思科防火牆ASA配置案例

                   思科防火牆ASA配置案例 

拓撲圖

要求：通過思科防火牆ASA使用內網用戶可以訪問外網與DMZ中的服務器，DMZ中的服務器可以發佈到網絡中，供外網用戶訪問

一．思科模擬防火牆的使用

因爲我們沒有真實的設備，所以我們使用一個使用linux內核的虛擬系統來模擬思科的防火牆，模擬防火牆可以自己下載，在使用時我們還要使用一個軟件來連接這個模擬防火牆：nptp.ext。

首先，我們打開ASA防火牆虛擬機，再安裝nptp.exe軟件

打開nptp，點擊”Edit”新建一個連接，參數可如下

         

          

 

  使用連接工具進行連接

    

連接成功

二．IP地址配置

      外網IP配置

      ciscoasa> enable

      Password:   

      ciscoasa# conf t

      ciscoasa(config)# int eth0/0

      ciscoasa(config-if)# ip add 192.168.101.150 255.255.255.0      //外網ip

      ciscoasa(config-if)# no shut

      ciscoasa(config-if)# nameif outside                        //外網名,一定要配置

      內網IP配置

      ciscoasa(config-if)# int eth0/1

      ciscoasa(config-if)# ip add 192.168.1.1 255.255.255.0

      ciscoasa(config-if)# no shut

      ciscoasa(config-if)# nameif inside

     

       DMZ  IP配置

       ciscoasa(config-if)# int eth0/2

       ciscoasa(config-if)# ip add 192.168.2.1 255.255.255.0

       ciscoasa(config-if)# no shut

       ciscoasa(config-if)# nameif dmz

  

       查看路由

       ciscoasa(config-if)# show route

       C    192.168.1.0 255.255.255.0 is directly connected, inside

       C    192.168.2.0 255.255.255.0 is directly connected, dmz

      C    192.168.101.0 255.255.255.0 is directly connected, outside

    注：在ASA防火牆中一定要配置nameif名字，如果不配置的話，這個端口就不能啓動，在配置名字的時候，不同的名字可以有不同的優先級，內網inside是一個系統自帶的值，只可配置在內網的端口上，並且它的優先級是100，屬於最高的級別，而另外的一些優先級都是0，在優先級高的區域訪問優先級低的區域的時候，可以直接做snat就可以通信，而優先級低的訪問優先級低的區域的時候，做dnat的同時，還要做訪問控制列表。

三．內網訪問外網

ciscoasa(config-if)# exit

ciscoasa(config)# global (outside) 1 interface                        //指定snat使用的外網接口爲nameif爲outside的端口

ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0             /指定內網的網段

測試

我們使用的192.168.101.0做爲外網的網段，但是在測試的時候，不能使用ping命令測試，因爲在默認情況下防火牆是把ping作爲一種***手段給拒絕掉的。我現在在192.168.101.105上做了一個RDP服務器，可以進行測試

          

可以測試成功

四．內網訪問DMZ服務器

基於前面的設置，我們只需要再做一條指令指明dmz區域即可

    ciscoasa(config)# global (dmz) 1 interface

測試一下訪問DMZ中的www服務器

    

五．DMZ中服務器發佈

RDP服務器發佈

ciscoasa(config)# int eth0/2  

ciscoasa(config-if)# security-level 50        //修改DMZ區域的優先級大於outside區域

ciscoasa(config)# static (dmz,outside) tcp interface 3389 192.168.2.2 3389     //創建dmz與outside的dnat  RDP服務

ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 3389   //創建訪問控制列表，允許外網訪問outside端口

ciscoasa(config)# access-group 100 in interface outside                       //在outside端口上應用訪問控制列表

 

測試

www服務器發佈

ciscoasa(config)# static (dmz,outside) tcp interface www 192.168.2.2 www 

ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 80 

ciscoasa(config)# access-group 100 in interface outside 

測試