思科ASA防火墙: 接口配置名称 && 安全等级 && acl防控列表

已于 2023-04-07 20:41:44 修改
阅读量2.8k 收藏 14
点赞数
分类专栏: Cisco网络设备 文章标签: 运维 asa防火墙 思科防火墙 防火墙acl
于 2023-04-07 10:19:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w14768855/article/details/130003942
版权

 环境:上图环境  

win10 内 ip:192.168.1.1 /24    网关   : 192.168.1.254

win10 外 ip: 172.12.12.1 /24   网关   :172.12.12.254

asa    e0/0接口 : 192.168.1.254      e0/1  接口 : 172.12.12.254

1.基础配置

现在asa上无任何 两台win10也只是配置了ip

防火墙上的接口ip配置也是和路由器一样的

内e0/0

 

 外e0/1

2.接口命名 && 安全等级

asa进入e0/0接口

nameif ru 

nameif + 自定义接口名称 

security-level 100

 security-level + (0 - 100数越高安全等级越高,如果你不知道安全等级是干什么的或者一些通信规则可以直接去网上搜索)

这样f0/0就配置完了 以下   :ip  ,   命名    , 安全等级    由于防火墙规则对某些协议只出不进目前还没做acl可以相互通信:所以内网192.168.1.1 只能ping通自己的192.168.1.254网关

进入asa e0/1接口

 nameif chu

nameif 后面加名称  名称自己定义

 security-level 0

  security-level + 安全等级

现在基本的都配置好了,但是内网只能ping通自己的网关,外网也是只能ping通网关

但是:用内网远程连接外网可以连接上(因为没有对某些协议进行记录,所以不会让外面的回包进来,但是自己发的可以出去,这样就造成的无法得到回应,设备就以为外网设备不存在,使用acl就可以解决)

可以远程连接但是ping不通

3.acl命名

进入asa全局模式

控制外到内

access-list wai-nei permit ip host 172.12.12.1 any

access-list + 自定义acl名称+  permit + ip host 源ip host  目标ip (any是全部 上边那个意思是 172.12.12.1 到内网全部)

如果源ip 改成any 目标 ip也是 any 那就是外网全部可以和内网全部通信

access-list wai-nei permit ip any any

access-group wai-nei in interface chu

 access-group + 刚刚定义的name +in (入)+interface + 刚刚接口名称(e0/1)

----------------------

控制拒绝内到外

 access-list nei-wai deny ip host 192.168.1.1 any

access-list nei-wai permit ip any any

access-group nei-wai in interface ru

 

内网再ping外网就ping不通了

如果内网换个ip 就可以ping通了

如果上边acl不是 192.168.1.1 而是 any 那你怎么换都不能和外变通信因为上边只控制了一个ip不能个外边通信

如果想控制单个ip也可以 

 access-list nei-wai deny ip host 192.168.1.1 hsot 172.12.12.1

鲍海超-GNUBHCkalitarro
关注
  • 0
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cisco_ASA5505防火墙详细配置教程及实际配置案例.pdf
09-29
Cisco_ASA5505防火墙详细配置教程及实际配置案例.pdf 内容为PDF格式书籍文件,内容高清 ,有问题欢迎随时站内私信联系,拒绝差评,谢谢!
思科ASA 9.14防火墙配置文档
04-29
Cisco ASA Series Firewall CLI Configuration Guide, 9.14 思科2019年4月最新发布文档,用于思科ASA 9.14防火墙特性命令行配置,共464页。
Cisco防火墙基础介绍及配置
lvjianzhaoa的博客
04-27 684
一、ASA(状态化防火墙)安全设备介绍: Cisco硬件防火墙技术应用领域: PIX 500 系列安全设备。 ASA 5500系列自适应安全设备。 Catalyst 6500 系列交换机和Cisco 7600 系列路由器的防火墙服务模块。 Cisco ASA 5500 系列自适应安全设备提供了整合防火墙、入 侵保护系统(IPS)、高级自适应威胁防御服务,其中包括应用安全和简化网络安...
ASA 同端口级别如何互访
weixin_33734785的博客
03-15 925
Cisco ASA 防火墙 同安全级别端口互相访问的问 -------------------------------------------------------------------------------- 该文章讲述了Cisco ASA 防火墙 同安全级别端口互相访问的问题. 问一个ASA同安 [object Object] 全级别端口互相...
思科ASA防火墙:内网telnet远程控制防火墙 && 外网ssh远程控制防火墙
鲍海超
04-07 1594
ssh + 允许外网连接ip + 子网掩码 + out=接口名称e0/0。telnet + 指定远程ip + 子网掩码 +接口名称in=e0/1。全部允许: ssh 0.0.0.0 0.0.0.0 out。设置连接密码 pass + 自定义密码。2.外网ssh远程连接asa防火墙。进入asa防火墙全局模式。进入asa防火墙全局模式。现在他们相互都可以通信。如果想让全部都可以连接。
7-思科防火墙ASA配置:Global ACL(CLI)
weixin_33686714的博客
07-07 1558
一、实验拓扑:二、实验要求:1、ACL抓取Telnet、ICMP流量并放行,在全局下应用:2、做完以后,R1去telnetR2、R3看是否可行?3、ACL抓取Telnet流量并拒绝;在接口Outside应用;4、查看接口ACL和全局ACL哪个优先,R1是否还可以Telnet R2?三、命令部署:1、Global调用ACL命令:ASA(config)# access-list glo extende...
思科ASA防火墙:静态路由 route
鲍海超
04-07 1610
此时内网ping外网是ping不通的,但是可以远程(因为此时acl管控,等会打开acl就可以了)route + (out是接口名称也就是e0/0)+ 要找的网段 + 子网掩码 + 下一跳。asa接口配置安全等级配置好nameif接口名称。到防火墙上的全局模式。再到路由器全局模式上。
PPPOE拨号之二:Cisco ASA防火墙 PPPOE拨号配置
网络之路Blog(其他平台同名)
03-02 2370
拓扑 在工作中,很有可能遇到的外网接入方式就是ADSL拨号了,虽然看着简单,但是这里讲讲Cisco 防火墙ASA上面的一些注意事项与配置。 1、PPPOE配置部分 Router-ASA(config)# vpdn group isp request dialout pppoe Router-ASA(config)# vpdn group isp ppp authentication pap Router-ASA(config)# vpdn username ccieh3c password ccie
思科 ASA5505 防火墙放行流量简单配置案例
qq_46635165的博客
11-29 9767
思科ASA 5505防火墙是通过创建vlan,将端口加入vlan,对vlan的安全等级进行设置的方式创建安全区域,通过ACL对vlan之间的流量进行控制; 0x01 ,搭建实验拓扑如下: 实验要求及目的:配置安全区域,安全规则,实现trust区域中的CLIENT可以ping通untrust区域中的SERVER,SERVER也可以ping通CLIENT ; 0x02 步骤,命令 首先对asa5505进行配置清空,减少实验干扰:主要用到两条命令:write erase ,reload ciscoasa#wri
思科ASA防火墙镜像文件 asa843
02-10
希望可以帮助到各位!
思科ASA防火墙端口映射
01-07
ASA5506X> en Password: ******** ASA5506X# conf t ASA5506X(config)# object network serverMES216_port80_map ASA5506X(config-network-object)# host 10.24.11.216 ASA5506X(config-network-object)# nat ...
思科ASA防火墙的搭建和配置.doc
04-24
其实网络也是需要防护的,而说到防护,防火墙就不得不派出用场了呢,今天就来学习一下思科ASA防火墙如何服务器上成功搭建并且完成基础配置的!
ASA&ACL配置
weixin_45138093的博客
06-28 2161
ASA访问控制列表介绍 接口访问规则架构 状态化的访问规则 接口规则和接口安全级别 拓扑图及需求如下所示: 1.在outside接口配置入方向的ACL, 2.放行outside网络访问inside网络的telnet流量 3.放行访问DMZ网络的http流量 4.放行DMZ网络和inside网络的icmp流量 在初始ASA接口配置任何acl规则下,默认遵循outbound的tcp、udp流量可通过,而inbound流量不可通过,而且到达ASA本身的流量不可达! 在ASA接口配置acl后,默
思科ASA防火墙:控制防火墙不让访问指定网站
鲍海超
04-12 1358
access-list + 名字 + permit + 协议 + 要被控制的网段 +子网掩码 + any全部 + eq + 协议。regex + 创建的w1 + "\.名字\.后缀"检查到c3里面的网址后把包丢弃 并且发送日志。创建一个检查http类型的类 c3。外网客户机:server 2016。win10可以通过域名访问网站。创建一个c2 把 w1 映射进去。要检查的内容是c2里包含的网址。创建一个检查类型的策略p1。exit exit 退回全局。exit exit 退回全局。内网客户机:win10。
使用易备数据备份软件,践行虚拟机最佳备份方案
sanyuan7783的博客
07-26 891
新的关键业务应用程序有助于为容器和容器化工作负载赋予更大动力。但是,在可预见的未来,虚拟机的应用仍会普遍存在。容器和虚拟机可以很好地协同工作,适用于大多数关键的 IT 基础设施。因此,备份虚拟机及其包含的数据、服务和应用程序仍然是企业至关重要的任务。本文以 VMware vSphere 虚拟机为例,介绍虚拟机备份的最佳实践方法。
AccessLog| 一款开源的日志分析系统
ClkLog的博客
07-26 420
系统采用Java语言、搭配OLAP数据库,涵盖基本web日志分析,同时提供性能分析,帮助高效运维
DNS反向解析、多域名解析、时间服务器相关配置
qq_74793290的博客
07-24 475
DNS反向解析、多域名解析、时间服务器
Linux 普通用户启动Nginx使用80端口,小于1024的端口
最新发布
y393016244的博客
07-26 107
在root用户下执行。
思科ASA防火墙地址簿配置
07-25
思科ASA防火墙配置地址簿(Address Book)是管理网络中主机、子网、服务和其他网络对象的一种方式。以下是配置思科ASA防墙地址簿的基本步骤: 1. 登录到思科ASA防火墙的命令行界面(CLI)。 2. 进入全局配置模式,使用命令:`enable`,然后输入密码,再输入命令:`configure terminal`。 3. 创建一个地址簿对象组,使用命令:`object-group network <组名>`。例如,创建一个名为"INTERNAL-NETWORKS"的地址簿对象组,可以输入:`object-group network INTERNAL-NETWORKS`。 4. 添加地址到地址簿对象组中,使用命令:`network-object <IP地址> <子网掩码>`。例如,将192.168.1.0/24添加到"INTERNAL-NETWORKS"组中,可以输入:`network-object 192.168.1.0 255.255.255.0`。 5. 重复步骤4,添加其他需要的地址或地址段到地址簿对象组中。 6. 完成地址簿对象组的配置后,退出全局配置模式,使用命令:`exit`。 7. 对于每个需要使用地址簿对象组的策略或访问控制列表ACL),可以引用该对象组。例如,配置一个允许来自"INTERNAL-NETWORKS"组的流量的策略,可以输入:`access-list <ACL名称> permit ip object-group INTERNAL-NETWORKS any`。 8. 保存配置,使用命令:`write memory`。 通过上述步骤,你可以成功配置思科ASA防火墙的地址簿。请根据你的网络需求和具体情况进行相应的调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值