思科防火牆ASA配置案例

                   思科防火牆ASA配置案例 

拓撲圖

要求：經過思科防火牆ASA使用內網用戶能夠訪問外網與DMZ中的服務器，DMZ中的服務器能夠發佈到網絡中，供外網用戶訪問

一．思科模擬防火牆的使用

由於咱們沒有真實的設備，因此咱們使用一個使用linux內核的虛擬系統來模擬思科的防火牆，模擬防火牆能夠本身下載，在使用時咱們還要使用一個軟件來鏈接這個模擬防火牆：nptp.ext。

首先，咱們打開ASA防火牆虛擬機，再安裝nptp.exe軟件

打開nptp，點擊」Edit」新建一個鏈接，參數可以下

         

          

 

  使用鏈接工具進行鏈接

    

鏈接成功

二．IP地址配置

      外網IP配置

      ciscoasa> enable

      Password:   

      ciscoasa# conf t

      ciscoasa(config)# int eth0/0

      ciscoasa(config-if)# ip add 192.168.101.150 255.255.255.0      //外網ip

      ciscoasa(config-if)# no shut

      ciscoasa(config-if)# nameif outside                        //外網名,必定要配置

      內網IP配置

      ciscoasa(config-if)# int eth0/1

      ciscoasa(config-if)# ip add 192.168.1.1 255.255.255.0

      ciscoasa(config-if)# no shut

      ciscoasa(config-if)# nameif inside

     

       DMZ  IP配置

       ciscoasa(config-if)# int eth0/2

       ciscoasa(config-if)# ip add 192.168.2.1 255.255.255.0

       ciscoasa(config-if)# no shut

       ciscoasa(config-if)# nameif dmz

  

       查看路由

       ciscoasa(config-if)# show route

       C    192.168.1.0 255.255.255.0 is directly connected, inside

       C    192.168.2.0 255.255.255.0 is directly connected, dmz

      C    192.168.101.0 255.255.255.0 is directly connected, outside

    注：在ASA防火牆中必定要配置nameif名字，若是不配置的話，這個端口就不能啓動，在配置名字的時候，不一樣的名字能夠有不一樣的優先級，內網inside是一個系統自帶的值，只可配置在內網的端口上，而且它的優先級是100，屬於最高的級別，而另外的一些優先級都是0，在優先級高的區域訪問優先級低的區域的時候，能夠直接作snat就能夠通訊，而優先級低的訪問優先級低的區域的時候，作dnat的同時，還要作訪問控制列表。

三．內網訪問外網

ciscoasa(config-if)# exit

ciscoasa(config)# global (outside) 1 interface                        //指定snat使用的外網接口爲nameif爲outside的端口

ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0             /指定內網的網段

測試

咱們使用的192.168.101.0作爲外網的網段，可是在測試的時候，不能使用ping命令測試，由於在默認狀況下防火牆是把ping做爲一種***手段給拒絕掉的。我如今在192.168.101.105上作了一個RDP服務器，能夠進行測試

          

能夠測試成功

四．內網訪問DMZ服務器

基於前面的設置，咱們只須要再作一條指令指明dmz區域便可

    ciscoasa(config)# global (dmz) 1 interface

測試一下訪問DMZ中的www服務器

    

五．DMZ中服務器發佈

RDP服務器發佈

ciscoasa(config)# int eth0/2  

ciscoasa(config-if)# security-level 50        //修改DMZ區域的優先級大於outside區域

ciscoasa(config)# static (dmz,outside) tcp interface 3389 192.168.2.2 3389     //建立dmz與outside的dnat  RDP服務

ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 3389   //建立訪問控制列表，容許外網訪問outside端口

ciscoasa(config)# access-group 100 in interface outside                       //在outside端口上應用訪問控制列表

 

測試

www服務器發佈

ciscoasa(config)# static (dmz,outside) tcp interface www 192.168.2.2 www 

ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 80 

ciscoasa(config)# access-group 100 in interface outside 

測試