思科防火牆ASA配置案例
拓撲圖
要求:通過思科防火牆ASA使用內網用戶可以訪問外網與DMZ中的服務器,DMZ中的服務器可以發佈到網絡中,供外網用戶訪問
一.思科模擬防火牆的使用
因爲我們沒有真實的設備,所以我們使用一個使用linux內核的虛擬系統來模擬思科的防火牆,模擬防火牆可以自己下載,在使用時我們還要使用一個軟件來連接這個模擬防火牆:nptp.ext。
首先,我們打開ASA防火牆虛擬機,再安裝nptp.exe軟件
打開nptp,點擊”Edit”新建一個連接,參數可如下
使用連接工具進行連接
連接成功
二.IP地址配置
外網IP配置
ciscoasa> enable
Password:
ciscoasa# conf t
ciscoasa(config)# int eth0/0
ciscoasa(config-if)# ip add 192.168.101.150 255.255.255.0 //外網ip
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif outside //外網名,一定要配置
內網IP配置
ciscoasa(config-if)# int eth0/1
ciscoasa(config-if)# ip add 192.168.1.1 255.255.255.0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif inside
DMZ IP配置
ciscoasa(config-if)# int eth0/2
ciscoasa(config-if)# ip add 192.168.2.1 255.255.255.0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif dmz
查看路由
ciscoasa(config-if)# show route
C 192.168.1.0 255.255.255.0 is directly connected, inside
C 192.168.2.0 255.255.255.0 is directly connected, dmz
C 192.168.101.0 255.255.255.0 is directly connected, outside
注:在ASA防火牆中一定要配置nameif名字,如果不配置的話,這個端口就不能啓動,在配置名字的時候,不同的名字可以有不同的優先級,內網inside是一個系統自帶的值,只可配置在內網的端口上,並且它的優先級是100,屬於最高的級別,而另外的一些優先級都是0,在優先級高的區域訪問優先級低的區域的時候,可以直接做snat就可以通信,而優先級低的訪問優先級低的區域的時候,做dnat的同時,還要做訪問控制列表。
三.內網訪問外網
ciscoasa(config-if)# exit
ciscoasa(config)# global (outside) 1 interface //指定snat使用的外網接口爲nameif爲outside的端口
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0 /指定內網的網段
測試
我們使用的192.168.101.0做爲外網的網段,但是在測試的時候,不能使用ping命令測試,因爲在默認情況下防火牆是把ping作爲一種***手段給拒絕掉的。我現在在192.168.101.105上做了一個RDP服務器,可以進行測試
可以測試成功
四.內網訪問DMZ服務器
基於前面的設置,我們只需要再做一條指令指明dmz區域即可
ciscoasa(config)# global (dmz) 1 interface
測試一下訪問DMZ中的www服務器
五.DMZ中服務器發佈
RDP服務器發佈
ciscoasa(config)# int eth0/2
ciscoasa(config-if)# security-level 50 //修改DMZ區域的優先級大於outside區域
ciscoasa(config)# static (dmz,outside) tcp interface 3389 192.168.2.2 3389 //創建dmz與outside的dnat RDP服務
ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 3389 //創建訪問控制列表,允許外網訪問outside端口
ciscoasa(config)# access-group 100 in interface outside //在outside端口上應用訪問控制列表
測試
www服務器發佈
ciscoasa(config)# static (dmz,outside) tcp interface www 192.168.2.2 www
ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 80
ciscoasa(config)# access-group 100 in interface outside
測試