防火墙系列---- 初始化状态的基本实验

最新推荐文章于 2024-05-02 16:41:50 发布
最新推荐文章于 2024-05-02 16:41:50 发布
阅读量906 收藏 4
点赞数 2
分类专栏: 防火墙 文章标签: 防火墙初始化状态实验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaotiannuo_1998/article/details/93407782
版权

2019/6/23 - - -

本文章关于防火墙默认设置的实验,用Telnet远程来测试防火墙的管理机制。

实验开始

实验环境:
eve-ng模拟器下已经有思科防火墙ASA系列的安装,详细请点击此文章查看《思科防火墙ASA》

实验拓扑:
在这里插入图片描述
实验配置:

路由器的配置

inside配置

enable 进入特权模式
configure terminal 进入配置模式
interface e0/0 进入e0/0接口
ip address 192.168.100.100 255.255.255.0 配置ip地址
no shutdown 开启端口
exit 退回到配置模式
ip route 0.0.0.0 0.0.0.0 192.168.100.1 添加默认路由
line vty 0 4 进入远程管理接口
no login 不需要认证(在实验环境允许使用)
transport input all 允许通过所有协议

outside配置

enable 进入特权模式
configure terminal 进入配置模式
interface e0/0 进入e0/0接口
ip address 200.1.1.100 255.255.255.0 配置ip地址
no shutdown 开启端口
exit 退回到配置模式
ip route 0.0.0.0 0.0.0.0 200.1.1.1 添加默认路由
line vty 0 4 进入远程管理接口
no login 不需要认证(在实验环境允许使用)
transport input all 允许通过所有协议

DMZ配置

enable 进入特权模式
configure terminal 进入配置模式
interface e0/0 进入e0/0接口
ip address 172.16.10.100 255.255.255.0 配置ip地址
no shutdown 开启端口
exit 退回到配置模式
ip route 0.0.0.0 0.0.0.0 172.16.10.1 添加默认路由
line vty 0 4 进入远程管理接口
no login 不需要认证(在实验环境允许使用)
transport input all 允许通过所有协议

防火墙的配置

ASA配置

enable 进入特权模式
configure terminal 进入配置模式
enable password 密码 配置特权模式密码
show run enable 查看配置特权模式的密码,是密文存储

G0/0接口的配置:
interface gigabitEthernet 0/0 进入e0/0接口
ip address 192.168.100.1 255.255.255.0 配置ip地址
no shutdown 开启端口
nameif inside 配置接口的名称
inside —内部网络(信任区域)
outside —外部网络(非信任区域)
DMZ —非军事化区域
security-level 100 配置接口的安全级别

G0/1接口的配置:
interface gigabitEthernet 0/1 进入e0/0接口
ip address 200.1.1.1 255.255.255.0 配置ip地址
no shutdown 开启端口
nameif outside 配置接口的名称
inside —内部网络(信任区域)
outside —外部网络(非信任区域)
DMZ —非军事化区域
security-level 0 配置接口的安全级别

G0/2接口的配置:
interface gigabitEthernet 0/2 进入e0/0接口
ip address 172.16.10.1 255.255.255.0 配置ip地址
no shutdown 开启端口
nameif DMZ 配置接口的名称
inside —内部网络(信任区域)
outside —外部网络(非信任区域)
DMZ —非军事化区域
security-level 50 配置接口的安全级别

测试:

inside:

ping 200.1.1.100
telnet 200.1.1.100 (远程outside区域)
发现Ping不同,却能远程上。
原因是:默认情况下,ASA对TCP和UDP协议提供状态化连接,但ICMP协议是非状态化的。
在这里插入图片描述
telnet 172.16.10.100 (远程DMZ区域)
在这里插入图片描述
DMZ:

telnet 200.1.1.100 (远程outside区域)
telnet 192.168.100.100 (远程inside区域)

在这里插入图片描述
发现可以远程outside区域,但不能远程inside区域。
原因是:

1、出站接口的流量默认允许穿越ASA。
	出站接口就是从高安全级别接口访问低安全级别接口的流量。
2、入站接口的流量默认不允许穿越ASA。但是可以使用ACL来放行流量通过。
	入站接口就是从低安全级别接口访问高安全级别接口的流量。

outside:

telent 192.168.100.100 (远程inside区域)
telnet 172.16.10.100 (远程DMZ区域)
发现都不能远程,原因如上,低安全级别访问高安全级别默认是拒绝的。
在这里插入图片描述

zhaotiannuo_1998
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
简单防火墙实验
野原新之助
10-09 2504
实验要求 设计一个信息系统,系统必须通过客户端录入账号口令远程登录; 系统内至少包含三个以上账号; 系统服务器端可设定禁止登录的IP地址和账号信息; 如果客户端从禁止的IP地址登录或使用禁止的账号登录则显示不允许登录,并断开连接。 所用知识 python语法基础 熟悉Python语法,重点掌握if elif语句、存在判断、列表及其方法、字符串及其方法、字典 和 文件操作等。 用到的书籍:《...
网络安全实验---防火墙实验
wr456wr的博客
10-04 2万+
文章目录一、实验目的:二、实验环境:三、实验内容:1. 安装天网防火墙2. 使用天网防火墙进行实验3.在上端的菜单栏最左边点击应用程序规则,点击下方需要修改应用的选项可以对其进行流量控制4.调节ip规则配置,将“允许自己ping探测其他机器”改为禁止,查看能否再次收到reply5.添加一条禁止邻居同学主机的FTP连接规则四、心得体会:五.软件共享 一、实验目的: 通过实验深入理解防火墙的功能和工作原理 熟悉天网防火墙个人版的配置和使用 二、实验环境: 一台xp虚拟机和一台windows10虚拟机 在xp上安
centos 初始化防火墙
wangschang的专栏
04-06 1337
$ sudo iptables -F $ sudo service iptables save iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ] $ sudo service  iptables restart iptables: Flushing firewall rules:            
Linux服务器CentSO7.6初始化网络安全防火墙及用户组配置
最新发布
weixin_41684685的博客
05-02 2129
Linux服务器基本网络安全配置:ssh远程登录端口及用户限制,firewall配置开放端口,用户权限及用户组配置。
防火墙实验
weixin_42327834的博客
12-04 4049
实验目的】 (1)过实验深入理解防火墙的功能和工作原理; (2)通以“瑞星”防火墙为例熟悉配置个人防火墙; 【实验仪器】 针对“瑞星”个人防火墙在Windows 2000\2003\XP操作系统下,安装“瑞星”防火墙的计算机; 【实验原理】 1.防火墙的实现技术 <1>包过滤技术 包...
防火墙配置【最详细的实验演示】
热门推荐
weixin_62107875的博客
09-08 2万+
2.如何进入防火墙防火墙的安全域 1.防火墙的5个安全域 2.如何自定义安全域3.接口加入安全域 ​4.防火墙配置接口ip 配置防火墙策略 1.内网到公网2.内网到服务器3.公网到服务器 4.内网到公网NAT转换 5.服务器映射
实验8E-Mail服务器构建.doc
10-04
初始化配置有两种方式: 1. 快速设置向导:输入邮箱地址和密码,向导会自动创建域名和邮箱,同时测试服务器服务。 2. 管理工具设置:登录管理端,检查系统服务状态,增加邮箱用户,通过“用户和组”→“用户管理”...
网络安全-实验三ms17-010漏洞利用.docx
11-10
5. 在Kali Linux上启动Metasploit框架(msfconsole),首次使用可能需要初始化PostgreSQL数据库。 6. 利用`search`命令在Metasploit中查找与MS17-010相关的模块。 7. 选择合适的模块,例如编号为0的模块,或者使用...
实验3 Hadoop安装与配置2-伪分布式.docx
07-04
- 使用Hadoop命令对HDFS进行格式化,初始化NameNode。 6. **启动守护进程**: - 启动Hadoop的各个守护进程,包括DataNode、NameNode、Secondary NameNode、ResourceManager、NodeManager等。 7. **检查守护进程...
tf-gcp-demo-repo
04-14
初始化用于下载GCP提供者的插件,计划用来预览将要执行的更改,应用则是实际创建或修改资源,而销毁则会移除配置的资源。 5. **Terraform State**: Terraform维护一个状态文件,跟踪已创建的资源及其属性。在管理...
home-cluster
03-15
2. **初始化脚本**:为了确保所有节点的环境一致,可能有用于安装必要软件(如Docker、Kubernetes、Mesos等)、更新系统、配置服务的初始化脚本。 3. **调度器和管理工具**:家庭集群可能使用像Kubernetes这样的...
防火墙初始化配置
04-08
防火墙初始化配置
cisco_ASA防火墙恢复初始化
02-07
ASA 防火墙flash 被删 防火墙不断启动 Use BREAK or ESC to interrupt boot. Use SPACE to begin boot immediately. 按下ESC进入监控模式 监控模式下的显示和交换机路由器没有什么区别。命令格式也大同小异只要大家变通一下就不难恢复。 rommon #1> ? Variables: Use "sync" to store in NVRAM ADDRESS= local IP address CONFIG= config file path/name GATEWAY= gateway IP address IMAGE= image file path/name LINKTIMEOUT= Link UP timeout (seconds) PKTTIMEOUT= packet timeout (seconds) PORT= ethernet interface port RETRY= Packet Retry Count (Ping/TFTP) SERVER= server IP address VLAN= enable/disable DOT1Q tagging on the selected port rommon #2> ADDRESS=192.168.0.2 (因为是TFFP上传,所以防火墙设置为客户机) rommon #3> GATEWAY=192.168.0.1 (网关) rommon #4> IMAGE=asa802-k8.bin (导入IOS的名称) rommon #5> SERVER=192.168.0.1 (服务器IP,也就是你的PC) rommon #6> sync (保存) Updating NVRAM Parameters... rommon #7> ping 192.168.0.1 Sending 20, 100-byte ICMP Echoes to 192.168.0.1, timeout is 4 seconds: ?!!!!!!!!!!!!!!!!!!! Success rate is 95 percent (19/20) 确认线路是否连通,开启TFTP软件 (这里说明下我测试是ASA5505 所以接的E0/0口。不知道设备该接什么口可以用set看“PORT=Ethernet0/0”) rommon #8> tftpdnld (上传) ROMMON Variable Settings: ADDRESS=192.168.0.2 SERVER=192.168.0.1 GATEWAY=192.168.0.1 PORT=Ethernet0/0 VLAN=untagged IMAGE=asa802-k8.bin CONFIG= LINKTIMEOUT=20 PKTTIMEOUT=4 RETRY=20 tftp asa802-k8.bin@192.168.0.1 via 192.168.0.1 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 导入后设备重启,现在有了IOS 能进去 Type help or '?' for a list of available commands. ciscoasa> en 但现在IOS也没有装入设备,而是从tftp引导启动设备,断开TFTP服务器就会从新进入监控模式。这一点当设备启动完毕后可以用show version命令看到: System image file is "tftp://192.168.0.1/asa802-k8.bin" 现在需要把IOS存入设备,但是现在防火墙和PC已经不能通信 ciscoasa# ping 192.168.0.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds: No route to host 192.168.0.1 Success rate is 0 percent (0/1) 因为刚才是在监控模式下,现在需要配置让PC和防火墙从新通信(具体型号具体设置,下面已我手上的5505为例) interface Vlan1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 192.168.0.2 255.255.255.0 ! interface Ethernet0/0 switchport access vlan 2 现在测试 ciscoasa# ping 192.168.0.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms 已经能通信,下面拷贝IOS和ASDM存入设备 ciscoasa# copy tftp://192.168.0.1/asa802-k8.bin disk0:/asa802-k8.bin Address or name of remote host [192.168.0.1]? Source filename [asa802-k8.bin]? Destination filename [asa802-k8.bin]? Accessing tftp://192.168.0.1/asa802-k8.bin. ... !!!!!!!!!!!!!!!!!!! 因为删除的是flash 现在还需要导入ASDM (注意ASDM和IOS的兼容,不兼容如下图) ciscoasa# copy tftp://192.168.0.1/asdm-602.bin disk0://asdm-602.bin Address or name of remote host [192.168.0.1]? Source filename [asdm-602.bin]? Destination filename [asdm-602.bin]? Accessing tftp://192.168.0.1/asdm-602.bin.. ... !!!!!!!!!!!!!!!!!!! 现在可以看见IOS以后在设备上 ciscoasa# show version Cisco Adaptive Security Appliance Software Version 8.2(1) Compiled on Tue 05-May-09 22:45 by builders System image file is "disk0:/asa821-k8.bin" Config file at boot was "startup-config" ciscoasa# show flash: --#-- --length-- -----date/time------ path 3 4096 Aug 26 2009 17:41:50 log 10 4096 Aug 26 2009 17:41:56 crypto_archive 11 4096 Aug 26 2009 17:59:06 coredumpinfo 12 43 Aug 27 2009 09:13:02 coredumpinfo/coredump.cfg 78 16275456 Aug 26 2009 18:07:50 asa802-k8.bin 80 7598456 Aug 27 2009 09:05:54 asdm-602.bin 设置启动文件 ciscoasa (config)# boot system disk0:/asa802-k8.bin 设置IOS ciscoasa (config)# asdm image disk0:/asdm602.bin 设置ASDM ciscoasa (config)# reload 重新启动,配置生效 备份上面dir的文件 ciscoasa (config)# copy disk0:/asa802-k8.bin tftp://192.168.1.1/asa802-k8.bin ciscoasa (config)# copy disk0:/asdm602.bin tftp://192.168.1.1/asdm602.bin
CISCO ASA防火墙ASDM安装和配置
05-16
CISCO ASA防火墙ASDM安装和配置,比较详细!
实验13 应用个人防火墙
The 44th Demilitarized Zone
07-02 1030
实验13 应用个人防火墙 任务一 安装CA Individual Firewall不做详细说明。 任务二 使用和配置CA Individual Firewall1.概览(Overview)·Status查看已经阻止的入侵·Product Info查看防火墙的版本信息等·Preferences(偏好)更改密码、启动设置等。 2.Firewall
防火墙技术综合实验
weixin_30861459的博客
05-27 242
一、实验目的:本次实验是将多种访问控制列表以及防火墙部分的知识做一个汇总 二、实验内容 A:Established控制列表 拓扑图 配置步骤 1:配置各端口ip地址,配置登陆密码 R4: 登陆账号:jj 密码:123 2:测试连通性 服务器远程登陆R2 Pc0 ping 服务器 3 关...
包过滤、状态化、七层防火墙
WJ.L
03-03 2286
包过滤防火墙:又被称为三层防火墙,笼统认为与ACL无异,针对IP包头拆开源IP与目的IP,原端口与目的端口进行匹配。 状态防火墙防火墙维护一个状态化记录表(默认只维护tcp/udp),当防火墙收到一个不在状态表中的包时,他会与过滤规则进行比较,不管这个包是syn,ack或者是其他什么包,如果过滤规则允许接受这个会话,那么这个会话就被加入转态连接表中去,后续的包都会与状态化连接表比较,如果会话...
思科下一代模拟器EVE-NG做一个ASA防火墙简单小实验
gsls200808的专栏
01-03 2524
本文参考:EVE环境下做一个ASA防火墙简单小实验_哔哩哔哩_bilibili 跟视频不同的是,两个路由器换成了VPC EVE里的拓扑图如下 ASAv配置 #主机名,网卡ip配置 hostname ASA interface GigabitEthernet0/0 nameif Outside security-level 0 ip address 202.100.1.10 255.255.255.0 no shutdown interface GigabitEthernet0/.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值