CCNA 之ASA 5505防火墙配置,没有硬件防火墙?那就使用Cisco Packet Tracer Student 6.2 模拟实现

最新推荐文章于 2025-03-13 13:46:46 发布
最新推荐文章于 2025-03-13 13:46:46 发布
阅读量2.1k 收藏 36
点赞数 32
分类专栏: 路由信息协议 ASA 5505 OSPF 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaozhenxiang/article/details/139831391
版权

需求说明:

某企业为了扩大对外市场的宣传力度,在企业内部架设web服务器用于发布公司相关产品宣传。要求web服务器能被 外网所访问,但又要保证内部网络及服务器的安全,防止外部网络恶意攻击,究竟如何实现呢?

需求分析:

要保证企业内部网络安全,同时又能实现web服务器外部网络访问的需求,一般方案通过硬件防火墙(firewall)来实现。本次案例使用Cisco Packet Tracer Student 6.2网络环境模拟软件搭建网络,模拟实现:

1、按需求,把外部网络标记为outside;把内部网络标记为inside。

2、采用防火墙把外部网络(outside)和内部网络( inside)隔开,本次案例不使用DMZ;一般防火墙可连接的区域有三个:外部网络(outside)、内部网络( inside)、隔离区(DMZ,也称非军事化区);安全等级一般外部网络为0,内部网络为100,隔离区为50;默认情况下,安全等级高区域可以访问安全等级低区域,而安全等级低区域不能访问安全等级高的区域,除非配置ACL。

3、在防火墙(firewall)这配置ACL规则,让外部网络的主机能够访问内部网络的web服务器。

模拟实施步骤:

一、搭建拓扑结构图

使用Cisco Packet Tracer Student 6.2网络环境模拟软件搭建网络拓扑结构图,如下图所示:

 

从上述拓扑结构图可以看到,本次案例使用的网络设备有:服务器1台、计算机2台、交换机1台、防火墙1台、路由器2台、交叉双绞线3根、直通双绞线3根、Console配置线至少1根。

二、需求方案规则

1.内部网络( inside)IP地址信息规划如下表所示:

2.外部网络(outsice)IP地址信息规划如下表所示:

三、设置的配置

(一)、内部网络(inside)WWW_Server的IP地址信息配置如下图所示:

 

(二)、内部网络(inside)Inside_PC的IP地址信息配置如下图所示:

 (三)、外部网络(outside)Outside_PC的IP地址信息配置如下图所示:

(四)、内部网络(inside)Switch不需要配置任何IP地址信息。

(五)、内部网络(inside)ASA5505防火墙相关配置,按正常配置情况,设备第一次配置时,需要使用主机的RS 232端口接console配置线再接网络设备防火墙的console端口,利用超级终端进行配置,但因为超级终端字体较小,直接在网络设备的CLI进行相关配置,配置如下所示:

1.基本配置相关命令

ciscoasa>enable //从防火墙的用户模式进入到特权模式

Password: //Cisco ASA防火墙密码默认为空

ciscoasa#conf t //从特权模式进入全局配置模式

ciscoasa(config)#

基本配置如下图所示:

2.查看原有的配置的相关命令

ciscoasa#show run //查看防火墙目前运行状态

从这里可以看到,默认情况下:

Ethernet 0/0 绑定vlan 2 outside security-level 0

Ethernet 0/1 绑定vlan 1 inside security-level 100
vlan1 IP地址192.168.1.1/24 dhcpd192.168.1.5-192.168.1-35

ASA5505默认的配置连接inside接口的计算机直接点dhcp就可以获得IP地址,可以改它的IP地址或者自己定义即手动配置静态IP地址。

3.防火墙内部接口配置,根据需求规则,默认的内部接口IP地址不符合规则,需要进行修改相关命令如下所示:

ciscoasa#conf t

ciscoasa(config)#int vlan 1 //进入内部网络接口

ciscoasa(config-if)#no ip address //删除ASA 5505 内部接口默认的IP地址

ciscoasa(config-if)#ip address 100.100.100.1 255.255.255.0 //给内部接口配置IP地址

ciscoasa(config-if)#dhcpd address 100.100.100.2-100.100.100.99 inside //内网DHCP地址分发范围

ciscoasa(config)#dhcpd dns 114.114.114.114 interface inside //如果需要配置DNS,则配置DNS服务器IP

ciscoasa(config)#

 

4.根据方案规则,给防火墙外部接口配置IP地址,相关命令如下所示:

ciscoasa(config)#int vlan 2 //进入外部网络接口

ciscoasa(config-if)#ip address 192.168.1.1 255.255.255.0 //配置外部网络接口IP

ciscoasa(config-if)#exit

ciscoasa(config)#

5.根据规则,防火墙上配置ACL规则,让外部网络可以访问内部网络的web服务器,让外部网络可以用PING 命令测试到内网的连通性,相关配置如下所示:

ciscoasa(config)#access-list 100 extende permit icmp 172.16.3.0 255.255.255.0 100.100.100.0 255.255.255.0 
//允许外部网络到内部网络用PING命令测试连通性

ciscoasa(config)#access-list 100 extende permit tcp 172.16.3.0 255.255.255.0 100.100.100.0 255.255.255.0 eq www 
//允许外部网络主机访问内部网络WEB服务

ciscoasa(config)#

6.根据防火墙的配置要求,把配置的规则应用到防火墙的outside接口,且为入口 in,相关配置命令如下所示:

ciscoasa(config)#access-group 100 in interface outside 
//规则应用到防火墙的outside接口

ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 192.168.1.2 
//配置一条静态路由传向外网

ciscoasa(config)#

 

(六)、路由器Router0的相关配置如下所示:

Router>en

Router#conf t

Router(config)#interface fastE

Router(config)#interface fastEthernet 0/0

Router(config-if)#ip address 192.168.1.2 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#

Router(config-if)#interface fastEthernet 0/1

Router(config-if)#ip address 192.168.2.1 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#exit

Router(config)#ip route 100.100.100.0 255.255.255.0 192.168.1.1 
//到达防火墙内部的100.100.100.0网段的静态路由

Router(config)#router ospf 1 
//启用OSPF路由协议

Router(config-router)#network 192.168.1.0 0.0.0.255 area 0 
//宣告Router连接的网段

Router(config-router)#network 192.168.2.0 0.0.0.255 area 0 
//宣告Router连接的网段

Router(config-router)#red

Router(config-router)#redistribute st

Router(config-router)#redistribute static sub

Router(config-router)#redistribute static subnets 
//重分布到达防火墙100.100.100.0的静态路由

Router(config-router)#end

 

 (七)、路由器Router1的相关配置如下所示:

Router>en

Router#conf t

Router(config)#interface fastethernet 0/1

Router(config-if)#ip address 192.168.2.2 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#exit

Router(config-if)#interface fastethernet 0/0

Router(config-if)#ip address 172.16.3.1 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#exit

Router(config)#router ospf 1 
//启用OSPF路由协议

Router(config-router)#network 192.168.2.0 0.0.0.255 area 0 
//宣告Router连接的网段

Router(config-router)#network 172.16.3.0 0.0.0.255 area 0 
//宣告Router连接的网段

Router(config-router)#end

四、验证防火墙配置

1.在外部网络(outside)的主机Outside_PC,对内部网络的(inside)WWW_Server服务进行访问,在Outside_PC的浏览器地址栏里输入 http://100.100.100.100,如下图所示:

验证:此时外部网络(outside)的主机可以访问内部网络(inside)web服务。

2.在外部网络(outside)的主机Outside_PC,对内部网络的(inside)WWW_Server服务器或内部主机(Inside_PC)进行连通性测试,如下图所示:

验证:此时外部网络(outside)的主机ICMP包可以到达内部网络(inside)web服务器。

验证:此时外部网络(outside)的主机ICMP包可以到达内部网络(inside)主机Inside_PC。

项目小结:

企业内部架设web服务器用于发布公司相关产品宣传。要求web服务器能被 外网所访问,但又要保证内部网络及服务器的安全,防止外部网络恶意攻击。通过硬件防火墙(firewall)来实现配置,隔离内部外部网络,然后配置规则允许ICMP包及HTTP协议通过,从而实现任务。

今日头条首发 CCNA ASA 5505防火墙配置,没有硬件防火墙,那就使用packet tracer-今日头条 (toutiao.com)

cisco asa 5505 配置说明
weixin_39658178的博客
06-05 5579
ciscoasa> show version Cisco Adaptive Security Appliance Software Version 8.2(5) Device Manager Version 6.4(5) Compiled on Fri 20-May-11 16:00 by builders System image file is “disk0:/asa825-k8.bin” Config file at boot was “startup-config” ciscoasa up 8
cisco_ASA5505防火墙详细配置
04-15
cisco_ASA5505防火墙详细配置
ASA 详细 防火墙配置
05-27
aaa authentication enable console LOCAL aaa authentication telnet console LOCAL aaa authentication ssh console LOCAL aaa authorization command LOCAL
思科5505/5506防火墙配置與範例
hu5566798的博客
03-25 6311
使用console连接线登录方法 1.使用cisco的console连接线,连接设备的console口和计算机com口(笔记本用USB转COM口连接线)2.使用超级终端或secureCRT软件连接设备 串行选项: 波特率:9600 数据位:8 奇偶校验:无 停止位:1 数据流控制: RTS/CTS 登陆设备后,基本配置命令与cisco路由器保持一致. 1. 设置主机名: #hostname ASA5510 2. 设置时区: #clock timezone EST 7 3. 设置时钟: #cloc。
思科防火墙ASA5505 密码破解
最新发布
u013212989的博客
03-13 1326
思科防火墙ASA5505 密码破解,需要使用的工具:电脑,SecureCRT,console线。
思科防火墙配置命令(详细命令总结归纳)
热门推荐
1风天云月的博客
10-10 4万+
前言 防火墙的实施是每个网络基础设施必要且不可分割的组成部分,传统的防火墙功能已经从最初保护网络免于未授权外部访问的攻击得到了进一步的发展,现在的防火墙通常具备多种功能,下面介绍一下思科防火墙的详细配置方法 一、防火墙介绍 防火墙用于维护一个关于用户信息的连接表,称为Conn表,表中信息有:源ip地址、目的ip地址、ip协议(如http、ftp等)、ip协议信息(协议端口号等),防火墙能够基于特定的网络、主机和服务(TCP/UDP端口号)控制网络访问 二、防火墙配置 ...
防火墙介绍及使用思科模拟器模拟
weixin_43263566的博客
12-22 3818
◆ 隔离网络将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护数据来源透明网桥模式若用户不想改变原有的网络拓扑结构和设置,可以将防火墙设置成桥模式。在桥模式下,防火墙的各个网口所连接的网络相互之间的访问是透明的,所有网口设备将构成一个网桥。路由模式是防火墙的基本工作模式。在该模式下,防火墙的各个网口设备的IP地址都位于不同的网段。混杂模式指防火墙部分网口在路由模式下工作,部分网口在透明桥模式下工作,即某些子网之间以路由方式通信,而某些子网可以透明通信。DMZ区。
基于Packet Tracer防火墙的设计与实现
qq_58811011的博客
05-16 7643
基于Packet Tracer防火墙的设计与实现
Cisco_ASA5505防火墙详细配置教程及实际配置案例.pdf
09-29
Cisco_ASA5505防火墙详细配置教程及实际配置案例.pdf 内容为PDF格式书籍文件,内容高清 ,有问题欢迎随时站内私信联系,拒绝差评,谢谢!
ASA防火墙应用及配置
weixin_33749242的博客
03-19 265
ASA55XX系列的产品是继PIX这款硬件防火墙之后推出的一款新型硬件防火墙。相对于早期的PIX硬件防火墙,它具备多重功能防护的特性,而PIX是一台静态数据包过滤防火墙。现在面对更多变种病毒,恶意软件和应用层程序的***或者欺骗。PIX已经不能应对如此多的安全挑战。所以选择防护能力更强的ASA是明智之举了。而且它的价格比PIX低的多。就单单从性价比,就可以让大家眼前一亮。这里...
cisco-asa-5505基本配置
weixin_34144450的博客
08-15 552
interface Vlan2nameif outside ----------------------------------------对端口命名外端口 security-level 0 ----------------------------------------设置端口等级ip address X.X.X.X 255.255.255.224 ...
ASA防火墙配置
01-17
思科 ASA 系列防火墙配置指南。本指南旨在帮助您使用命令行界面 配置思科 ASA 系列的防火墙功能。本指南仅介绍最常见的一 些配置场景,并未涵盖所有功能。 通过使用自适应安全设备管理器 (ASDM) 这个基于网络的 GUI 应用,您也可以配置和监控 ASA。 ASDM 提供配置向导指导您完成一些常见配置场景,并提供联机帮助以使您获得不常见场景的 信息。
思科5505防火墙配置
01-07
思科5505防火墙配置
Cisco ASA防火墙配置手册
08-26
Cisco ASA 5500 Series Configuration Guide using the CLI Software Version 8.4 and 8.6 for the ASA 5505,ASA 5510,ASA 5520,ASA 5540,ASA 5550 ,ASA 5580,ASA 5512-X,ASA 5515-X,ASA 5525-X,ASA 5545-X,ASA 5555-X,and ASA 5585-X
Cisco Packet Tracer Student 6.2
06-14
Cisco Packet Tracer 学生版 6.2:网络学习与模拟的得力助手》 Cisco Packet Tracer是一款由Cisco公司推出的强大网络模拟软件,特别针对网络初学者设计,旨在帮助他们理解和掌握网络原理、配置及故障排除。在...
Cisco Packet Tracer 6.2 for Windows Student Version (no tutorials).rar
09-29
**Cisco Packet Tracer 6.2 for Windows Student Version** 是一款专门为学生设计的网络模拟工具,由思科系统(Cisco Systems)开发。它允许学生在虚拟环境中构建、配置和测试网络拓扑,而不必实际拥有硬件设备。这...
Cisco Packet Tracer 6.2.rar
02-25
Cisco Packet Tracer 6.2:探索网络模拟与学习之旅》 Cisco Packet Tracer 6.2是一款由思科公司推出的强大网络模拟工具,它为学习和理解网络原理及实践提供了直观的平台。该软件允许用户模拟配置各种网络设备,如...
Cisco Packet Tracer Student 6.2 for Windows .exe
06-21
Cisco Packet Tracer 学生版 6.2:网络模拟与学习的得力助手》 Cisco Packet Tracer 是一款由思科系统公司(Cisco Systems)开发的强大网络模拟软件,特别设计用于教育和培训领域,尤其适用于计算机网络课程和...
Packet Tracer下载 Packet Tracer v6.2
11-15
**Cisco Packet Tracer详解** Cisco Packet Tracer是一款强大的网络仿真工具,由全球知名的网络设备制造商Cisco公司开发。这款工具主要用于教育领域,特别是针对那些正在学习网络技术和Cisco认证课程的初学者。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值