25-思科防火墙:配置访问控制

最新推荐文章于 2024-08-21 08:45:00 发布
最新推荐文章于 2024-08-21 08:45:00 发布
阅读量1.4k 收藏 4
点赞数 1
文章标签: 运维 网络
原文链接:http://blog.51cto.com/13856092/2138617
版权
本文介绍了在思科 ASA 防火墙上配置访问控制的实验,包括 ICMP 监控、EIGRP 流量放行、二层ACL及ARP Inspection。实验涉及Outbound与Inbound流量策略,以及接口与全局模式下应用ACL的重要性。
摘要由CSDN通过智能技术生成

一、实验拓扑:
25-思科防火墙:配置访问控制
二、实验要求:
1、ASA可以添加监控ICMP,这样R3、R5可以PingR1,因为是Outbound流量;R1反过来是不行的,Inbound流量不放行,通不过;
2、Unicast IP Outbound方向通行;ARP双向都通行;Multicast IP(组播流量)、IPX(广播流量)双向都不通;
比如:R1和R2启用OSPF协议(或者用EIGRP),中间经过ASA,建立OSPF协议的时候中间用的是组播IP地址:224.0.0.5、224.0.0.6,经过ASA都是组播IP,两边都过不了的;
解决方法:必须在Outside、Inside所有接口都应用ACL才可以,推荐ACL应用到全局模式;
3、单播Outbound全通、Inbound全不通;
4、允许组播和广播的流量:部署ACL放行这些流量,应用到全局格式:
ciscoasa(config)# access-group mingzi global

三、命令部署:
实验一:
1、ASA可以添加监控ICMP,这样R3、R5可以PingR1,因为是Outbound流量;R1反过来是不行的,Inbound流量不放行&#x

最低0.47元/天 解锁文章
weixin_33686714
关注
思科防火墙配置内网地址 配置PAT 思科防火墙还是不能访问外网?
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
05-31 458
防火墙上,首先你需要定义内网和外网接口。!!在这个示例中,inside接口被配置为内网,outside接口被配置为连接到公网的接口。
思科防火墙命令
一起努力共同进步,为了未来一起奋斗吧!
11-19 4986
思科防火墙相关命令
网络安全篇 ASA的管理访问-06
佐德将军的博客
01-05 1238
实验难度 3 实验复杂度 4 一、实验原理 ASA防火墙的管理方式有很多种,比如有Telnet、SSH、HTTPS、SNMP等,现在我们在进行实验的时候主要是使用Telnet的方式进行管理的。当然除了使用远程的方式进行管理外,我们也可以使用带外网管,在初始化设备时,是需要使用这种方式来管理配置的。ASA的带外网络管口的特点与建议如下: 1.可以配置任何一个接口成为专用的管理接口; 2.流量不能够穿越管理接口,但是可以到达; 3.需要应用管理访问策略来允许访问; ...
思科Cisco Packet Tracer实验 标准 IP 访问控制
m0_52452854的博客
08-26 4325
思科Cisco Packet Tracer实验 标准 IP 访问控制 备注:本实验在 Cisco Packet Tracer 7.2.1 中完成,其它版本尚未测试。 实验目的: (1) 理解标准 IP 访问控制列表的原理及功能 (2) 能够配置 IP 访问控制 实验准备: ACL 的全称为接入控制列表(Access Control Lists),也称访问控制列表(Access Lists),俗称防火墙,在有的文档中还称包过滤。ACLs 通过定义一些规则对网络设备接口 上的数据报文进行控制;允许通过或丢弃,从
Cisco Secure Firewall Threat Defense Virtual 7.4.2 - 思科下一代防火墙软件
最新发布
sysin | SYStem INside
08-21 863
Cisco Secure Firewall Threat Defense Virtual 7.4.2 - 思科下一代防火墙软件
ASA站点×××,远程站点通过主站上网之配置
weixin_33733810的博客
09-29 183
前两天有个帖子提到这个问题,并且说只要加入隧道分离列表就可以实现,这个案例以前从来没有见过,很有挑战意味。通过本人仔细分析,发现那位朋友的说法站不住脚,并且实际配置也不能实现。按照我对隧道分离列表的理解,那个是为了远程客户端拨入用的,也就是说对站点的配置不起作用,如果更深入探讨隧道分离列表,其实该列表的作用并不是在防火墙上,而是作用在客户端上,也就是对客户端加了敏感流量,...
11-思科防火墙:MPF基本状态监控特性
weixin_33724046的博客
07-07 970
一、实验拓扑:二、实验要求:ICMP默认是没有监控的,所以R2 Ping R1不通(注意:R1、R2分别有默认路由下一跳为对应的ASA接口地址);原因:有很多原因,R1启Debug,查看Ping包是否可以到达R1;能到达说明ASA没有监控ICMP,没有状态化信息;TCP默认是监控的,有状态化信息,记录源目IP、源目端口等这些信息,形成映射,所以回包的时候会对比这些映射信息,符合就放行了。ICMP...
Cisco 思科 Firepower/ASA 系列防火墙策略长链接配置方法】
wzhj891119的博客
05-06 1732
金融行业城市商业银行应用和数据库之间之间长链接保活实现。 思科防火墙 ASA配置命令
思科ASA防火墙CLI配置详述:访问控制与防卫策略
通过配置访问控制列表(ACLs),管理员可以设置允许和禁止的数据包流量规则,这是防火墙管理的核心部分。 在CLI配置方面,文档详细阐述了如何通过命令行界面进行操作,这对于网络管理员来说是非常实用的技能。这...
思科防火墙CLI配置指南_CN
08-23
包含防火墙介绍,访问控制,防卫控制列表,访问规则,身份防火墙
ASA 配置笔记
weixin_33890499的博客
12-30 456
公司最近增加一台CISCOASA5510-K8防火墙设备,也算是初次接触吧,一波三折,折腾了一个多星期也算基本摸清,现为这一个多星期的折腾记录一下,日后少做一些无用功。这次ASA主要用于远程接入及一部分服务器外网访问,按此需求也列出以下ASA需配置的项目:1、远程接入,IPSec***或SSL***,因购买此型号的防火墙SSL***授权只有两个,只有选...
思科SAS系列防火墙详细配置教程
01-04
思科Firepower 是集成的网络安全和流量管理产品套件,部署在专用平台上或作为软件解决方案。系 统旨在帮助您以符合组织的安全策略(网络保护准则)的方式处理网络流量。 在典型部署中,安装于各网段的多台流量感应受管设备监控流量以进行分析并向管理器报告。 • Firepower 管理中心 • Firepower 设备管理器 • 自适应安全设备管理器(ASDM) 管理器提供具有图形用户界面的中央管理控制台,供您用于执行行政管理、普通管理、分析和报告 任务。 本指南重点介绍Firepower 管理中心管理设备。有关通过ASDM 管理FirePOWER 服务的Firepower 设备管理器或ASA 的信息,请参阅有关这些管理方法的指南。
Cisco ASA 5510 端口映射
Leo's Blog
05-17 965
WAN: 221.221.147.195 Gateway: 221.221.147.200 LAN: 192.168.0.1内网中有一台服务器,地址: 192.168.0.10 端口: 8089故障描述: 内网可正常连接至服务器,外网无法连接. 端口映射出现问题.解决方法: 命令行错误, 已更正并解决.问题重点: 采用 "static (insid...
网络安全篇 全局ACL与URPF-12
佐德将军的博客
01-15 1550
目录 一、实验原理 二、实验拓扑 三、实验步骤 四、实验过程 总结 实验难度 3 实验复杂度 3 一、实验原理 我们平时配置过滤数据流量的ACL都是应用在接口上的,但是有这样的一个问题,若有多个接口都有相同的需求会如何呢?我们会把相关的ACL一一应用到相应的接口上,这样可以精确的过滤我们定义的数据流量,但是这样一来就势必造成设备资源占用的情况,相对一些高端设备来说,这些资源的占用无够轻重,但是相对一些负载较小的中低端设备来说,这些资源都是十分可贵的。我们可以使用..
FWSM配置过程中出现问题的解决
weixin_33877885的博客
11-29 322
1 FWSM配置过程中出现的小问题在项目实施及维护过程中出现了一下关于FWSM的小问题现总结如下。1.1IP序列号随机问题 问题描述:FWSM或pix在工作过程中出于安全考虑建立每一个会话都会将ip序列号进行随机编号。流量经过2各以上FWSM时2次以上的随机编号会严重影响各种应用。 解决方法:关闭次功能不随机编号命令实例:static (inside,outside)...
ASA防火墙外部web应用端口与默认审查协议相冲突的解决方法
weixin_33807284的博客
05-13 121
一.概述:    今天QQ收到一位朋友的求助,如下环境,查看了ASA的配置,策略是全通,居然无法访问,也感到困惑。    如是用GNS3搭建环境测试,在防火墙两侧进行抓包,发现TCP三次握手正常,但是位于防火墙内侧客户端发出的http get包却被防火墙丢弃了,用google 输入关键字:ASA tcp 2000搜到如下链接:http://blog.csdn.net/yangcage/articl...
ASA防火墙之MPF配置监控流量
Stephen_jj的博客
04-27 1127
MPF配置监控流量 本篇继续讲解ASA防火墙,关于使用MPF的方式来配置监控流量,使得流量可以正常的回包。 配置命令如下 配置ICMP监控流量 ASA(config)#policy-map global_policy ASA(config-pmap)#class inspection_default ASA(config-pmap-c)# inspect icmp 配置ESP监控流量 由于在 cl...
Cisco防火墙基础介绍及配置
weixin_34195364的博客
04-27 3353
一、ASA(状态化防火墙)安全设备介绍: Cisco硬件防火墙技术应用领域: PIX 500 系列安全设备。 ASA 5500系列自适应安全设备。 Catalyst 6500 系列交换机和Cisco 7600 系列路由器的防火墙服务模块。 Cisco ASA 5500 系列自适应安全设备提供了整合防火墙、入 侵保护系统(IPS)、高级自适应威胁防御服务,其中包括应用安全和简化网络安...
acl控制的应用
weixin_34260991的博客
06-30 289
ACL控制列表,首先在全局模式下面,日常维护主要用扩展控制列表1、configt2、ipaccess-listextendedcisco-aclpermitip192.168.1.00.0.0.255anypermitip192.168.2.00.0.0.255anydenyipanyany3、应用到端口上面,进入端口in...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值