思科ASA防火墙部署和基本配置

最新推荐文章于 2024-08-21 08:45:00 发布
最新推荐文章于 2024-08-21 08:45:00 发布
阅读量1.5w 收藏 127
点赞数 13
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hhhhhhdj/article/details/106113226
版权

在这里插入图片描述
项目案例拓扑分析:
整个网络拓扑分三个部分:企业边界网络、DMZ区域和Inside区域,分析如下
(1)企业边界网络:路由器出接口IP可以是固定的,也有可能不固定的,IP通过DHCP获得的或拨号获得的,R1配置为PAT服务器。根据需要R1和防火墙ASA1可以合二为一,防火墙直接连入互联网。
(2)核心安全设备ASA1是路由+NAT部署模式或路由模式。接口逻辑名称,安全级别如图示配置,G2接口需要划分两个子接口G2.2和G2.3,分别封装成VLAN2和VLAN3;ASA1也可配置动态PAT。
(3)DMZ区域:C2是HTTP、FTP、Telnet、E_Mail服务器,R2可为测试用。
R2:172.16.1.10/24
C2:172.16.1.20/24
(4)Inside区域:划分2个子区域Inside2(Vlan2)和Inside3(Vlan3):
Inside2(Vlan2)接口IP:192.168.100.1/24,安全级别100。
Inside3(Vlan3)接口IP:192.168.200.1/24,安全级别100。
(5)SW2为多层交换机
划分2个VLAN:2和3;R4用户为VLan2,R5和C3用户为Vlan3.
R4:192.168.100.4/24
R5:192.168.200.5/24
C3:192.168.200.3/24
(6)SW1为普通二层交换机
3、IP地址规划
(1)Inside区域:Inside2子区域:192.168.100.0/24和Inside3子区域:192.168.200.0/24
(2)DMZ区域:172.16.1.0/24,R2和C2 IP地址如图示。
(3)ASA1和R1之间网络2个地址11.1.1.2/24和11.1.1.1/24
(4)各设备接口IP地址如拓扑图标示
四、项目实训要求
1、R1配置默认路由,配置动态PAT,允许Inside2和Inside3接口的网络访问Internet;f0/0的IP通过DHCP或拨号获得。如果ASA1也配置动态PAT,R1上动态PAT如何配置呢?
2、配置ASA1 接口G0、G1的逻辑名称、安全级别和IP地址。
3、配置ASA1 接口G2:划分2个子接口G2.2和G2.3并封装成Vlan2、Vlan3、逻辑名称分别是Inside2和Inside3、安全级别都为100,IP地址G2.2:192.168.100.1/24,G2.3:192.168.200.1/24。
4、ASA1为路由模式或为路由+NAT模式(二选一):
路由模式:配置静态默认路由
路由+NAT模式:配置动态PAT、配置静态默认路由。
5、Inside2子区域和Inside3子区域:192.168.100.0/24和192.168.200.0/24能够相互访问
6、配置R2、R4、R5的IP地址和路由
7、Inside2区域和DMZ区域能够基于TCP和UDP相互访问
8、Inside3区域和DMZ区域关于ICMP协议可根据实训需求配置以测试连通性,允许Inside3区域可以Ping通DMZ区域,但DMZ区域只有C2能与Inside3区域的C3相互Ping通。
五、实训需要知识点和技术
1、知识点:
(1)路由器和防火墙工作原理
(2)状态化连接、默认访问规则
(3)动态PAT工作原理。
2、技术:
(1)NAT配置技术
(2)ACL配置技术
(3)路由配置技术
(4)服务器配置技术

第一步、先把各个设备的接口IP配置好

> 路由器的省略,演示ASA防火墙 配置接口IP

ASA(config)# int g0
ASA(config-if)# no shutdown
ASA(config-if)# nameif outside    (将g0口定义为外接口)
ASA(config-if)# security-level 0  (权限等级设置为0)
ASA(config-if)# ip addr 11.1.1.2 255.255.255.0
ASA(config-if)# int g1            (将g1口定义为dmz接口)
ASA(config-if)# no shutdown
ASA(config-if)# nameif dmz
ASA(config-if)# security-level 50     (权限等级设置为50)
ASA(config-if)# ip address 172.16.1.1 255.255.255.0
ASA(config-if)# int g2           (将g2口定义为内接口)
ASA(config-if)# no shutdown
ASA(config)# int g2.2             (进入子接口,并封装VLAN2)
ASA(config-subif)# vlan 2
ASA(config-subif)# nameif inside2
ASA(config-subif)# security-level 100
ASA(config-subif)# ip addr 192.168.100.1 255.255.255.0
ASA(config)# int g2.3
ASA(config-subif)# vlan 3          (进入子接口,并封装VLAN3)
ASA(config-subif)# nameif inside3
ASA(config-subif)# security-level 100     (权限等级设置为100)
ASA(config-subif)# ip addr 192.168.200.1 255.255.255.0

第二步、三层交换机划分VLAN 并吧相应接口加入对应VLAN

R1(config)#vlan 2
R1(config-vlan)#name vlan2
R1(config-vlan)#exit
R1(config)#vlan 3
R1(config-vlan)#name vlan3
R1(config-vlan)#exit
R1(config)#int f1/1
R1(config-if)#switchport mode access
R1(config-if)#switchport access vlan 2
R1(config)#int range f1/2 - 3
R1(config-if-range)#sw mo access
R1(config-if-range)#sw acc vlan 3
R1(config)#int f1/0
R1(config-if)#sw tr en d
R1(config-if)#sw mo tr

第三步、R2 R3 R4 ASA 配置默认路由

R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1
R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.200.1
R4(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.1
ASA(config)#route 0 0 11.1.1.1
ASA(config)#fixup protocol icmp  (防火墙必须开启此命令 才可以ping通)

第四步、在企业边界路由器(R5)上配置静态路由

R5(config)#ip route 192.168.100.0 255.255.255.0 11.1.1.2
R5(config)#ip route 192.168.200.0 255.255.255.0 11.1.1.2
R5(config)#ip route 172.16.1.0 255.255.255.0 11.1.1.2

第五步、在企业边界路由器(R5)上配置PAT

R5(config)#int f0/1
R5(config-if)#ip nat outside
R5(config-if)#int f0/0
R5(config-if)#ip nat inside
R5(config)#access-list 1 permit 192.168.100.0 0.0.0.255
R5(config)#access-list 1 permit 192.168.200.0 0.0.0.255
R5(config)#ip nat inside source list 1 interface fastethernet 0/1

DMZ区域基于TCP、UDP访问Inside2区域

ASA(config)#access-list 101 extended permit tcp 172.16.1.0 255.255.255.0 192.168.100.0 255.255.255.0 
ASA(config)#access-list 101 extended permit udp 172.16.1.0 255.255.255.0 192.168.100.0 255.255.255.0
ASA(config)# access-group 101 in interface dmz

Inside2子区域和Inside3子区域:192.168.100.0/24和192.168.200.0/24能够相互访问

ASA(config)# same-security-traffic permit inter-interface

结束

HackerGE
关注
Cisco防火墙基础介绍及配置
weixin_34195364的博客
04-27 3348
一、ASA(状态化防火墙)安全设备介绍: Cisco硬件防火墙技术应用领域: PIX 500 系列安全设备。 ASA 5500系列自适应安全设备。 Catalyst 6500 系列交换机和Cisco 7600 系列路由器的防火墙服务模块。 Cisco ASA 5500 系列自适应安全设备提供了整合防火墙、入 侵保护系统(IPS)、高级自适应威胁防御服务,其中包括应用安全和简化网络安...
Cisco 路由器防火墙配置命令及实例
weixin_34413103的博客
09-10 3246
  一、access-list 用于创建访问规则。   (1)创建标准访问列表   access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]   (2)创建扩展访问列表   access-list [ normal | special ] listnum...
思科ASA防火墙HA部署
01-02
ASA防火墙的HA脚本,有很多同学都在问,我直接分享出来吧!
Cisco路由器防火墙配置命令及实例.pdf
12-04
Cisco路由器防火墙配置命令及实例.pdf
Cisco Secure Firewall Threat Defense Virtual 7.4.2 - 思科下一代防火墙软件
最新发布
sysin | SYStem INside
08-21 858
Cisco Secure Firewall Threat Defense Virtual 7.4.2 - 思科下一代防火墙软件
思科防火墙配置命令(详细命令总结归纳)
热门推荐
1风天云月的博客
10-10 3万+
前言 防火墙的实施是每个网络基础设施必要且不可分割的组成部分,传统的防火墙功能已经从最初保护网络免于未授权外部访问的攻击得到了进一步的发展,现在的防火墙通常具备多种功能,下面介绍一下思科防火墙的详细配置方法 一、防火墙介绍 防火墙用于维护一个关于用户信息的连接表,称为Conn表,表中信息有:源ip地址、目的ip地址、ip协议(如http、ftp等)、ip协议信息(协议端口号等),防火墙能够基于特定的网络、主机和服务(TCP/UDP端口号)控制网络访问 二、防火墙配置 ...
思科防火墙配置(包含网络安全配置部分)以Cisco ASA5508-K9为例
weixin_47450720的博客
02-19 1567
配置Cisco ASA5508-K9防火墙涉及一系列步骤,包括基本网络设置、防火墙功能配置以及网络安全设置。以下是通用的配置指引,但请注意确保在操作之前对网络环境和设备有充分了解,以避免潜在的问题,特别是在生产环境下。
CiscoASA防火墙图文配置实例.
12-26
非常实用,没有接触过的的可以一看,试用于Cisco ASA防火墙
思科SAS系列防火墙详细配置教程
01-04
思科Firepower 是集成的网络安全和流量管理产品套件,部署在专用平台上或作为软件解决方案。系 统旨在帮助您以符合组织的安全策略(网络保护准则)的方式处理网络流量。 在典型部署中,安装于各网段的多台流量感应受管设备监控流量以进行分析并向管理器报告。 • Firepower 管理中心 • Firepower 设备管理器 • 自适应安全设备管理器(ASDM) 管理器提供具有图形用户界面的中央管理控制台,供您用于执行行政管理、普通管理、分析和报告 任务。 本指南重点介绍Firepower 管理中心管理设备。有关通过ASDM 管理FirePOWER 服务的Firepower 设备管理器或ASA 的信息,请参阅有关这些管理方法的指南。
asa 防火墙拦截了https_防火墙ASA)的基本配置与远程管理
weixin_39757739的博客
01-12 924
在目前大多数安全解决方案中,防火墙的实施是最为重要的需求,它是每个网络基础设施必要且不可分割的组成部分。这篇博客主要介绍防火墙安全算法的原理与基本配置以及远程管理防火墙的几种方式硬件与软件防火墙1.软件防火墙软件防火墙单独使用软件系统来完成防火墙功能,将软件部署到系统主机上,其安全性较硬件防火墙差,同时占用系统资源,在一定程度上影响系统性能。其一般用于单机系统或个人计算机,极少用于计算机网络,如瑞...
解决Cisco ASA防火墙常见问题及配置指南
本文档深入探讨了Cisco ASA防火墙在实际部署过程中遇到的多种疑难杂症及其解决方案。首先,针对内部网络无法与互联网通信的...通过阅读本文档,读者将能更好地理解和解决在Cisco ASA防火墙部署和运维中遇到的复杂问题。
思科防火墙简易配置
10-24
思科防火墙简易配置手册
《Cisco防火墙配置指南》
06-01
Cisco防火墙配置指南,里面都有,需要的自己下载吧
思科ASA和PIX防火墙配置手册.pdf
06-10
思科ASA和PIX防火墙配置手册
思科pix防火墙配置实例大全
08-31
通过一些相关的实例,详细的介绍了思科防火墙的各种配置指令配置方法。
asa清空配置_Cisco ASA 高级配置
weixin_32263265的博客
02-06 977
Cisco ASA 高级配置一、防范IP分片攻击1、Ip分片的原理;2、Ip分片的安全问题;3、防范Ip分片。这三个问题在之前已经详细介绍过了,在此就不多介绍了。详细介绍请查看上一篇文章:IP分片原理及分析。二、URL过滤利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的。实施URL过滤一般分为以下三个步骤:(1) 创建class-map (类映射),识别传输...
思科防火墙IPsec配置-主模式方式(基于9.9版本)
xiayu0912的专栏
02-06 2213
思科防火墙9.9版本,配置Ipsec主模式
思科防火墙IPsec配置-野蛮模式方式(基于9.9版本)
xiayu0912的专栏
02-21 1640
思科防火墙ASA配置野蛮模式建立IPse连接
Cisco的防火墙设置
weixin_34381666的博客
08-28 283
Cisco的防火墙设置 开启CBAC,配置嘛,确实很麻烦,不过确实是很有用。以下是我自己26的全配置,任何包含CBAC和inspect的部分都是有关防火墙的。CBAC定义审查的协议,ACL定义缺省阻塞的数据。对于Cisco的防火墙设置基本上不是那么简单的,具体最好参看Cisco文档。 Current configuration :3012...
cisco ASA5510防火墙配置
05-30
对于 Cisco ASA5510 防火墙配置,一般可以通过以下步骤来实现: 1. 连接至ASA5510:使用串口或者Telnet方式连接至ASA5510。 2. 配置基本网络参数:配置ASA5510的IP地址、网掩码、默认网关等基本网络参数。 3. 配置管理接口:为ASA5510配置管理接口,以便管理员可以通过Web界面或者SSH协议进行管理。 4. 配置ACL规则:配置ASA5510的ACL规则,以便对进出防火墙网络流量进行控制。 5. 配置NAT规则:配置ASA5510的NAT规则,以便对内部网络流量进行转换,使其能够访问外部网络。 6. 配置VPN:如需在ASA5510上配置VPN,需要进行相关设置,包括VPN类型、加密方式等。 7. 配置服务:配置ASA5510的各种服务,如SSH、HTTP、FTP等。 8. 配置日志:为了更好地监控和管理ASA5510,需要配置日志记录功能,以便记录各种事件和异常。 以上是对于 Cisco ASA5510 防火墙基本配置步骤,具体的配置方法需要根据实际需求进行调整。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值