思科ASA防火墙部署和基本配置

在这里插入图片描述
项目案例拓扑分析:
整个网络拓扑分三个部分:企业边界网络、DMZ区域和Inside区域,分析如下
(1)企业边界网络:路由器出接口IP可以是固定的,也有可能不固定的,IP通过DHCP获得的或拨号获得的,R1配置为PAT服务器。根据需要R1和防火墙ASA1可以合二为一,防火墙直接连入互联网。
(2)核心安全设备ASA1是路由+NAT部署模式或路由模式。接口逻辑名称,安全级别如图示配置,G2接口需要划分两个子接口G2.2和G2.3,分别封装成VLAN2和VLAN3;ASA1也可配置动态PAT。
(3)DMZ区域:C2是HTTP、FTP、Telnet、E_Mail服务器,R2可为测试用。
R2:172.16.1.10/24
C2:172.16.1.20/24
(4)Inside区域:划分2个子区域Inside2(Vlan2)和Inside3(Vlan3):
Inside2(Vlan2)接口IP:192.168.100.1/24,安全级别100。
Inside3(Vlan3)接口IP:192.168.200.1/24,安全级别100。
(5)SW2为多层交换机
划分2个VLAN:2和3;R4用户为VLan2,R5和C3用户为Vlan3.
R4:192.168.100.4/24
R5:192.168.200.5/24
C3:192.168.200.3/24
(6)SW1为普通二层交换机
3、IP地址规划
(1)Inside区域:Inside2子区域:192.168.100.0/24和Inside3子区域:192.168.200.0/24
(2)DMZ区域:172.16.1.0/24,R2和C2 IP地址如图示。
(3)ASA1和R1之间网络2个地址11.1.1.2/24和11.1.1.1/24
(4)各设备接口IP地址如拓扑图标示
四、项目实训要求
1、R1配置默认路由,配置动态PAT,允许Inside2和Inside3接口的网络访问Internet;f0/0的IP通过DHCP或拨号获得。如果ASA1也配置动态PAT,R1上动态PAT如何配置呢?
2、配置ASA1 接口G0、G1的逻辑名称、安全级别和IP地址。
3、配置ASA1 接口G2:划分2个子接口G2.2和G2.3并封装成Vlan2、Vlan3、逻辑名称分别是Inside2和Inside3、安全级别都为100,IP地址G2.2:192.168.100.1/24,G2.3:192.168.200.1/24。
4、ASA1为路由模式或为路由+NAT模式(二选一):
路由模式:配置静态默认路由
路由+NAT模式:配置动态PAT、配置静态默认路由。
5、Inside2子区域和Inside3子区域:192.168.100.0/24和192.168.200.0/24能够相互访问
6、配置R2、R4、R5的IP地址和路由
7、Inside2区域和DMZ区域能够基于TCP和UDP相互访问
8、Inside3区域和DMZ区域关于ICMP协议可根据实训需求配置以测试连通性,允许Inside3区域可以Ping通DMZ区域,但DMZ区域只有C2能与Inside3区域的C3相互Ping通。
五、实训需要知识点和技术
1、知识点:
(1)路由器和防火墙工作原理
(2)状态化连接、默认访问规则
(3)动态PAT工作原理。
2、技术:
(1)NAT配置技术
(2)ACL配置技术
(3)路由配置技术
(4)服务器配置技术

第一步、先把各个设备的接口IP配置好

> 路由器的省略,演示ASA防火墙 配置接口IP

ASA(config)# int g0
ASA(config-if)# no shutdown
ASA(config-if)# nameif outside    (将g0口定义为外接口)
ASA(config-if)# security-level 0  (权限等级设置为0)
ASA(config-if)# ip addr 11.1.1.2 255.255.255.0
ASA(config-if)# int g1            (将g1口定义为dmz接口)
ASA(config-if)# no shutdown
ASA(config-if)# nameif dmz
ASA(config-if)# security-level 50     (权限等级设置为50)
ASA(config-if)# ip address 172.16.1.1 255.255.255.0
ASA(config-if)# int g2           (将g2口定义为内接口)
ASA(config-if)# no shutdown
ASA(config)# int g2.2             (进入子接口,并封装VLAN2)
ASA(config-subif)# vlan 2
ASA(config-subif)# nameif inside2
ASA(config-subif)# security-level 100
ASA(config-subif)# ip addr 192.168.100.1 255.255.255.0
ASA(config)# int g2.3
ASA(config-subif)# vlan 3          (进入子接口,并封装VLAN3)
ASA(config-subif)# nameif inside3
ASA(config-subif)# security-level 100     (权限等级设置为100)
ASA(config-subif)# ip addr 192.168.200.1 255.255.255.0

第二步、三层交换机划分VLAN 并吧相应接口加入对应VLAN

R1(config)#vlan 2
R1(config-vlan)#name vlan2
R1(config-vlan)#exit
R1(config)#vlan 3
R1(config-vlan)#name vlan3
R1(config-vlan)#exit
R1(config)#int f1/1
R1(config-if)#switchport mode access
R1(config-if)#switchport access vlan 2
R1(config)#int range f1/2 - 3
R1(config-if-range)#sw mo access
R1(config-if-range)#sw acc vlan 3
R1(config)#int f1/0
R1(config-if)#sw tr en d
R1(config-if)#sw mo tr

第三步、R2 R3 R4 ASA 配置默认路由

R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1
R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.200.1
R4(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.1
ASA(config)#route 0 0 11.1.1.1
ASA(config)#fixup protocol icmp  (防火墙必须开启此命令 才可以ping通)

第四步、在企业边界路由器(R5)上配置静态路由

R5(config)#ip route 192.168.100.0 255.255.255.0 11.1.1.2
R5(config)#ip route 192.168.200.0 255.255.255.0 11.1.1.2
R5(config)#ip route 172.16.1.0 255.255.255.0 11.1.1.2

第五步、在企业边界路由器(R5)上配置PAT

R5(config)#int f0/1
R5(config-if)#ip nat outside
R5(config-if)#int f0/0
R5(config-if)#ip nat inside
R5(config)#access-list 1 permit 192.168.100.0 0.0.0.255
R5(config)#access-list 1 permit 192.168.200.0 0.0.0.255
R5(config)#ip nat inside source list 1 interface fastethernet 0/1

DMZ区域基于TCP、UDP访问Inside2区域

ASA(config)#access-list 101 extended permit tcp 172.16.1.0 255.255.255.0 192.168.100.0 255.255.255.0 
ASA(config)#access-list 101 extended permit udp 172.16.1.0 255.255.255.0 192.168.100.0 255.255.255.0
ASA(config)# access-group 101 in interface dmz

Inside2子区域和Inside3子区域:192.168.100.0/24和192.168.200.0/24能够相互访问

ASA(config)# same-security-traffic permit inter-interface

结束

已标记关键词 清除标记
相关推荐
<p> <br /></p> <p> 本课程适合学习完NA/NP课程或有相应水平人士。 </p> <p> 本课程介绍思科安全产品ASA配置方法与部署方法。同时介绍技术特点与部署环境的主要应用,问题及解决办法。本课程介绍了基本的图型化配置方法与命令行配置方法,使用虚拟机版本8.42,基本与真实机器无差别。 </p> <p> 本课程主要讲解的安全技术如下: </p> <p> ACL,对像组,穿越ASA,MPF,NAT,PAT,透明防火墙,多模式防火,冗余,A/S,A/A等技术介绍,同时简单介绍了关于ASA配置路由协议的命令。 </p> <p> <span style="font-size:12px;">                                                 </span><span style="font-size:12px;"><img alt="" src="/files/course/2019/01-03/1039379c4868990589.png" /></span><span style="font-size:12px;">     </span> </p> <p> <strong>课件截图:</strong> </p> <p> <strong><img src="https://img-bss.csdn.net/201903040515262803.png" alt="" /><br /></strong> </p> <p> <strong><br /></strong> </p> <p> <strong><img src="https://img-bss.csdn.net/201903040515391097.png" alt="" /><br /></strong> </p> <p> <strong><img src="https://img-bss.csdn.net/201903040515495395.png" alt="" /><br /></strong> </p> <p> <strong><img src="https://img-bss.csdn.net/201903040515594259.png" alt="" /><br /></strong> </p> <p> <strong><br /></strong> </p> <p> <strong><img src="https://img-bss.csdn.net/201903040515045052.png" alt="" /><br /></strong> </p>
©️2020 CSDN 皮肤主题: 鲸 设计师:meimeiellie 返回首页