cisco防火墻asa

　　cisco思科是全球領(lǐng)先的大品牌，相信很多人也不陌生，那么你知道cisco防火墻asa嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于cisco防火墻asa的相關(guān)資料，供你參考。

　　cisco防火墻asa的配置方法：

　　拓?fù)鋱D

　　要求：通過(guò)思科防火墻ASA使用內(nèi)網(wǎng)用戶可以-與DMZ中的服務(wù)器，DMZ中的服務(wù)器可以發(fā)布到網(wǎng)絡(luò)中，供外網(wǎng)用戶訪問(wèn)

　　一.思科模擬防火墻的使用

　　因?yàn)槲覀儧](méi)有真實(shí)的設(shè)備，所以我們使用一個(gè)使用linux內(nèi)核的虛擬系統(tǒng)來(lái)模擬思科的防火墻，模擬防火墻可以自己下載，在使用時(shí)我們還要使用一個(gè)軟件來(lái)連接這個(gè)模擬防火墻：nptp.ext。

　　首先，我們打開(kāi)ASA防火墻虛擬機(jī)，再安裝nptp.exe軟件

　　打開(kāi)nptp，點(diǎn)擊”Edit”新建一個(gè)連接，參數(shù)可如下

　　使用連接工具進(jìn)行連接

　　連接成功

　　二.IP地址配置

　　外網(wǎng)IP配置

　　ciscoasa> enable

　　Password:

　　ciscoasa# conf t

　　ciscoasa(config)# int eth0/0

　　ciscoasa(config-if)# ip add 192.168.101.150 255.255.255.0 //外網(wǎng)ip

　　ciscoasa(config-if)# no shut

　　ciscoasa(config-if)# nameif outside //外網(wǎng)名,一定要配置

　　內(nèi)網(wǎng)IP配置

　　ciscoasa(config-if)# int eth0/1

　　ciscoasa(config-if)# ip add 192.168.1.1 255.255.255.0

　　ciscoasa(config-if)# no shut

　　ciscoasa(config-if)# nameif inside

　　DMZ IP配置

　　ciscoasa(config-if)# int eth0/2

　　ciscoasa(config-if)# ip add 192.168.2.1 255.255.255.0

　　ciscoasa(config-if)# no shut

　　ciscoasa(config-if)# nameif dmz

　　查看路由

　　ciscoasa(config-if)# show route

　　C 192.168.1.0 255.255.255.0 is directly connected, inside

　　C 192.168.2.0 255.255.255.0 is directly connected, dmz

　　C 192.168.101.0 255.255.255.0 is directly connected, outside

　　注：在ASA防火墻中一定要配置nameif名字，如果不配置的話，這個(gè)端口就不能啟動(dòng)，在配置名字的時(shí)候，不同的名字可以有不同的優(yōu)先級(jí)，內(nèi)網(wǎng)inside是一個(gè)系統(tǒng)自帶的值，只可配置在內(nèi)網(wǎng)的端口上，并且它的優(yōu)先級(jí)是100，屬于最高的級(jí)別，而另外的一些優(yōu)先級(jí)都是0，在優(yōu)先級(jí)高的區(qū)域訪問(wèn)優(yōu)先級(jí)低的區(qū)域的時(shí)候，可以直接做snat就可以通信，而優(yōu)先級(jí)低的訪問(wèn)優(yōu)先級(jí)低的區(qū)域的時(shí)候，做dnat的同時(shí)，還要做訪問(wèn)控制列表。

　　三.內(nèi)網(wǎng)

　　ciscoasa(config-if)# exit

　　ciscoasa(config)# global (outside) 1 interface //指定snat使用的外網(wǎng)接口為nameif為outside的端口

　　ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0 /指定內(nèi)網(wǎng)的網(wǎng)段

　　測(cè)試

　　我們使用的192.168.101.0做為外網(wǎng)的網(wǎng)段，但是在測(cè)試的時(shí)候，不能使用ping命令測(cè)試，因?yàn)樵谀J(rèn)情況下防火墻是把ping作為一種攻擊手段給拒絕掉的。我現(xiàn)在在192.168.101.105上做了一個(gè)RDP服務(wù)器，可以進(jìn)行測(cè)試

　　可以測(cè)試成功

　　四.內(nèi)網(wǎng)訪問(wèn)DMZ服務(wù)器

　　基于前面的設(shè)置，我們只需要再做一條指令指明dmz區(qū)域即可

　　ciscoasa(config)# global (dmz) 1 interface

　　測(cè)試一下訪問(wèn)DMZ中的www服務(wù)器

　　五.DMZ中服務(wù)器發(fā)布

　　RDP服務(wù)器發(fā)布

　　ciscoasa(config)# int eth0/2

　　ciscoasa(config-if)# security-level 50 //修改DMZ區(qū)域的優(yōu)先級(jí)大于outside區(qū)域

　　ciscoasa(config)# static (dmz,outside) tcp interface 3389 192.168.2.2 3389 //創(chuàng)建dmz與outside的dnat RDP服務(wù)

　　ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 3389 //創(chuàng)建訪問(wèn)控制列表，允許訪問(wèn)outside端口

　　ciscoasa(config)# access-group 100 in interface outside //在outside端口上應(yīng)用訪問(wèn)控制列表

　　測(cè)試

　　www服務(wù)器發(fā)布

　　ciscoasa(config)# static (dmz,outside) tcp interface www 192.168.2.2 www

　　ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 80

　　ciscoasa(config)# access-group 100 in interface outside

　　測(cè)試

　　看過(guò)文章“cisco防火墻asa”的人還看了：

　　1.cisco思科路由器設(shè)置

　　2.思科路由器怎么進(jìn)入 思科路由器怎么設(shè)置

　　3.思科路由器控制端口連接圖解

　　4.思科路由器基本配置教程

　　5.如何進(jìn)入cisco路由器

　　6.cisco怎么進(jìn)端口

　　7.cisco如何看未接來(lái)電

　　8.cisco常用命令

　　9.詳解思科route print

　　10.思科路由器恢復(fù)出廠配置的方法有哪些