cisco防火墻asa

　　cisco思科是全球領(lǐng)先的大品牌，相信很多人也不陌生，那么你知道cisco防火墻asa嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于cisco防火墻asa的相關(guān)資料，供你參考。

　　cisco防火墻asa的配置方法：

　　拓?fù)鋱D

　　要求：通過思科防火墻ASA使用內(nèi)網(wǎng)用戶可以-與DMZ中的服務(wù)器，DMZ中的服務(wù)器可以發(fā)布到網(wǎng)絡(luò)中，供外網(wǎng)用戶訪問

　　一.思科模擬防火墻的使用

　　因為我們沒有真實的設(shè)備，所以我們使用一個使用linux內(nèi)核的虛擬系統(tǒng)來模擬思科的防火墻，模擬防火墻可以自己下載，在使用時我們還要使用一個軟件來連接這個模擬防火墻：nptp.ext。

　　首先，我們打開ASA防火墻虛擬機(jī)，再安裝nptp.exe軟件

　　打開nptp，點擊”Edit”新建一個連接，參數(shù)可如下

　　使用連接工具進(jìn)行連接

　　連接成功

　　二.IP地址配置

　　外網(wǎng)IP配置

　　ciscoasa> enable

　　Password:

　　ciscoasa# conf t

　　ciscoasa(config)# int eth0/0

　　ciscoasa(config-if)# ip add 192.168.101.150 255.255.255.0 //外網(wǎng)ip

　　ciscoasa(config-if)# no shut

　　ciscoasa(config-if)# nameif outside //外網(wǎng)名,一定要配置

　　內(nèi)網(wǎng)IP配置

　　ciscoasa(config-if)# int eth0/1

　　ciscoasa(config-if)# ip add 192.168.1.1 255.255.255.0

　　ciscoasa(config-if)# no shut

　　ciscoasa(config-if)# nameif inside

　　DMZ IP配置

　　ciscoasa(config-if)# int eth0/2

　　ciscoasa(config-if)# ip add 192.168.2.1 255.255.255.0

　　ciscoasa(config-if)# no shut

　　ciscoasa(config-if)# nameif dmz

　　查看路由

　　ciscoasa(config-if)# show route

　　C 192.168.1.0 255.255.255.0 is directly connected, inside

　　C 192.168.2.0 255.255.255.0 is directly connected, dmz

　　C 192.168.101.0 255.255.255.0 is directly connected, outside

　　注：在ASA防火墻中一定要配置nameif名字，如果不配置的話，這個端口就不能啟動，在配置名字的時候，不同的名字可以有不同的優(yōu)先級，內(nèi)網(wǎng)inside是一個系統(tǒng)自帶的值，只可配置在內(nèi)網(wǎng)的端口上，并且它的優(yōu)先級是100，屬于最高的級別，而另外的一些優(yōu)先級都是0，在優(yōu)先級高的區(qū)域訪問優(yōu)先級低的區(qū)域的時候，可以直接做snat就可以通信，而優(yōu)先級低的訪問優(yōu)先級低的區(qū)域的時候，做dnat的同時，還要做訪問控制列表。

　　三.內(nèi)網(wǎng)

　　ciscoasa(config-if)# exit

　　ciscoasa(config)# global (outside) 1 interface //指定snat使用的外網(wǎng)接口為nameif為outside的端口

　　ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0 /指定內(nèi)網(wǎng)的網(wǎng)段

　　測試

　　我們使用的192.168.101.0做為外網(wǎng)的網(wǎng)段，但是在測試的時候，不能使用ping命令測試，因為在默認(rèn)情況下防火墻是把ping作為一種攻擊手段給拒絕掉的。我現(xiàn)在在192.168.101.105上做了一個RDP服務(wù)器，可以進(jìn)行測試

　　可以測試成功

　　四.內(nèi)網(wǎng)訪問DMZ服務(wù)器

　　基于前面的設(shè)置，我們只需要再做一條指令指明dmz區(qū)域即可

　　ciscoasa(config)# global (dmz) 1 interface

　　測試一下訪問DMZ中的www服務(wù)器

　　五.DMZ中服務(wù)器發(fā)布

　　RDP服務(wù)器發(fā)布

　　ciscoasa(config)# int eth0/2

　　ciscoasa(config-if)# security-level 50 //修改DMZ區(qū)域的優(yōu)先級大于outside區(qū)域

　　ciscoasa(config)# static (dmz,outside) tcp interface 3389 192.168.2.2 3389 //創(chuàng)建dmz與outside的dnat RDP服務(wù)

　　ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 3389 //創(chuàng)建訪問控制列表，允許訪問outside端口

　　ciscoasa(config)# access-group 100 in interface outside //在outside端口上應(yīng)用訪問控制列表

　　測試

　　www服務(wù)器發(fā)布

　　ciscoasa(config)# static (dmz,outside) tcp interface www 192.168.2.2 www

　　ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 80

　　ciscoasa(config)# access-group 100 in interface outside

　　測試

　　看過文章“cisco防火墻asa”的人還看了：

　　1.cisco思科路由器設(shè)置

　　2.思科路由器怎么進(jìn)入 思科路由器怎么設(shè)置

　　3.思科路由器控制端口連接圖解

　　4.思科路由器基本配置教程

　　5.如何進(jìn)入cisco路由器

　　6.cisco怎么進(jìn)端口

　　7.cisco如何看未接來電

　　8.cisco常用命令

　　9.詳解思科route print

　　10.思科路由器恢復(fù)出廠配置的方法有哪些