2. 程式人生 > >防火墻Firewalls ASA

防火墻Firewalls ASA

阿新 發佈:2018-02-06
默認 交換 itl vlan web服務 訪問公網 服務器 pri 抓包



技術分享圖片

實驗:

1.思路:數據包的走向

2.要求:vlan互通,VRRP 內網pat訪問外網,發布web服務器供外網訪問,



技術分享圖片

讓sw1作根交換機

1.配置sw10 創建vlan10 20 100

1端口加入vlan10 2和3端口為trunk模式

技術分享圖片技術分享圖片

2.配置sw20 創建vlan10 20 40 100

1端口加入vlan100 3端口加入vlan40 2和4端口為trunk模式

技術分享圖片技術分享圖片

配置vlanif 10 ip:192.168.10.254 24

vlanif20 ip:192.168.20.254 24

vlanif40 ip:192.168.40.1 24

vlanif100 ip:192.168.100.254 24

技術分享圖片技術分享圖片

3.配置sw30 創建vlan10 20 50 100

1端口加入vlan20

3端口加入vlan50 2和4端口為trunk模式

技術分享圖片技術分享圖片

配置vlanif 10 ip:192.168.10.253 24

vlanif20 ip:192.168.20.253 24

vlanif50 ip:192.168.50.1 24

vlanif100 ip:192.168.100.253 24

技術分享圖片

技術分享圖片

4.配置sw20 配置 vlan1的vrrp

vrrp vrid 10 virtual-ip 192.168.10.250

vrrp vrid 10 priority150

vrrp vrid 10 track interface g0/0/3 reduce 80

vrrp vrid 10 track interface g0/0/2 reduce 80

配置 vlan100的vrrp

vrrp vrid 100 virtual-ip 192.168.100.250

vrrp vrid 100 priority150

vrrp vrid 100 track interface g0/0/3 reduce 80

vrrp vrid 100 track interface g0/0/2 reduce 80

配置 vlan20的vrrp

vrrp vrid 20 virtual-ip 192.168.20.250

技術分享圖片技術分享圖片

5.配置sw30 配置 vlan10的vrrp

vrrp vrid 10 virtual-ip 192.168.20.250

配置 vlan20的vrrp

vrrp vrid 20 virtual-ip 192.168.20.250

vrrp vrid 20priority150

vrrp vrid 20 track interface g0/0/3 reduce 80

vrrp vrid 20 track interface g0/0/2 reduce 80

配置 vlan100的vrrp

vrrp vrid 100 virtual-ip 192.168.100.250

技術分享圖片技術分享圖片

6.配置sw20 配置rip

rip

version2

network 192.168.10.0

network 192.168.100.0

network 192.168.20.0

network 192.168.40.0

靜態浮動路由

ip route-static 0.0.0.0 0.0.0.0 192.168.40.254

技術分享圖片

7.配置sw30 配置rip

rip

version2

network 192.168.10.0

network 192.168.20.0

network 192.168.50.0

network 192.168.100.0

靜態浮動路由

ip route-static 0.0.0.0 0.0.0.0 192.168.50.254

技術分享圖片

8.配置防火墻

interface g0

nameif inside1

no shutdown

ip address 192.168.40.254 255.255.255.0

security-level 100


interface g1

nameif inside2

no shutdown

ip address 192.168.50.254 255.255.255.0

security-level 90


interface g2

nameif outside

no shutdown

ip address 200.8.8.1 255.255.255.252

security-level 0

技術分享圖片 技術分享圖片

配置默認路由

route inside1 192.168.10.0 255.255.255.0 192.168.40.1

route inside1 192.168.100.0 255.255.255.0 192.168.40.1

route inside2 192.168.20.0 255.255.255.0 192.168.50.1

route outside 200.1.1.0 255.255.255.0 200.8.8.2

技術分享圖片技術分享圖片

備份

route inside2 192.168.1.0 255.255.255.0 192.168.50.2

route inside2 192.168.100.0 255.255.255.0 192.168.50.2

route inside2 192.168.2.0 255.255.255.0 192.168.50.2

9.配置AR1

配置0端口ip:200.1.1.254 24

1端口ip:200.8.8.2 255.255.255.252

配置靜態浮動路由

ip route-static 0.0.0.0 0.0.0.0 200.8.8.1

技術分享圖片技術分享圖片

10.在防火墻上配置靜態NAT

object network ob-in1

subnet 192.168.10.0 255.255.255.0

nat (inside1,outside)dynamic 119.1.1.1


object network ob-in2

subnet 192.168.20.0 255.255.255.0

nat (inside2,outside)dynamic 119.1.1.2

技術分享圖片

此時client1和clent2 都可訪問公網ftp 並抓包查看 內網地址已轉化

技術分享圖片技術分享圖片

配置動態PAT 使公網訪問內網

object network ob-out

host 119.1.1.3

object network outside

host 200.1.1.1

nat (outside,inside1)static ob-out service tcp 80 80

技術分享圖片技術分享圖片

配置ACL

access-list out-to-ins permit tcp any object inside1 eq http

access-group out-to-ins in interface outside


















































































































防火墻Firewalls ASA

相關推薦

防火Firewalls ASA

默認 交換 itl vlan web服務 訪問公網 服務器 pri 抓包 實驗: 1.思路:數據包的走向 2.要求:vlan互通,VRRP 內網pat訪問外網,發布web服務器供外網訪問, 讓sw1作

防火ASA)的基本配置與遠程管理

ssh asa asdm 楊書凡 狀態化防火墻 在目前大多數安全解決方案中,防火墻的實施是最為重要的需求,它是每個網絡基礎設施必要且不可分割的組成部分。這篇博客主要介紹防火墻安全算法的原理與基本配置以及遠程管理防火墻的幾種方式硬件與軟件防火墻1.軟件防火墻 軟件防火墻單獨使用軟

防火ASA)上配置四種類型的NAT

豁免 nat 楊書凡 前面已經介紹了網絡地址轉換(NAT)的原理和基於路由器的配置,ASA上的NAT配置相對於路由器來說要復制一些,ASA上的NAT有動態NAT、動態PAT、靜態NAT、靜態PAT。下面的鏈接是我以前寫的NAT原理,在路由器上配置NAT的命令http://yangshufa

防火ASA)高級配置之URL過濾、日誌管理、透明模式

防火墻 url過濾 透明模式 楊書凡 asa日誌管理 對於防火墻產品來說,最重要的一個功能就是對事件進行日誌記錄。本篇博客將介紹如何對ASA進行日誌管理與分析、ASA透明模式的原理與配置、利用ASA防火墻的IOS特性實施URL過濾。一、URL過濾 利用ASA防火墻IOS的特性

23-思科防火ASA Twice NAT

not ica hab -m esp log bject password nag 一、實驗拓撲:Twice NAT好處:可以節省主機或者路由器的配置,R1可以不需要有默認路由,R2(PC)可以不寫網關;二、實驗要求:1、當Inside網絡10.1.1.0/24,去往Out

6-思科防火ASA中Object-group在ACL中的應用

sha 在一起 access 5.0 實驗 服務組 alt inter color 一、實驗拓撲:二、實驗要求:先定義幾個小的,然後用大的包在一起;打包在一起,這就是所謂的嵌套,嵌套在編程裏是很長用的東西,叫做Object-group;Object-group比較強大,可以

7-思科防火ASA配置:Global ACL(CLI)

color vpd ima dac fig net shadow out pro 一、實驗拓撲:二、實驗要求:1、ACL抓取Telnet、ICMP流量並放行,在全局下應用:2、做完以後,R1去telnetR2、R3看是否可行?3、ACL抓取Telnet流量並拒絕;在接口Ou

19-思科防火ASA靜態NAT

思科防火墻 net 51cto flag 遠程管理 extend show user roc face 一、實驗拓撲:二、實驗要求:前提:R1、R2、R3分別有默認路由指向ASA對應的接口地址1、R1直接Telnet R3轉化後的地址,就可以成功進入R3界面;2、這時候流量

24-思科防火ASA透明防火實驗

分享 防火墻 sin out 三層 router cisco gns 會有 一、實驗拓撲:二、實驗要求:1、show mode:單模式;show firewall:路由模式——>firewall transparent;ASA清除所有配置;切換透明模式是不需要重啟的;

18-思科防火ASA動態NAT:實驗二

config acc 臺電腦 water outside 登錄 存在 sub password 一、實驗拓撲:二、實驗要求:1、配置動態PAT,轉換Inside網段到DMZ地址10.1.2.1002、配置動態NAT,轉換Inside網絡到Outside地址池202.100.

14-思科防火ASA對IP分片的處理

方式 acc trying sha 遠程 bcf 分片 images 通過 一、實驗拓撲:二、實驗要求:1、R2開啟80的流量;2、R1采用http方式遠程登錄R2;R1#telnet 10.1.1.2 80:本來應該是Telnet流量,然後變成了80流量;3、抓包驗證:是

21-思科防火ASA端口PAT

-o mark tin http static 遠程 cati password 技術 一、實驗拓撲:二、實驗要求:1、外網去訪問內網,只需要訪問相應的NAT帶上端口號,就可以訪問相應的主機。2、將InsideR2主機轉換為Outside地址202.100.1.101並攜帶

如何在ASA防火上實現ipsec vpn

asa 防火墻 實現 psec vpn 博主QQ:819594300博客地址:http://zpf666.blog.51cto.com/有什麽疑問的朋友可以聯系博主,博主會幫你們解答,謝謝支持!本文章介紹三個部分內容:①ipsec vpn故障排查②如何在ASA防火墻上配置ipsec VPN③防

cisco ASA 551X系列防火限速

cisco asa 限速asa 551X 網絡限速對整個網段限速 也可對單個ip 實例中為對網段限速4Masa846-k8.bin 測試okobject-group network rate_limitnetwork-object 192.168.0.0 255.255.255.0access-list ra

思科ASA防火軟件IOS,附下載鏈接

思科 ios cisco asa802-k8.binasa803-k8.binasa804-k8.binasa805-k8.binasa822-k8.binasa823-k8.binasa824-k8.binasa831-k8.binasa832-k8.binasa841-k8.binasa842

ASA防火限速

限速目的:對192.168.57.0段用戶限速30M(即下載速度30/8,上傳同),192.168.57.1和192.168.57.127除外access-list rate-limiting extended deny ip any 192.168.57.1 255.255.255.255access-l

10. Firewalls防火 2個)

apt pen 功能 2個 nat 優先 以及 網絡 用戶空間 Netfilter是在標準Linux內核中實現的強大的包過濾器。 用戶空間iptables工具用於配置。 它現在支持數據包過濾(無狀態或有狀態),各種網絡地址和端口轉換(NAT / NAPT),以及用於第三方擴

ASA 5500系列防火忘記密碼之後的恢復步驟

配置寄存器 防火墻 asa 密碼恢復 楊書凡 由於各種原因,如果忘記了ASA的enable密碼,就無法進入特權模式,因此也就無法對ASA進行配置。前面已經介紹了路由交換的密碼恢復,而ASA的密碼恢復方法與路由器相似,修改配置寄存器的值,啟動時繞過startup-config配置文件

ASA防火Object對象/Object-group對象組的定義

思科asa這邊還是基於之前的ASA防火墻拓撲圖來講,在Object對象中使用比較多的是用來定義IP地址、IP Subnet、域名、服務端口號(源端口和目的端口)在Object-group對象組中,可以將之前定義具有相同屬性的Object對象放在一個Object-group對象組中使用Object對象和Obje

ASA防火利用Object對象/Object-group對象組簡化訪問策略配置

思科asa以下的內容還是基於之前的ASA網絡拓撲:DMZ ZONE IP地址:192.168.10.100的主機作為NTP服務器提供時間同步服務,NTP服務器能夠和INTERNETNTP服務器同步時間配置訪問策略:object network ntp-server1 fqdn ntp.ubuntu.com o