ASA防火墙配置实验

 

实验拓扑图:


wKiom1RA11DBIRUbAAD3_HHGsI8477.jpg

基础配置命令:

 

ASA

   

conf t

hostname ASA 

int e0/0

nameif inside

security-level 100

ip add 192.168.1.5 255.255.255.0

no sh

int e0/1

nameif dmz

security-level 50

ip add 192.168.2.5 255.255.255.0

no sh

int e0/2

nameif outside

security-level 0

ip add 200.0.0.5 255.255.255.0

no sh

exit

route outside 0.0.0.0  0.0.0.0 200.0.0.2

 

Router

     

 

en 

conf t

int f1/1

no sw

ip add 200.0.0.2 255.255.255.0

no sh

int f1/2

no sw

ip add 100.0.0.1 255.255.255.0

no sh

ip route 123.0.0.0 255.255.255.248 200.0.0.5

 

 

由于pc1dmz web2是直连路由,而且,ASA防火墙 inside的安全级别高于 dmz的安全级别,所以,pc1可以访问 dmz web

 

 wKioL1RA1ovA5eerAAEakTcTi6M717.jpg

 

1. 动态NAt:把本地IP转换为公网的地址池,N个内网地址对应N个内网地址。内网pc1 通过动态NAT的方式访问公网 out web

   

nat (inside) 1 192.168.1.0 255.255.255.0

global (outside) 1 123.0.0.0-123.0.0.6

global (dmz) 1 192.168.2.10-192.168.2.200  #为了使得pc1可以继续访问dmz web ,需要做一条NAT指向dmz

 

 

 wKiom1RA1lWStwzCAAFIuPvvb5I435.jpg

 

 

 

 

 

动态PAT:动态PAT使用IP地址和源端口号创建一个唯一回话,多个内网地址对应一个公网地址。

ASA(config)# nat (inside) 1 192.168.1.0 255.255.255.0

ASA(config)# global (outside) 1 interface

or

ASA(config)# global  (outside) 1 123.0.0.1

 

 wKioL1RA1ouQHQkgAACSmIGti3U872.jpg

 

 

 

静态NAT

static (dmz,outside) 123.0.0.1 192.168.2.10

access-list out-to-dmz permit ip any host 123.0.0.1

access-group out-to-dmz in int outside

 

wKioL1RA1ozxFhekAACM_ahggD8451.jpg

 

静态PAT:静态PAT与静态NAT类似,但静态PAT允许为真实和映射地址指定tcpudp端口。

static (dmz,outside) tcp 123.0.0.1 80 192.168.2.11 80

static (dmz,outside) tcp 123.0.0.1 81 192.168.2.12 80

access-list out-to-dmz permit ip any host 123.0.0.1

access-group out-to-dmz in int outside

 wKiom1RA1lWgIE1VAACfvIExM84582.jpg




wKioL1RA1oySZC4FAAFUY1gVIeI031.jpg

wKiom1RA1lXzcSynAAFLVB7UOCM983.jpg