asa防火墻的應(yīng)用

1. 實(shí)驗名稱：防火墻的應(yīng)用

   創(chuàng)新互聯(lián)公司堅持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都網(wǎng)站設(shè)計、網(wǎng)站建設(shè)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時代的鹽津網(wǎng)站設(shè)計、移動媒體設(shè)計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

2. 實(shí)驗拓步圖：

                   

3.實(shí)驗?zāi)康模?.       client2 可以訪問server3 

                    2.使用命令show conn  detail  查看 conn表狀態(tài)

                    3.分別查看ASA  和 AR的路由表

                    4. 配置ACL禁止client5訪問server1

4.配置思路 ： 

                     # 首先創(chuàng)建三個區(qū)域，分別是  內(nèi)網(wǎng)，外網(wǎng)，DMAZ區(qū) ，然后配置各個區(qū)域的服務(wù)器，最后設(shè)置acl權(quán)限

 5.   操作步驟 ： 

                      # 首先配置各個區(qū)域的終端ip地址 

                          # 配置outside區(qū)域 ： 

                                   配置  client2 ,server4 ,server1的ip 地址 

                                     ip address  192.168.8.2  255.255.255.0

                                         gateway  192.168.8.254                                          //server4 ftp 的配置

                                  ip address  192.168.8.1  255.255.255.0  

                                             gateway 192.168.8.254 255.255.255.0         //client2的配置 

                                     ip address  192.168.8.100 255.255.255.0 

                                             gateway  192.168.8.254           //server1 web的配置     

             #配置ＤＭＡＺ區(qū)域　

?！∨渲茫螅澹颍觯澹颍场?，client5的ip 地址

                             ip address 192.168.30.1 255.255.255.0 

                               gateway  192.168.30.254  // client5的配置

                   

                           ip address  192.168.30.100 255.255.255.0 

                               gateway 192.168.30.254  //server 3 的ip地址   

#   配置 inside區(qū)域 

                      # 配置server2 client1的ip 地址 

                             ip address 10.1.1.1 255.255.255.0 

                                gateway  10.1.1.254         //server2 de ip 地址

                              ip address 10.2.2.1  255.255.255.0

                                gateway 10.2.2.254 // client 1的ip地址

#　給防火墻各個端口配置ip地址 

                   #  interface g 0

                          nameif inside 

                            ip address 192.168.1.254  255.255.255.0

                               no shutdow 

                      interface g 1

                       nameif outside 

                          ip address  192.168.8.254 255.255.255.0 

                             no shutdown 

                     interface DMAZ 區(qū) 

                             interface g 2 

                                nameif  DMAZ  

                                 security-level 50 

                                    ip address  192.168.30.254 255.255.255.0 

                                           no shutdown 

               #在防火墻asa上配置acl 使 client 2可以訪問 server 2 ---web服務(wù)器 

                   access list 1 permit tcp any host 192.168.30.100 eq 80 

                   access-group 1 in interface outside // 默認(rèn)防火墻的內(nèi)網(wǎng)安全等級為100 ,外網(wǎng)為0   

                  如下圖所示 :   證明 client2 已經(jīng)可以訪問web服務(wù)器

                         

                        

       

   #   接下來在AR1上配置ip地址,以及路由,并且在防火墻上配置去往內(nèi)網(wǎng)的路由   

           inteface g0/0/0 

                ip address 10.1.1.1.254 255.255.255.0

                        undo shutdown 

            interface g0/0/1

                ip address 10.2.2.254 255.255.255.0  

                      undo shutdown 

                interface g0/0/2 

                   ip address 192.168.1.1 255.255.255.0

                      undo shutdown 

              ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 //去往外網(wǎng)的路由

           #在防火墻asa上配置去往內(nèi)網(wǎng)的路由

              route inside 10.1.1.0 255.255.255.0 192.168.1.1 

              route inside 10.2.2.0 255.255.255.0 192.168.1.1   

   

            # 測試,如圖所示 : 可以訪問外網(wǎng)ftp服務(wù)器 

                       

# 接下來可以查看 show conn detail  

         

# 再到路由器上查看路由,并且到asa防火墻上查看路由,如下圖所示

   

# 最后配置acl使clietn 不能訪問web --server1 

access-list  2 deny tcp any host 192.168.8.100 eq 80  

access-group 2 in interface DMAZ //在dmaz端口調(diào)用

如下圖所示,表示測試成功 

   

總結(jié) :防火墻的工作過程 :

                  默認(rèn)是內(nèi)網(wǎng)的安全等級高,外網(wǎng)的安全等級低,所以內(nèi)網(wǎng)可以訪問外網(wǎng),而外網(wǎng)訪問不了內(nèi)網(wǎng), 

                      舉個簡單的例子 :

                              假如外網(wǎng)有一個web服務(wù)器,它默認(rèn)內(nèi)網(wǎng)是可以訪問的,防火墻默認(rèn)攔截所有流量，存入 conn狀態(tài)表中，回來時，因為它是匹配了80端口,所以才可以回來

                                 ,如果是Ping流量的話,它默認(rèn)沒有開啟的,它是有出去的包,但是沒有回來的包,要是能回來,只能寫acl放行

___________________________________________________________________________________________________________________________________________

     end

                                    

   

 

                                      

                                         

網(wǎng)頁題目：asa防火墻的應(yīng)用
本文鏈接：http://muchs.cn/article34/ihpose.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)建站、標(biāo)簽優(yōu)化、網(wǎng)站設(shè)計、網(wǎng)站維護(hù)、服務(wù)器托管、手機(jī)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)