实验名称:防火墙的应用
创新互联公司坚持“要么做到,要么别承诺”的工作理念,服务领域包括:成都网站设计、网站建设、企业官网、英文网站、手机端网站、网站推广等服务,满足客户于互联网时代的盐津网站设计、移动媒体设计的需求,帮助企业找到有效的互联网解决方案。努力成为您成熟可靠的网络建设合作伙伴!
实验拓步图:
3.实验目的:1. client2 可以访问server3
2.使用命令show conn detail 查看 conn表状态
3.分别查看ASA 和 AR的路由表
4. 配置ACL禁止client5访问server1
4.配置思路 :
# 首先创建三个区域,分别是 内网,外网,DMAZ区 ,然后配置各个区域的服务器,最后设置acl权限
5. 操作步骤 :
# 首先配置各个区域的终端ip地址
# 配置outside区域 :
配置 client2 ,server4 ,server1的ip 地址
ip address 192.168.8.2 255.255.255.0
gateway 192.168.8.254 //server4 ftp 的配置
ip address 192.168.8.1 255.255.255.0
gateway 192.168.8.254 255.255.255.0 //client2的配置
ip address 192.168.8.100 255.255.255.0
gateway 192.168.8.254 //server1 web的配置
#配置DMAZ区域
# 配置server3 ,client5的ip 地址
ip address 192.168.30.1 255.255.255.0
gateway 192.168.30.254 // client5的配置
ip address 192.168.30.100 255.255.255.0
gateway 192.168.30.254 //server 3 的ip地址
# 配置 inside区域
# 配置server2 client1的ip 地址
ip address 10.1.1.1 255.255.255.0
gateway 10.1.1.254 //server2 de ip 地址
ip address 10.2.2.1 255.255.255.0
gateway 10.2.2.254 // client 1的ip地址
# 给防火墙各个端口配置ip地址
# interface g 0
nameif inside
ip address 192.168.1.254 255.255.255.0
no shutdow
interface g 1
nameif outside
ip address 192.168.8.254 255.255.255.0
no shutdown
interface DMAZ 区
interface g 2
nameif DMAZ
security-level 50
ip address 192.168.30.254 255.255.255.0
no shutdown
#在防火墙asa上配置acl 使 client 2可以访问 server 2 ---web服务器
access list 1 permit tcp any host 192.168.30.100 eq 80
access-group 1 in interface outside // 默认防火墙的内网安全等级为100 ,外网为0
如下图所示 : 证明 client2 已经可以访问web服务器
# 接下来在AR1上配置ip地址,以及路由,并且在防火墙上配置去往内网的路由
inteface g0/0/0
ip address 10.1.1.1.254 255.255.255.0
undo shutdown
interface g0/0/1
ip address 10.2.2.254 255.255.255.0
undo shutdown
interface g0/0/2
ip address 192.168.1.1 255.255.255.0
undo shutdown
ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 //去往外网的路由
#在防火墙asa上配置去往内网的路由
route inside 10.1.1.0 255.255.255.0 192.168.1.1
route inside 10.2.2.0 255.255.255.0 192.168.1.1
# 测试,如图所示 : 可以访问外网ftp服务器
# 接下来可以查看 show conn detail
# 再到路由器上查看路由,并且到asa防火墙上查看路由,如下图所示
# 最后配置acl使clietn 不能访问web --server1
access-list 2 deny tcp any host 192.168.8.100 eq 80
access-group 2 in interface DMAZ //在dmaz端口调用
如下图所示,表示测试成功
总结 :防火墙的工作过程 :
默认是内网的安全等级高,外网的安全等级低,所以内网可以访问外网,而外网访问不了内网,
举个简单的例子 :
假如外网有一个web服务器,它默认内网是可以访问的,防火墙默认拦截所有流量,存入 conn状态表中,回来时,因为它是匹配了80端口,所以才可以回来
,如果是Ping流量的话,它默认没有开启的,它是有出去的包,但是没有回来的包,要是能回来,只能写acl放行
___________________________________________________________________________________________________________________________________________
end
网站标题:asa防火墙的应用
标题URL:
http://cdkjz.cn/article/ihpose.html
