企业防火墙的基础配置

网络运维 ASA基本配置 实验报告
姓名： 王飛 班级： NTD1711 日期：2018年1月30日
实验任务：
实验拓补图：

实验需求：DMZ 发布Web 服务器，Client3 可以访问Server2
使用命令show conn detail 查看Conn表 表
分别查看ASA 和AR的 的 路由表
配置ACL 禁止Client2 访问Server3

思
路
及
实
验
步
骤

一、配置设备IP及端口IP。
路由IP：
interface GigabitEthernet0/0/0
ip address 192.168.10.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 10.10.1.254 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 20.20.1.254 255.255.255.0
#

防火墙IP：
interface GigabitEthernet0
shutdown
nameif inside
security-level 100
ip address 192.168.10.254 255.255.255.0
!
interface GigabitEthernet1
shutdown
nameif DMZ
security-level 50
ip address 192.168.30.254 255.255.255.0
!
interface GigabitEthernet2
shutdown
nameif outside
security-level 0
ip address 192.168.50.254 255.255.255.0
!
路由与交换机之间通信需要使用路由功能，我使用静态路由
路由器：ip route-static 10.10.1.0 255.255.255.0 192.168.10.254
ip route-static 20.20.1.0 255.255.255.0 192.168.10.254
防火墙：route inside 0.0.0.0 0.0.0.0 192.168.10.1 1
验证内网联通状态：


内网可以PING通。
二、配置DNZ区域和外部区域验证


显示链接完成
三、验证防火墙作用
首先内网访问外网服务器：

访问成功
外网访问内网：


显示失败。
防火墙作用成功应用
验证DMZ区域的作用
首先用内网链接服务器再用外网访问服务器

内网获取成功

外网获取失败
没有配置相关协议。

三、配置DMZ区域协议



抓取所有tcp 主机 访问192.168.30.66 端口号为80的条目全部通过
然后将其应用在outside端口上
结果验证：

访问成功。
四、禁止Client2 访问Server3
client2的ip地址为192.168.30.1
server3的IP地址为192.168.50.66
想要做到禁止访问server3的HTTP服务我有以下几个数据可以抓取并应用：
1、http服务端口号
2、client2的ip和server3的IP
下面进行配置：



我抓取了tcp链接的源192.168.30.1访问192.168.50.66 的所有端口号为80的数据
然后应用到了DMZ端口。这个配置主要针对内部端口做的配置，所以数据包不会发向外网
进行验证：

实验成功。

结果验证：

验证配置成功。
流量抓取功能是个非常强大的工具，它可以抓取各种流量的协议、ip；并且对他们进行约束，让它们按照我们的想法进行运作。
这是一个非常值得学习的功能。

问题及分析：

1、模拟器不稳定。
2、实验很简单、但是需要有清晰的思路。
3、防火墙acl应用简单，想要做到一个目的可以有很多种方法，比如上面说的，禁止访问server3的HTTP服务：我可以抓取服务器的IP，也可以抓取客户端的IP、也可以抓取端口号、还可以抓取协议TCP、可以应用到入端口、也可以应用到出端口都可以达到自己想要的目的。