下载文档原格式
GNS3 搭建本地ASA 并使用ASDM 管理实验环境:本地ASA 的IP 地址127.0.0.1 (本地ASA 使用)GNS3 0.7.3Fiddler2本地TOP 搭建:1 、下载解压过的asa802-k8.bin 文件,实验中使用的解压后的kernel 是asa802-k8.bin.unpacked.vmlinuz ,启动文件initrd 使用单模式ASA ,请下载asa802-k8-sing.gz ;使用多模式ASA 请下载asa802-k8-muti.gz 。
两个initrd 文件中所加载的网卡为e100 和e1000 ,所用文件可以到本文附件下载,打开GNS3 ,新建一个工程,命名为ASA 。
之后选择“编辑”--> “首选项”--> “qemu ”对“General Setting ”做如图所示的配置:之后配置ASA 选项卡:2 、拖入ASA ,分别新建ASA1 和ASA2,TOP 如下:启动两个ASA 可以看到两个QEMU 窗口由于是初次运行,点“console”登录后,看到内核初始化:回到命令提示符后,请等大概 1 分钟左右( 为了防止出现其它问题,请按我说的做) ,等待FLASH 文件的初始化,此时去看相应的工作目录下的FLASH 文件,会发现FLASH 文件的大小开始变化,大概到24.9M 时,就OK 了,在FLASH 文件初始化的时候,你会发现硬盘灯开始狂闪了,^_^ 。
使用asa802-k8-sing.gz 的朋友在FLASH 文件初始化结束后,执行/mnt/disk0/lina_monitor使用asa802-k8-muti.gz 的朋友在FLASH 文件初始化结束后,执行/mnt/disk0/lina –mPS: 再次运行ASA 的时候,将直接启动到ciscoasa> 的状态下,不用再执行上面的命令了可以看到6 块网卡都被ASA 识别了此时如果执行show flash:, 将会是下面的结果:因为是初次运行,虽然上面的步骤中格式化了FLASH 文件等等,但是在ASA 中还是没有加载FLASH所以执行show flash: 后可用空间为0 。
要想配置思科的防火墙得先了解这些命令:常用命令有:nameif、interface、ip address、nat、global、route、static等。
global指定公网地址范围:定义地址池。
Global命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmarkglobal_mask]其中:(if_name):表示外网接口名称,一般为outside。
nat_id:建立的地址池标识(nat要引用)。
ip_address-ip_address:表示一段ip地址范围。
[netmark global_mask]:表示全局ip地址的网络掩码。
nat地址转换命令,将内网的私有ip转换为外网公网ip。
nat命令配置语法:nat (if_name) nat_id local_ip [netmark]其中:(if_name):表示接口名称,一般为inside.nat_id:表示地址池,由global命令定义。
local_ip:表示内网的ip地址。
对于0.0.0.0表示内网所有主机。
[netmark]:表示内网ip地址的子网掩码。
routeroute命令定义静态路由。
语法:route (if_name) 0 0 gateway_ip [metric]其中:(if_name):表示接口名称。
0 0 :表示所有主机Gateway_ip:表示网关路由器的ip地址或下一跳。
[metric]:路由花费。
缺省值是1。
static配置静态IP地址翻译,使内部地址与外部地址一一对应。
语法:static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address其中:internal_if_name表示内部网络接口,安全级别较高,如inside。
external_if_name表示外部网络接口,安全级别较低,如outside。
ASA防火墙疑难杂症解答ASA防火墙疑难杂症解答1...............................内部网络不能ping通internet2........................内部网络不能使用pptp拨入vpn服务器3....................内部网络不能通过被动Mode访问ftp服务器4.................................内部网络不能进行ipsec NAT5...................................内网不能访问DMZ区服务器6................................内网用户不能ping web服务器1. 内部网络不能ping通internet对于ASA5510,只要策略允许,则是可以Ping通的,对于ASA550,部分IOS可以ping,如果所以流量都允许还是不能Ping的话,则需要做inspect,对icmp协议进行检查即可2. 内部网络不能使用pptp拨入vpn服务器因pptp需要连接TCP 1723端口,同时还需要GRE协议,如果防火墙是linux的Iptables,则需要加载:modprobe ip_nat_pptp modprobe ip_conntrack_proto_gre如果防火墙是ASA,则需要inspect pptp。
3. 内部网络不能通过被动Mode访问ftp服务器同样需要inspect ftp,有些还需要检查相关参数policy-map type inspect ftp ftpaccessparametersmatch request-command appe cdup help get rnfr rnto put stou sitedele mkd rmd4. 内部网络不能进行ipsec NAT这种情况不多用,如查进行ipsect :IPSec Pass Through5. 内网不能访问DMZ区服务器增加NAT规则,即DMZ到内网的规则6. 内网用户不能ping web服务器如果内网中有一台web服务器,且已经配置了NAT,使用internet用户可以通过外部IP访问这台web服务器。
ASA系统的基本管理接口的配置:1、逻辑名称把接口加入到一个安全区域-zone2、安全级别(范围0-100)不同安全级别的接口之间访问时,遵从的默认规则:允许出站(outbound)连接,从一个高安全级别的区域到一个低安全级别区域的访问 禁止入站(inbound)连接,从低到高禁止相同安全级别的接口之间通信3、IP地址interface GigabitEthernet0nameif inside 逻辑名称security-level 100 安全级别ip address 192.168.123.200 255.255.255.04、清空配置write erase 清空startup config(启动配置文件)clear config all 清空running config (当前加载的配置)#在全局配置模式下使用ciscoasa# copy startup-config running-config(把启动配置加载到内存)reload 重启ASA5、配置子接口路由器的配置interface FastEthernet0/0.6encapsulation dot1Q 6ip address 196.1.1.1 255.255.2556、配置静态路由常规配置:设备的基本管理,常规配置:设备的基本管理,1、主机名hostname ASA12、域名后缀domain-name 3、域名和DNS服务器domain-name 【小提醒】:ASA1(config)# show run dnsDNS server-group DefaultDNSdomain-name ASA1(config)# dns domain-lookup dmz (先配置)--在DMZ区域启用DNS解析ASA1(config)#dns name-server 172.16.123.100ASA1(config)# show run dnsdns domain-lookup dmzDNS server-group DefaultDNSname-server 172.16.123.100domain-name 4、如何对设备启用远程管理---TelnetASA1(config)# telnet 192.168.123.0 255.255.255.0 inside 注意:在outside接口启用telnet是不允许的ASA1(config)# enable password cisco 默认使用特权模式口令做为登录口令查看到达ASA的流量5、使用NTP同步时间时区和时间的设置NTP Server:NTPServer(config)#clock timezone Beijing +8NTPServer#clock set 09:51:00 Mar 12 2016NTPServer(config)#ntp master 1NTPServer(config)#show clockNTP Client:NTPClient(config)#clock timezone Beijing +8NTPClient(config)#ntp server 192.168.1.1验证:NTP-Client#show clock detail09:11:41.089 Beijing Tue Mar 15 2016Time source is NTP启用认证:防火墙ASA1上的认证配置:ntp server 172.16.123.1 key 1 source dmzntp authentication-key 1 md5 ciscontp trusted-key 1ntp authenticateASA1(config)#show ntp statusASA1(config)# show clock detailLinux下的配置:1)设置时区[root@extmail ~]#cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime 2)向指定ntp服务器同步系统时间,同时同步硬件时钟[root@extmail ~]#ntpdate - set the date and time via NTP[root@extmail ~]#ntpdate 172.16.123.1[root@extmail ~]#hwclock -w3)编辑一个任务计划让系统在每天的0点向时间服务器同步[root@extmail~]#crontab -e0 * * * * ntpdate 172.16.123.1;hwclock -w Windows下的设置:6、【附录】 一些互联网的时间服务器 (公共NTP时间服务器) (上海交通大学网络中心NTP服务器地址) 202.120.2.101 (上海交通大学网络中心NTP服务器地址)210.72.145.44 (国家授时中心服务器的IP地址).hk(香港)。
实验10 思科ASA防火墙的NAT配置一、实验目标1、掌握思科ASA防火墙的NAT规则的基本原理;2、掌握常见的思科ASA防火墙的NAT规则的配置方法。
二、实验拓扑根据下图搭建拓扑通过配置ASA防火墙上的NAT规则,使得inside区能单向访问DMZ区和outside区,DMZ区和outside区能够互访。
三、实验配置1、路由器基本网络配置,配置IP地址和默认网关R1#conf tR1(config)#int f0/0R1(config-if)#ip address 192.168.2.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR1(config)#ip default-gateway 192.168.2.254 //配置默认网关R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254 //添加默认路由R1(config)#exitR1#writeR2#conf tR2(config)#int f0/0R2(config-if)#ip address 202.1.1.1 255.255.255.0R2(config-if)#no shutdownR2(config-if)#exitR2(config)#ip default-gateway 202.1.1.254R2(config)#exitR2#writeServer#conf tServer(config)#no ip routing //用路由器模拟服务器,关闭路由功能Server(config)#int f0/0Server(config-if)#ip address 192.168.1.1 255.255.255.0Server(config-if)#no shutdownServer(config-if)#exitServer(config)#ip default-gateway 192.168.1.254Server(config)#exitServer#write*说明:实际配置中最好在三台路由器上都添加一条通往防火墙的默认路由,但在本实验中Server和R2不配置不影响实验效果。
实验六使用 Ping 和 Traceroute 测试网络连接拓扑地址分配表目标第 1 部分:构建和配置网络∙按照拓扑图在PT上搭建网络。
∙配置 PC地址。
∙配置路由器。
∙配置交换机。
第 2 部分:使用 Ping 命令进行基本网络测试∙从 PC 使用 ping。
∙从思科设备使用 ping。
第 3 部分:使用 Tracert 和 Traceroute 命令进行基本网络测试∙从 PC 使用 tracert。
∙从思科设备使用 traceroute。
第 4 部分:排除拓扑故障背景/场景ping 和 traceroute 是测试 TCP/IP 网络连接的必不可少的两个工具。
ping 是一种网络管理实用程序,用于测试IP 网络上的设备是否能访问。
该实用程序还测量从源主机到目的计算机发送消息的往返时间。
traceroute 实用程序是一款网络诊断工具,用于显示路由和测量IP 网络上传输的数据包中转延迟,Windows 系统上可以使用tracert 实用程序。
在本实验中,会检查ping和traceroute命令,并探索修改命令行为的命令选项。
本实验使用思科设备和PC 进行命令探索。
思科路由器将路由信息协议(RIP) 在网络之间路由数据包。
本实验中提供了所需的思科设备配置。
所需资源∙ 3 台路由器(Cisco 1941 或同类路由器)∙ 2 台交换机(Cisco 2960 或同类交换机)∙ 2 台 PC∙拓扑所示的以太网电缆第1部分:构建和配置网络在第1 部分,您将设置拓扑网络并配置PC 和思科设备。
提供了路由器和交换机的初始配置,在此拓扑中,RIP 用于在网络之间路由数据包。
第 1 步:在PT上建立如拓扑图所示的网络。
第 2 步:根据地址分配表配置 PC 的 IP 地址和默认网关。
第 3 步:使用下面提供的初始配置来配置本地、ISP 和远程路由器。
本地路由器的初始配置:(首先进入配置模式)hostname LOCALinterface g0/0ip add 192.168.1.1 255.255.255.0no shutdowninterface g0/1ip address 10.1.1.1 255.255.255.252no shutdownexitrouter RIPnetwork 10.0.0.0network 192.168.1.0endISP 的初始配置:(首先进入配置模式)hostname ISPinterface g0/0ip address 10.1.1.2 255.255.255.252no shutdowninterface g0/1ip address 10.2.2.2 255.255.255.252no shutdownexitrouter RIPnetwork 10.0.0.0end远程路由器的初始配置:(首先进入配置模式)hostname REMOTEinterface g0/0ip address 10.2.2.1 255.255.255.252no shutdowninterface g0/1ip add 192.168.3.1 255.255.255.0no shutdownrouter RIPnetwork 10.0.0.0network 192.168.3.0end第 4 步:将 S1 和 S3 配置为初始配置。
防火墙课程笔记:第一天:防火墙概述与初始化第二天:系统管理与日志第三天:访问控制列表与穿越用户认证第四天:Modular Policy Framework第五天:基于用户的MPF、高级访问控制和地址转换第六天:透明墙与多模式防火墙第七天:接口和网络冗余技术FO第一天:防火墙四种类型:1.无状态包过滤——即基于ACL(限制控制技术即默认deny any)2.状态监控包过滤(来回,只建立一张状态表,回程包可查状态信息表)3.运用层监控和控制状态包过滤4.代理服务器双防火墙做DMZ,建议双防火墙使用不同的厂商:ASA产品线:5505、5510、5510x、5512x、5515x、5520、5525x、5540、5550、5585x授权升级:(config)#activation-key xxxxxx,重启即可,购买时需要提供序列号ASA配置命令:一.清空配置:wr erase ——清空start-config,clear config all—清空running-config,重启—reload二.配置向导退出:crtl+Z三.默认密码:无,直接回车四.图型化网管:ASDM前提条件:需要ASA安装asdm服务,名称为asdm-641.bin,拷到flash后重启即可。
1.为一个接口配置IP地址并且命名2.启用HTTPS服务器,并且允许网管流量,命令:http server enable3.指定Cisco ASDM的image文件(可选),命令:http 0 0 inside,表示从inside进来,所有源允许ASDM网管ASA手动指定路径:Asdm image flash:/asdm-641.bin4.需jave环境。
从ASA下载ASDM客户端路径:https://x.x.x.x五.ASA的接口一定需要命名才能用,用nameif命令,区分大小写六.接口命名后,安全级别会自动分配一个,手动改是0-100,默认情况下,inside为100,其余默认为0,ASA支持101个安全级别,和多于101个(子)接口。
ASA_8.3基本配置1.ASDM图形界面基本配置步骤:1)在asa上面开启hhtps服务,命令如下:ciscoasa(config)# http server enable(开启http服务)ciscoasa(config)# http 10.10.0.0 255.255.0.0 inside(指定可网管的地址,必须配置,不然无法网管)ciscoasa(config)# aaa authentication http console LOCAL(为asdm网管启用AAA认证,LOCAL为内建的AAA服务器的名字,采用本地认证,名字区分大小写;console只是一个关键字不是console口) 2)给asa配置管理地址,命令如下:ciscoasa(config)# interface e 0/1ciscoasa(config-if)# nameif insideciscoasa(config-if)# ip add 10.10.10.10 255.255.255.0ciscoasa(config-if)# no shutdown3)配置管理asa的用户名密码,命令如下:ciscoasa(config)#username admin password admin privilege 15 4)使用火狐浏览器在地址栏输入asa的管理地址,如下:https://10.10.10.10根据提示安装java,进入asdm管理界面。
注意:java安装完后,重新输入上面地址,运行asdm可能会提示java安全阻止该程序运行的问题。
解决办法是到java安全设置里面把上述地址加入可信任站点里面。
步骤:控制面板→程序→java→安全→编辑站点列表→输入https://10.10.10.10→添加。
2.ASA初始化配置1)配置SSH远程登录命令:ciscoasa(config)#crypto key generate rsa modulus 1024 //指定rsa系数的大小,这个值越大,产生rsa的时间越长,cisco推荐使用1024.ciscoasa(config)#write mem //保存刚刚产生的密钥ciscoasa(config)#ssh 0.0.0.0 0.0.0.0 outside //0.0.0.0 0.0.0.0 表示任何外部主机都能通过SSH访问outside接口ciscoasa(config)username admin password admin privilege 15 //为SSH登录配置账密ciscoasa(config)#aaa authentication ssh console LOCAL //为ssh登录启用aaa认证采用本地数据库认证2)给接口命名并指定ip地址和安全级别说明:①安全级别相同接口之间的流量默认不通,可配置放行,命令如下:ciscoasa(config)# same-security-traffic permit inter-interface(放行安全级别相同接口之间的流量)ciscoasa(config)# same-security-traffic permit intra-interface (放行从一个接口先进然后又从同一个接口出的流量)②从安全级别高的到低的流量为outbound流量,默认放行;从低安全级别到高安全级别的流量为inbound流量,默认阻塞。
ASA的基本安全级别Cisco ASA 5500不同安全级别区域实现互访实验一、网络拓扑二、实验环境ASA防火墙eth0接口定义为outside区,Security-Level:0,接Router F0/0;ASA防火墙eth1接口定义为insdie区,Security-Level:100,接Switch的上联口;ASA防火墙Eth2接口定义为DMZ区,Security-Level:60,接Mail Server。
三、实验目的实现inside区域能够访问outside,即Switch能够ping通Router的F0/0(202.100.10.2);dmz区能够访问outside,即Mail Server能够ping通Router的F0/0(202.100.10.2);outside能够访问insdie区的Web Server的http端口(80)和dmz区的Mail Server的pop3端口(110)、smtp端口(25).四、详细配置步骤1、端口配置CiscoASA(config)# interface ethernet 0CiscoASA(config)#nameif ousideCiscoASA(config-if)# security-level 0CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0CiscoASA(config-if)# no shutCiscoASA(config)# interface ethernet 1CiscoASA(config)#nameif insideCiscoASA(config-if)# security-level 100CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0CiscoASA(config-if)# no shutCiscoASA(config)# interface ethernet 2CiscoASA(config)#nameif dmzCiscoASA(config-if)# security-level 50CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0CiscoASA(config-if)# no shut2、路由配置CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由3、定义高安全接口区域需要进行地址转换的IP范围CiscoASA(config)# nat (inside) 1 0 0CiscoASA(config)# nat (dmz) 1 0 04、定义低安全接口区域用于高安全接口区域进行IP转换的地址范围CiscoASA(config)# global (outside) 1 interfaceCiscoASA(config)# global (dmz) 1 interface5、定义静态IP映射(也称一对一映射)CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255#实现从outside区访问inside区10.1.1.1的80端口时,就直接访问10.1.1.1:80 对outside区的映射202.100.10.1:80CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255#实现从outside区访问dmz区172.16.1.2的110时,就直接访问172.16.1.2:110 对outside区的映射202.100.10.1:110(计算机学校/)CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255#实现从outside区访问dmz区172.16.1.2的25时,就直接访问172.16.1.2:25 对outside区的映射202.100.10.1:256、定义access-listCiscoASA(config)# access-list 101 extended permit ip any anyCiscoASA(config)# access-list 101 extended permit icmp any anyCiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq wwwCiscoASA(config)# access-list 102 extended permit icmp any anyCiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3 CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp7、在接口上应用access-listCiscoASA(config)# access-group 101 in interface outsideCiscoASA(config)#access-group 102 in interface insideCiscoASA(config)#access-group 103 in interface dmz五、实验总结1、当流量从高权限区域流向低权限区域时1、只要路由配通了,无须配置nat/global,也无须配置access-list,就可以直接telnet低权限区域主机;(郑州北大青鸟/)2、只要路由配通了,同时配置了access-list,无须配置nat/global,就可以直接ping通低权限区域主机;3、只要路由配通了,同时配置了nat/global/access-list,此时telnet/ping均会执行地址转换2、当流量从低权限区域流向高权限区域时1、即使路由已经配通了,也不能成功访问;2、路由已经配通了,同时必须正确配置了static IP地址映射及access-list,才能成功访问;3、调通路由是基础,同时只跟static/access-list有关,而跟nat/global 毫无关系。
