CCSP实验:PIX 8.0(2)防火墙实现从低安全区域到高安全区域访问配置实验

最新推荐文章于 2024-02-21 22:20:01 发布
最新推荐文章于 2024-02-21 22:20:01 发布
阅读量5k 收藏 1
点赞数
分类专栏: 防火墙 cisco 网络 文章标签: 防火墙 interface authentication statistics tcp access
网络 同时被 3 个专栏收录
12 篇文章 0 订阅
订阅专栏
防火墙
3 篇文章 0 订阅
订阅专栏
cisco
2 篇文章 0 订阅
订阅专栏

CCSP实验:PIX 8.0(2)防火墙实现从低安全区域到高安全区域访问配置实验

网络拓扑:

实验环境描述:PIX防火墙E0接口定义为inside区,Security-Level:100,接LAN-Router F0/0;PIX防火墙E1接口定义为outside区,Security-Level:0,接WAN-Router F0/0;PIX防火墙E3接口定义为dmz区,Security-Level:50,接DMZ-Router F0/0。本实验环境非真实环境,而是通过Dynamips+Pemu模拟的,难免存在Bug。

实验目的:实现低安全区域到高安全区域访问,即从WAN-Router和DMZ-Router能分别ping通/telnet通LAN-Router F0/0接口IP(192.168.2.2)的映射IP。

详细配置步骤:(注:假如接口IP已配置完成)

一、路由配置

PC:route add 192.168.2.0 mask 255.255.255.0 192.168.1.115 -p
route add 172.16.8.0 mask 255.255.255.0 192.168.1.115 -p
route add 10.0.0.0 mask 255.255.255.0 192.168.1.115 -p

LAN-Router:ip route 0.0.0.0 0.0.0.0 192.168.2.1

PIX:route inside 192.168.1.0 255.255.255.0 192.168.2.2

WNA-Router:ip route 0.0.0.0 0.0.0.0 172.16.8.1

DMZ-Router:ip route 0.0.0.0 0.0.0.0 10.0.0.1

二、定义静态IP映射(也称一对一映射)(在PIX上配置

static (inside,dmz) 192.168.3.168 192.168.2.2 netmask 255.255.255.255 #实现从dmz区访问inside区的192.168.2.2时,就直接访问192.168.2.2 对dmz区的映射IP:192.168.3.168
static (inside,outside) 192.168.3.188 192.168.2.2 netmask 255.255.255.255 #实现从outside区访问inside区的192.168.2.2时,就直接访问192.168.2.2 对outside区的映射IP:192.168.3.188

三、定义access-list

access-list dmz_inbound extended permit icmp host 10.0.0.8 host 192.168.3.168 #放开ping权限
access-list dmz_inbound extended permit tcp host 10.0.0.8 host 192.168.3.168 eq telnet#放开telnet权限
access-list outside_inbound extended permit icmp host 172.16.8.10 host 192.168.3.188#放开ping权限
access-list outside_inbound extended permit tcp host 172.16.8.10 host 192.168.3.188 eq telnet#放开telnet权限

四、在接口上应用access-list

access-group dmz_inbound in interface dmz
access-group outside_inbound in interface outside

五、测试

在DMZ-Router上分别ping和telnet 192.168.3.168:

DMZ#ping 192.168.3.168

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.168, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 232/281/316 ms
DMZ#telnet 192.168.3.168
Trying 192.168.3.168 ... Open

User Access Verification

Password:
LAN>

以下为在PIX上开启debug icmp trace时看到的输出信息:

PIX802(config)# ICMP echo request from dmz:10.0.0.8 to inside:192.168.3.168 ID=127 seq=1292 len=72
ICMP echo request untranslating dmz:192.168.3.168 to inside:192.168.2.2
ICMP echo reply from inside:192.168.2.2 to dmz:10.0.0.8 ID=127 seq=1292 len=72
ICMP echo reply translating inside:192.168.2.2 to dmz:192.168.3.168
ICMP echo request from dmz:10.0.0.8 to inside:192.168.3.168 ID=128 seq=1292 len=72
ICMP echo request untranslating dmz:192.168.3.168 to inside:192.168.2.2
ICMP echo reply from inside:192.168.2.2 to dmz:10.0.0.8 ID=128 seq=1292 len=72
ICMP echo reply translating inside:192.168.2.2 to dmz:192.168.3.168
ICMP echo request from dmz:10.0.0.8 to inside:192.168.3.168 ID=129 seq=1292 len=72
ICMP echo request untranslating dmz:192.168.3.168 to inside:192.168.2.2
ICMP echo reply from inside:192.168.2.2 to dmz:10.0.0.8 ID=129 seq=1292 len=72
ICMP echo reply translating inside:192.168.2.2 to dmz:192.168.3.168
ICMP echo request from dmz:10.0.0.8 to inside:192.168.3.168 ID=130 seq=1292 len=72
ICMP echo request untranslating dmz:192.168.3.168 to inside:192.168.2.2
ICMP echo reply from inside:192.168.2.2 to dmz:10.0.0.8 ID=130 seq=1292 len=72
ICMP echo reply translating inside:192.168.2.2 to dmz:192.168.3.168
ICMP echo request from dmz:10.0.0.8 to inside:192.168.3.168 ID=131 seq=1292 len=72
ICMP echo request untranslating dmz:192.168.3.168 to inside:192.168.2.2
ICMP echo reply from inside:192.168.2.2 to dmz:10.0.0.8 ID=131 seq=1292 len=72
ICMP echo reply translating inside:192.168.2.2 to dmz:192.168.3.168

六、PIX配置

PIX802# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname PIX802
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet1
nameif outside
security-level 0
ip address 172.16.8.1 255.255.255.0
!
interface Ethernet2
nameif dmz
security-level 50
ip address 10.0.0.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list dmz_inbound extended permit icmp host 10.0.0.8 host 192.168.3.168 log
access-list dmz_inbound extended permit tcp host 10.0.0.8 host 192.168.3.168 eq telnet log
access-list outside_inbound extended permit icmp host 172.16.8.10 host 192.168.3.188
access-list outside_inbound extended permit tcp host 172.16.8.10 host 192.168.3.188 eq telnet
pager lines 24
mtu inside 1500
mtu outside 1500
mtu dmz 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
static (inside,dmz) 192.168.3.168 192.168.2.2 netmask 255.255.255.255
static (inside,outside) 192.168.3.188 192.168.2.2 netmask 255.255.255.255
access-group outside_inbound in interface outside
access-group dmz_inbound in interface dmz
route inside 192.168.1.0 255.255.255.0 192.168.2.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
!
prompt hostname context
Cryptochecksum:00000000000000000000000000000000
: end

实验总结:
1、当流量从低安全区域流向高安全区域时,即使路由已经配通了,也不能成功访问;
2、当流量从低安全区域流向高安全区域时,路由已经配通了,同时必须正确配置了static IP地址映射及access-list,才能成功访问;
3、当流量从低安全区域流向高安全区域时,调通路由是基础,同时只跟static/access-list有关,而跟nat/global毫无关系。

richardsax
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CCNP安全课程(原CCSP)-SNRS视频-泰克实验
07-23
资源名称:CCNP安全课程(原CCSP)-SNRS视频-泰克实验室   资源目录: 【】泰克网络实验室_-SNRS--1.1(1) 【】泰克网络实验室_-SNRS--1.2(AAA-EAP) 【】泰克网络实验室_-SNRS--1.3 【】泰克网络实验室_-SNRS--1.4 【】泰克网络实验室_-SNR 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
【ASA5520防火墙-eve-ng】ASA5520基础知识介绍
Zyecho的博客
03-04 614
本文主要介绍ASA5520防火墙的基本知识和配置
asa 5505配置常用命令
weixin_33875839的博客
03-04 517
在配ASA 5505时用到的命令 nat-control命令 在6.3的时候只要是穿越防火墙都需要创建转换项,比如:nat;static等等,没有转换项是不能穿越防火墙的,但是到了7.0这个规则有了变化,不需要任何转换项也能...
思科防火墙IPsec配置-野蛮模式方式(基于9.9版本)
xiayu0912的专栏
02-21 861
思科防火墙ASA配置野蛮模式建立IPse连接
ASA 8.4命令解析
weixin_34007879的博客
05-20 635
前面发表了一篇文章是ASA 8.0版本的,后面用到8.4发现命令有很多不一样,特发一篇8.4版本的命令可以和前面命令做对比和参考需要注意的是1.这边没有nat 0,也就是说到DMZ区域不需旁路。2.如果是ASA 5505的设备,则需定义vlan端口地址然后把防火墙相应端口加入对应vlan.:ASA Version 8.4(2) ...
ASA 配置笔记
weixin_33890499的博客
12-30 415
公司最近增加一台CISCOASA5510-K8防火墙设备,也算是初次接触吧,一波三折,折腾了一个多星期也算基本摸清,现为这一个多星期的折腾记录一下,日后少做一些无用功。这次ASA主要用于远程接入及一部分服务器外网访问,按此需求也列出以下ASA需配置的项目:1、远程接入,IPSec***或SSL***,因购买此型号的防火墙SSL***授权只有两个,只有选...
防火墙基本原理
Goallegoal的博客
04-15 3044
防火墙基本原理 概述 防火墙,firewall,网络安全中最基本的安全产品,用于实现边界安全区域防护。 内网访问互联网时,防火墙应允许访问数据流经过,但当外部互联网有访问内网请求时,为保证内网安全,应拒绝该数据流。 随着信息安全和等级保护的发展,防火墙已成为必备设备。 功能 1、安全防护 2、VPN 网关 3、入侵防护 4、病毒过滤 等等 分类 按使用对象分类: 1、个人防火墙,例如:360、瑞...
ASA LAB-ASA NAT配置大全
weixin_33982670的博客
10-08 308
ASA LAB-ASA NAT配置大全两种NAT配置方式 :1- Auto(object)NAT2- Twice NATNAT分类 :Static natDynamic natStatic PATDynamic PATNat exmption今天抽空做了下八大类NAT的实验,这个文档比较常用,愿大家共同进步实验:先看下 ASA的基本配置和环境ciscoasa# sh run:...
防火墙技术之安全区域
大河之犬的博客
09-12 9228
我们在接口GE0/0/1下创建两个子接口GE0/0/1.10和GE0/0/1.20,分别对应VLAN 10和VLAN 20,然后将这两个子接口划分到不同的安全区域,而接口GE0/0/1不用加入安全区域,即可实现将PC A和PC B划分到不同安全区域的目的。安全区域配置主要包括创建安全区域以及将接口加入安全区域,下面给出了创建一个新的安全区域test,然后将接口GE0/0/1加入该安全区域的过程。源安全区域很容易确定,防火墙从哪个接口接收到报文,该接口所属的安全区域就是报文的源安全区域
穿越ASA进行traceroute或tracert测试
weixin_34088838的博客
06-14 376
一.概述:    默认情况下,ASA不会回应TTL Exceeded的包,因此traceroute/tracert看不到ASA设备;另外,由于防火墙策略限制,traceroute/tracert也无法穿越防火墙。二.基本思路:    根据traceroute/tracert不同处理方式,确定为什么无法穿越防火墙,从而放开相应的防火墙策略:A.Windows主机:    Windows主机trace...
ISC2认证云安全专家CCSP官方模拟题(完整版)
09-05
Sybex出版的isc2 CCSP官方模拟题,完整版带答案,目前其他网上能下载到的,基本都缺了201到338页即答案和解析的。 官方的介绍看这里:https://www.isc2.org/Training/Self-Study-Resources
ccsp安全 CBK 4th
11-18
ccsp安全 CBK 4th
安全专家认证 CCSP CBK Reference 第4版 英文版
02-15
安全专家认证 CCSP CBK Reference 第4版 英文原版
CCSP安全专家认证考试流程梳理.pdf
07-08
2018年底本人在香港的Pearson VUE全球授权考试中心,通过了云安全专家(CCSP)认证考试,现将基本准备和认证介绍简单归纳如下,供需要的朋友们参考,后续会写一些备考经验。
springboot(酒店管理系统)
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
BP神经网络matlab实例.doc
最新发布
04-25
数学模型算法
设计.zip
04-25
设计.zip
基于 Spring Cloud 组件构建的分布式服务架构
04-25
Java SSM项目是一种使用Java语言和SSM框架(Spring + Spring MVC + MyBatis)开发的Web应用程序。SSM是一种常用的Java开发框架组合,它结合了Spring框架、Spring MVC框架和MyBatis框架的优点,能够快速构建可靠、效的企业级应用。 1. Spring框架:Spring是一个轻量级的Java开发框架,提供了丰富的功能和模块,用于开发企业级应用。它包括IoC(Inverse of Control,控制反转)容器、AOP(Aspect-Oriented Programming,面向切面编程)等特性,可以简化开发过程、提代码的可维护性和可测试性。 2. Spring MVC框架:Spring MVC是基于Spring框架的Web框架,用于开发Web应用程序。它采用MVC(Model-View-Controller,模型-视图-控制器)的架构模式,将应用程序分为模型层、视图层和控制器层,提供了处理请求、渲染视图和管理流程的功能。 3. MyBatis框架:MyBatis是一个持久层框架,用于与数据库进行交互。它提供了一种将数据库操作与Java对象映射起来的方式,避免了手动编写繁琐的SQL语句,并提供了事务管理和缓存等功能,简化了数据库访问的过程
【微信小程序毕业设计】书店系统开发项目(源码+演示视频+说明).rar
04-25
【微信小程序毕业设计】书店系统开发项目(源码+演示视频+说明).rar 【项目技术】 微信小程序开发工具+java后端+mysql 【演示视频-编号:246】 https://pan.quark.cn/s/cb634e7c02b5 【实现功能】 用户信息管理,图书信息管理,图书类型管理,图书留言管理,论坛信息管理等
ccsp cbk 下载
08-07
CCSP CBK是指Certified Cloud Security Professional Common Body of Knowledge(CCSP CBK),即认证云安全专业人员共同知识体系。CCSP是一种云安全专业认证,由国际信息系统安全认证联盟((ISC)²)和云安全联盟...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值