如今網絡安全日益重要,網絡面臨的威脅也越來越大,來自企業網內部和外部的網絡***可能爲企業帶來嚴重的損失,問題產生時我們該如何解決?
防火牆是我們的首選考慮。思科防火牆在業界一直享有盛名,它集高安全性和高可擴展性於一身,能夠對病毒、垃圾郵件、非授權訪問等進行實時監控,企業用戶的理想選擇。前期在講授網絡高級課程安全模塊時,防火牆技術主要是以講解理論爲主,配合ASA模擬器介紹常用命令的用法。沒有把ASA放在一個具體的生產環境中來研究它是如何工作的,最近研究了一下VMware和QEMU,發現完全可以把二者結合起來,這樣基於ASA的實驗就更加完整了。同時,對於那些技術愛好者來說,也是不錯的選擇。於是我整理了一下文檔,以一個企業常見拓撲爲例來介紹ASA的典型配置。
文檔分2部分:
第一部分:搭建VMware+ASA環境
第二部分:配置ASA企業應用
本實驗共需要4臺虛擬機:
虛擬機 | 系統 | 角色 | 說明 |
ASA | XP或2003 | 安裝ASA模擬器 | 安裝3塊網卡,設置不同的VMnet |
外網機器 | 2003 | 模擬公網服務器(www+dns+mms) | www服務器(虛擬主機):www.baidu.com和www.game.com dns新建baidu.com和game.com區域 |
內網機器 | 2003或XP | IE瀏覽器 | 無需額外配置 |
DMZ機器 | 2003 | www服務器 | 建立公司門戶網站 www.bizsmooth.org |
step1:開啓ASA虛擬機
配置3塊網卡,我們對其重命名爲DMZ,inside,outside,分別設置網卡類型在vmnet2,vmnet3,vmnet4網段。
step2:安裝ASA模擬器
打開ASA模擬器安裝包,
(1)先安裝WinPcap_4_0.exe;
(2)將asa文件夾拷貝到C:\下;
(3)如果電腦內沒有安裝超級終端,請首先安裝該組件;
(4)打開文件夾“C:\asa\asaemu”,在該文件夾下雙擊“1.創建Disk.cmd”;
(5)接着雙擊“2.獲取網卡參數.bat”,然後按任意鍵以獲取網卡參數;
說明:我們此時會看到3個網卡參數,我們無法判斷哪個網卡是對應哪個參數。建議先關閉2塊網卡,將剩餘這塊標記,同理,再操作2遍。
(6)選擇“3.ASA802.bat”,右鍵選擇“編輯”,然後替換文件內{}處的網卡參數,保存後退出即可。此處要替換3個網卡參數,也可以寫序號。
(7)雙擊“3.ASA802.bat”,會有兩個類似ms-dos的窗口出現,請不要關閉這兩個窗口
(8)使用超級終端連接該防火牆(選擇TCP/IP方式,IP地址是127.0.0.1,端口爲1007),請確保出現#符號,否則沒有連接上
(9)然後在超級終端窗口中選擇“傳送”——“發送文本文件”——選擇文本文件“firststart.txt”。按確定鍵執行該文件。第一次安裝該軟件時需要執行該步驟,以後使用中不需要
(10)在超級終端窗口中選擇“傳送”——“發送文本文件”——選擇文本文件“everystart.txt”。按確定鍵執行該文件。
至此,觀察終端輸出,出現下圖即可
step3、再開啓其餘3臺虛擬機並配置好相應地址
OUT(外部主機)
DMZ(DMZ區域服務器)
IN(內網客戶端)
step4、接下來配置ASA上3塊網卡e0/0(outside), e0/1(DMZ) , e0/2(inside)接口地址,並測試直連網絡能否通信。
查看接口IP情況
測試一下直連網段連通情況
好,結果顯示一切OK!
至此實驗環境已搭建完畢。接下來就是結合前面的拓撲來看如何配置ASA。
敬請期待!