Cisco防火墙---ASA安全设备的应用

实验环境(如下拓扑图所示):

1.准备四台虚拟机,两台使用windows 2003系统,分别配置Web服务器和Out服务器,分别搭建站点www.sjzz.com 和www.out.com ,并在Out服务器上搭建DNS服务器,负责解析www.sjzz.com(IP地址:200.1.1.253/29)和www.out.com(IP地址:200.2.2.1)。PC1为内网客户机,使用windows XP系统,DNS服务器使用200.2.2.1。

2.使用asa802-k8.bin 、Qemu 、qemuPCAP、Linux模拟出一个ASA系统。

3.使用DynamipsGUI模拟一台路由器。

Cisco防火墙---ASA安全设备的应用

实验目的:

1.只能从PC1通过SSH访问ASA;

2.从PC1可以访问outside和DMZ区的网站,从Out主机可以访问Dmz区的Web站点。

3.从PC1可以ping通Out主机。

各设备IP地址分配如下:

PC1:192.168.0.88

ASA防火墙Inside接口:192.168.0.254/24

ASA防火墙Outside接口:200.0.0.2/30

ASA防火墙Dmz接口:192.168.1.254/24

ISP路由器F0/1:200.0.0.1/30

ISP路由器F0/0:200.2.2.254/24

Out服务器:200.2.2.1/24

Web服务器:192.168.1.1/24

各虚拟机网卡桥接如下:

ASA防火墙三块网卡:VMnet0、VMnet1、VMnet2

PC1网卡:VMnet0

Web服务器:VMnet2

Out服务器:VMnet8

DynamipsGUI模拟的路由器连接如下:

Router1 F0/0 <----> XPC P0/8

Router1 F1/0 <----> XPC P0/1

一.配置路由器ISP:

Router(config)#int f0/0

Router(config-if)#ip add 200.2.2.254 255.255.255.0

Router(config-if)#no sh

Router(config-if)#int f1/0

Router(config-if)#ip add 200.0.0.1 255.255.255.252

Router(config-if)#no sh

Router(config-if)#exit

Router(config)#ip route 200.1.1.248 255.255.255.248 200.0.0.2

二.配置ASA设备:

配置主机名、域名、密码 (telnet或SSH时要使用)

ciscoasa(config)# hostname ASA

ASA(config)# domain-name asa.com

ASA(config)# enable password cisco

ASA(config)# passwd cisco

配置接口名、安全级别及IP地址

ASA(config)# int e0/0

ASA(config-if)# nameif inside

ASA(config-if)# security-level 100

ASA(config-if)# ip add 192.168.0.254 255.255.255.0

ASA(config-if)# no sh

ASA(config-if)# int e0/1

ASA(config-if)# nameif outside

ASA(config-if)# security-level 0

ASA(config-if)# ip add 200.0.0.2 255.255.255.252

ASA(config-if)# no sh

ASA(config-if)# int e0/2

ASA(config-if)# nameif dmz

ASA(config-if)# security-level 50

ASA(config-if)# ip add 192.168.1.254 255.255.255.0

ASA(config-if)# no sh

ASA(config-if)# route outside 0.0.0.0 0.0.0.0 200.0.0.1

配置SSH,允许192.168.0.88可以通过SSH方式访问ASA:

ASA(config)#crypto key generate rsa modulus 1024 //生成密钥对,默认长度为1024

ASA(config)# ssh 192.168.0.0 255.255.255.0 inside

ASA(config)# ssh time

ASA(config)# ssh timeout 30

ASA(config)# ssh version 2

允许内网主机PC1访问outside区和dmz区的网站的配置:

ASA(config)# nat-control

ASA(config)# nat (inside) 1 0 0

ASA(config)# global (outside) 1 int

ASA(config)# global (dmz) 1 192.168.1.100-192.168.1.110

允许外网Out主机访问dmz的Web服务器设置:

ASA(config)# static (dmz,outside) 200.1.1.253 192.168.1.1

ASA(config)# access-list out_to_dmz permit tcp any host 200.1.1.253 eq www

ASA(config)# access-group out_to_dmz in int outside

允许内网主机PC1ping外网out主机的设置:

ASA(config)# access-list 111 permit icmp any any echo-reply

ASA(config)# access-list 111 permit icmp any any unreachable

ASA(config)# access-list 111 permit icmp any any time-exceeded

ASA(config)# access-group 111 in int outside

保存设置:

ASA(config)# write memory

或者

ASA(config)# copy running-config startup-config

配置总结:

1.从高安全级别(Inside)访问低安全级别(Outside),需要配置动态nat和global命令。

2.从低安全级接口访问高安全级别接口,必须配置ACL。

三.验证:

1.PC1(192.168.0.88)可以通过SSH方式访问ASA设备(使用工具为putty):

Cisco防火墙---ASA安全设备的应用

此时可以在ASA设备上通过show ssh session命令查看SSH会话:

Cisco防火墙---ASA安全设备的应用

2.PC1(192.168.0.88)访问dmz区和outside区的网站:

Cisco防火墙---ASA安全设备的应用

Cisco防火墙---ASA安全设备的应用

3.从Out主机上访问dmz区的Web网站:

Cisco防火墙---ASA安全设备的应用

此时可以在ASA设备使用show xlate命令查看地址转换条目:

Cisco防火墙---ASA安全设备的应用

4.使用PC1(192.168.0.88)ping outside区主机Out,默认清况下,ASA设备是禁止ICMP报文穿越的,但是在以上的配置中已经允许PC1可以ping Out主机,来验证一下:

Cisco防火墙---ASA安全设备的应用

在调试完毕后,通常情况下,还是禁止ICMP报文穿越ASA防火墙比较好,这样在一定程度上可以提高安全性。

本文转自 kk5234 51CTO博客,原文链接:http://blog.51cto.com/kk5234/408251,如需转载请自行联系原作者

上一篇:ASA防火墙静态PAT端口范围测试
下一篇:ISA2006实战系列之三:防火墙策略部署深度分析(附图)