ASA防火墙之多模式防火墙j介绍及包归类

最新推荐文章于 2024-07-10 13:12:17 发布
最新推荐文章于 2024-07-10 13:12:17 发布
阅读量1k 收藏 3
点赞数
文章标签: 网络 mac
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stephen_jj/article/details/106055988
版权

多模式防火墙的介绍及包归类

本篇讲多模式防火墙(multiple)的基本内容和防护墙对数据包的三种分类,ASA防火墙能够划分多个虚拟的防火墙,这里我们就称做子防火墙,而每个子墙都有自己的接口和安全策略,不同的子墙之间互不影响,但是子墙可以共享接口,也就说同一个的接口可以分配给不同的子墙。

子墙的配置文件

在这里插入图片描述

多模模式的切换

mode multiple //切换到多模模式。
敲上上面的命令,则会创建一个名为admin的子墙,单模模式的running configuration 将会转换为system configuration(系统配置模式)和admin.cfg,且原始的running configuration被保存为 old_running.cfg。

子墙的基本配置

ciscoasa(config)# context c1 //创建一个为C1的子墙
ciscoasa(config-ctx)# config-url disk0:/c1.cfg //为其添加配置文件保存路径,没有配置则无法进入子墙的配置模式。注意需在子墙模式下配置WR才可以保存到flash:。
ciscoasa(config-ctx)# allocate-interface e0 //为子墙划分接口
ciscoasa(config)# changeto context c1 //进入子墙配置模式
ciscoasa/c1(config)# int e0
ciscoasa/c1(config-if)# nameif outside
ciscoasa/c1(config-if)# ip address 202.100.1.10 255.255.255.0 //子墙的接口配置IP地址遵循ASA防火墙的特性,也需配置命名。

多模式防火墙的包归类

在这里插入图片描述

实例配置

在这里插入图片描述
需求1:如图所示,ASA防火墙配置多模,创建c1,c2两个子墙,将e0,e1划给c1,将e0,e2划给c2。e1,e2作为两个子墙的inside,e0作为他们的outside。配置相关命令,使得R3与R4能够ping通R1与R2。
需求2:将e3划给c1,将3划给c2,,e3作为他们的outside2。配置相关命令,使得R3与R4能够ping通R5与R6。

底层配置:
R1(202.100.1.1)
R2(202.100.1.2)
R3(10.1.1.1)
R4 (172.16.1.1)
R5(192.168.5.1
R6(192.168.6.1)
配置对应的默认路由,在不考虑ASA情况下,实现全网通。

创建子墙并添加地址,注意需先将系统墙的接口打开。
ciscoasa(config)# context c1
ciscoasa(config-ctx)# config-url disk0:/c1.cfg
ciscoasa(config-ctx)# allocate-interface e0
ciscoasa(config-ctx)# allocate-interface e1
ciscoasa(config)# changeto context c1
ciscoasa/c1(config)# int e0
ciscoasa/c1(config-if)# nameif outside
ciscoasa/c1(config-if)# ip address 202.100.1.10 255.255.255.0
ciscoasa/c1(config-if)# int e1
ciscoasa/c1(config-if)# nameif inside
ciscoasa/c1(config-if)# ip address 10.1.1.254 255.255.255.0
ciscoasa(config-ctx)# context c2
ciscoasa(config-ctx)# config-url disk0:/c2.cfg
ciscoasa(config-ctx)# allocate-interface e0
ciscoasa(config-ctx)# allocate-interface e2
ciscoasa(config)# changeto context c2
ciscoasa/c1(config)# int e0
ciscoasa/c1(config-if)# nameif outside
ciscoasa/c1(config-if)# ip address 202.100.1.20 255.255.255.0
ciscoasa/c1(config-if)# int e2
ciscoasa/c1(config-if)# nameif inside
ciscoasa/c1(config-if)# ip address 172.16.1.254 255.255.255.0

配置完成,查看接口。
在这里插入图片描述
配置ACL防火墙放行策略
ciscoasa/c1(config)# access-list out extended permit icmp any any
ciscoasa/c1(config)# access-group out in interface outside
ciscoasa/c2(config)# access-list out extended permit icmp any any
ciscoasa/c2(config)# access-group out in interface outside
配置完毕,我们来测试R1是否能ping通R3,R2是否ping通R4.

在这里插入图片描述
在这里插入图片描述

很明显,可以看出,无法ping通,但是可以获取到对应mac地址,可是mac地址对应的202.100.1.10和202.100.1.20是一样的,因此,ASA不知道应该走哪个子墙,导致无法通信。所以若想让他们正常通信,我们可以从mac地址的修改入手。只需需改其中的一个子墙MAC地址,就能区别开来,ASA就能根据不同的MAC地址识别子墙了。

ciscoasa/c2(config)# int e0
ciscoasa/c2(config-if)# mac-address 2.2.2

配置完成,再来查看。
在这里插入图片描述
在这里插入图片描述

成功ping通,且mac地址变成我们设置的那个。

需求2:
给子墙添加地址,注意需先将系统墙的接口打开。
ciscoasa/c1(config)# int e3
ciscoasa/c1(config-if)# nameif outside2
ciscoasa/c1(config-if)# ip address 192.168.5.254 255.255.255.0
ciscoasa/c1(config-if)# changeto context c2
ciscoasa/c2(config)# int e3
ciscoasa/c2(config-if)# nameif outside2
ciscoasa/c2(config-if)# ip address 192.168.6.254 255.255.255.0
配置ACL防火墙放行策略
ciscoasa/c1(config-if)# access-group out in interface outside2
ciscoasa/c2(config-if)# access-group out in interface outside2

配置完成,来查看。
R3pingR5,R4pingR6。
在这里插入图片描述

可以发现,ping不同,问题与上面的方法一样,区别在于这里是不同网段的,所以下面就通过NAT的方法来解决问题。

ciscoasa/c1(config)# object network R3-R5
ciscoasa/c1(config-network-object)# host 10.1.1.1
ciscoasa/c1(config-network-object)# nat (inside,outside2) dynamic interface
ciscoasa/c2(config)# object network R4-R6
ciscoasa/c2(config-network-object)# host 172.16.1.1
ciscoasa/c2(config-network-object)# nat (inside,outside2) dynamic interface

配置完成,再来查看
在这里插入图片描述
在这里插入图片描述

这里都能成功的ping通,NAT将源地址直接转换到了该接口网段,所以ASA能够直接的去识别子墙。

若是相同安全级别的想相互互通的话,除了上述的配置nat改成(outside,outside2),另外还要加上下面这条配置。
ciscoasa/c1(config)# same-security-traffic permit inter-interface

成禾
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙介绍以及各类防火墙的特点
GODMAO666的博客
03-17 1378
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可以通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
26-思科防火墙:多模式防火墙实验
weixin_34345753的博客
07-07 1179
一、实验拓扑: 二、实验要求:1、切换到多模式、路由模式ASA模式在接口下没法配IP地址(同理透明模式也一样),只能在子防火墙下配置;2、ASA接口no shutdown,然后创建子防火墙:admin、vir;3、创建子防火墙前要先创建管理类型的子防火墙admin;4、ASA直接下载百度网盘里老师的文件夹,打开.vmx文件就可以,不然虚拟子防火墙是0。三、命令部署:1、路由器基本配置:R1(c...
ASA模式防火墙_06
weixin_33694172的博客
07-02 404
模式防火墙部署建议1.一个ASA虚拟多个防火墙Security context2.子墙能共享物理接口(也可分子接口给不同防火墙)3.每个子墙都有配置文件,ASA还有个系统配置文件(关于各个子墙分配)4.防火墙模式设置会影响整个Cisco 防火墙,不能一部分路由,一部分透明5.先改变防火墙模式(如改为透明模式),再创建子墙6.透明模式防火墙不能够使用共享接口7.当使用共享接...
Cisco ASA 5520配置笔记
##
10-24 1万+
基本规则1) 默认情况下,ASA只对穿越的TCP/UDP流量维护状态化信息,由于ping使用icmp,所以默认是ping不通的。 2) 接口安全级别的范围为0-100,inside接口安全级别默认为100,其他接口为0。 3) 默认情况下,从高安全级别接口往低安全级别接口的流量是放行的;从低安全级别接口到高安全级别接口的流量是不允许的,但可以通过ACL放行;相同安全级别的接口间流量不允许相
ASA防火墙的网管方式ACL配置实例
Stephen_jj的博客
04-26 2744
ASA防火墙的网管方式ACL配置实例 上篇讲了ASDM的使用,那本篇就讲一下命令模式的配置ASA防火墙网络管理以及ACl配置。 ASA防火墙的网管方式 拓扑 1、telnet 需求 inside区域允许网段192.168.150.0/24通过telnet访问ASA,并且使用本地数据库认证 ASA(config)#telnet 192.168.150.0 255.255.255.0 insid...
pix防火墙基本配置命令
weixin_34346099的博客
10-31 330
一、PIX防火墙的认识PIX是Cisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。PIX有很多型号,并发连接数是PIX防火墙的重要参数。PIX25是典型的设备。PIX防火墙常见接口有:console、Failover、Ethernet、USB。 网络区域:内部网络:inside外部网络:outside中间区域:称DMZ(停火区)。放置对外开放的服务器。二、防火墙...
Cisco ASA Security Context【虚拟防火墙
网络之路Blog(其他平台同名)
03-06 1449
简介 security Context技术就是把一个防火墙虚拟出多个防火墙,每个虚拟的防火墙有独立的配置、接口、而且互不影响,这对于ISP IDC机房或者一些大学、企业部分做不同的策略控制比较有用。 system config:其实就是物理防火墙本身,在这个模式下的防火墙只能划分不同的Context,对于这些Context做相对应的配置,它并不做实际的流量转发 admin config :它是当转换成multiple后自动会有的一个Context,它用于在system和其他虚拟Context之间进行切换管
ASA防火墙之NAT的实例配置
Stephen_jj的博客
04-30 8920
ASA防火墙之NAT的实例配置 关于nat的知识点我们在讲路由器的时候已经讲述过了,具体为啥配置NAT技术这里不再讲述,本篇讲述的关于ASA防火墙的各个NAT配置实例的分析,包括static NAT、network static NAT、static PAT、static NAT DNS rewrite、dynamic NAT、dynamic PAT、twice NAT。 动态NAT(dynami...
思科ASA防火墙镜像文件 asa843
02-10
希望可以帮助到各位!
Cisco_ASA5505防火墙详细配置教程及实际配置案例.pdf
09-29
Cisco_ASA5505防火墙详细配置教程及实际配置案例.pdf 内容为PDF格式书籍文件,内容高清 ,有问题欢迎随时站内私信联系,拒绝差评,谢谢!
思科ASA防火墙端口映射
01-07
ASA5506X> en Password: ******** ASA5506X# conf t ASA5506X(config)# object network serverMES216_port80_map ASA5506X(config-network-object)# host 10.24.11.216 ASA5506X(config-network-object)# nat ...
思科ASA防火墙镜像文件 asa842
02-10
希望可以帮助到各位!
思科ASA防火墙镜像文件 asa825
02-10
希望可以帮到各位
Cisco ASA防火墙创建multi context多模式的新手入门教程
TylerDu的博客
06-19 1289
1. VRF和Multi Context多模式的区别 VRF说白了就是创建多个彼此隔离的路由表。 但是Multicontext是将一个设备虚拟成多个, 每个虚拟设备可以单独分配给不同的客户使用, 客户只能看到他被分配的那部分虚拟设备对应的资源。 ASA正常来讲是没有VRF配置的, 只能配置Multi Context 2. Cisco ASA Multi Context的创建及切换 下面我们将ASA从单模式single mode切换到多模式multi mode //创建一个名字叫做edge的context
思科设备:访问控制列表,以及在路由器和防火墙上常见的几种NAT及其配置方法。
向上的信念
09-14 3087
一. 访问控制列表: 1)标准访问控制列表。(1-99) Router(config)#access-list 1 permit 1.1.1.1 2.2.2.2 2)扩展访问控制列表。(100-199) Router(config)#access-list 100 permit tcp 1.1.1.1 0.0.0.0 2.2.2.2 0.0.0.0 Router(config)#access-li...
ASA防火墙策略配置
weixin_33785108的博客
11-06 2304
网络拓扑图如下:思科的ASA防火墙属于状态化防火墙(对于ICMP协议没有实现状态化的连接)配置访问策略时,只需要配置源主机访问目的主机TCP/UDP某些端口,策略应用在源主机所在区域的IN方向上例如:如图中拓扑图结构:防火墙上有四个区域:OUTSIDE ZONE 1.1.1.1/24DMZ ZONE 192.168.10.254/24INSIDE ZONE 1...
单出口双防火墙双核心冗余_CISCO ASA防护墙详细AS/双出口配置切换---By 年糕泰迪...
weixin_36394468的博客
01-17 1449
一.实验概述实验目的:1/开机零配置中性企业网络骨干架构。2/部署出口防火墙HA(Active/Standby)并验证测试。3/部署双出口自动冗余切换并验证测试。实验材料:EVE-NG ,ASAv(v9.8) ,路由器,L3交换机。实验前提此次实验防火墙为routed模式,并且为single模式实验拓扑:拓扑说明:1/名称说明:Net云为通EVE-NG模拟器主机桥接的NAT网卡,负责该网络拓扑向外...
ASA配置命令
热门推荐
chentaocba的专栏
07-04 2万+
要想配置思科的防火墙得先了解这些命令:   常用命令有:nameif、interface、ip address、nat、global、route、static等。   global   指定公网地址范围:定义地址池。   Global命令的配置语法:   global (if_name) nat_id ip_address-ip_address [netmark global_mask]
从零开始做题:logtime
最新发布
weixin_44626085的博客
07-10 204
给出1个pcapng文件。
ASA防火墙笔记及原理
05-17
ASA防火墙是思科公司开发的一种高级网络安全设备,它可以对网络流量进行过滤和管理,以保护网络中的设备和数据不受未经授权的访问、恶意软件和攻击的影响。下面是ASA防火墙的一些基本原理和笔记: 1. ASA防火墙的基本原理是基于ACL(访问控制列表)和NAT(网络地址转换)实现的。 2. ACL是ASA防火墙的基本过滤规则,它可以根据源和目标IP地址、端口号、协议类型、报文方向等因素进行过滤和管理,以控制网络流量的进出。 3. NAT是ASA防火墙的另一个重要功能,它可以将私有IP地址转换为公网IP地址,以实现网络地址转换和隐藏内部网络拓扑结构。 4. ASA防火墙还可以提供VPN(虚拟专用网络)功能,以加密和保护远程用户和外部设备对内部网络的访问。 5. ASA防火墙还支持多种安全协议,如IPSec、SSL、TLS等,以提供加密和认证等安全保障。 6. ASA防火墙的配置和管理可以通过命令行界面(CLI)、图形界面(ASDM)或者远程管理工具(SSH、Telnet)进行实现。 7. ASA防火墙还支持多种高可用性和容错机制,如冗余模式、主备模式、负载均衡等,以提高网络的可靠性和稳定性。 8. ASA防火墙还可以与其他网络设备、安全系统和管理平台进行集成和协同工作,以实现更高级别的网络安全管理和威胁检测等功能。 总之,ASA防火墙是一种功能强大、易用性高、安全性能优越的网络安全设备,它可以有效地保护企业网络和数据不受各种安全威胁的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值