 5、配置网络地址转换 Nat-controal Nat (inside) 1 0 0 Global (outside) 1 interface Global (dmz) 1 192.168.202.100-192.168.202.110 ///////////////////////////////////////////////////////////////////// 配置完以上就可以实现基本的防火墙上网功能 ///////////////////////////////////////////////////////////////////// 6、配置远程登录 (1)telnet 登录 Conf t telnet 192.168.201.0 255.255.255.0 inside telnet timeout 15 (2)ssh登录 Crypto key generate rsa modulus 1024 Ssh 192.168.201.0 255.255.255.0 inside Ssh 0 0 outside Ssh timeout 30 Ssh version 2 (3)asdm登录 http server enable 8000 http 192.168.201.0 255.255.255.0 inside http 0 0 outside http 0 0 inside asdm image disk0:/asdm-615.bin username conan password 123456789 privilege 15 7、配置端口映射 (1)创建映射 Static (dmz,outside) 210.10.10.2 192.168.202.2 (2)因为防火墙默认把禁止外网访问DMZ区,所以要创建访问控制列表Access-list out_to_dmz permit tcp any host 210.10.10.2 eq 80 Access-group out_to_dmz in interface outside
asa防火墙基本配置管理 一、基本配置 #hostname name //名字的设置 #interface gigabitethernet0/0 //进入接口0/0 #nameif outside //配置接口名为outside #security-level 0 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown #interface ethernet0/1 //进入接口0/1 #nameif inside //配置接口名为inside #security-level 100 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 192.168.10.1 255.255.255.0 //设置ip地址 #duplex full //全双工 #speed 100 //速率 #no shutdown #interface ethernet0/2 //进入接口0/2 #nameif dmz //配置接口名为dmz #security-level 50 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址 #no shutdown #interface Management0/0 //进入管理接口 # nameif guanli //接口名 # security-level 100 //安全级别 #ip address 192.168.1.1 255.255.255.0 //IP地址 注意:security-level 配置安全级别。默认外网接口为0/0 安全级别默认为0 内网接口为0/1 安全级别默认为100 dmz 接口为0/2 安全级别默认为50 默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令: #same-security-traffic permit interface //允许相同安全级别接口之间互相通信。