asa防火墙的应用

1. 实验名称：防火墙的应用

2. 实验拓步图：

3.实验目的：1. client2 可以访问server3

2.使用命令show conn detail 查看 conn表状态

3.分别查看ASA 和 AR的路由表

4. 配置ACL禁止client5访问server1

4.配置思路 ：

# 首先创建三个区域，分别是 内网，外网，DMAZ区 ，然后配置各个区域的服务器，最后设置acl权限

5. 操作步骤 ：

# 首先配置各个区域的终端ip地址

# 配置outside区域 ：

配置 client2 ,server4 ,server1的ip 地址

ip address 192.168.8.2 255.255.255.0

gateway 192.168.8.254 //server4 ftp 的配置

ip address 192.168.8.1 255.255.255.0

gateway 192.168.8.254 255.255.255.0 //client2的配置

ip address 192.168.8.100 255.255.255.0

gateway 192.168.8.254 //server1 web的配置

#配置ＤＭＡＺ区域　

　　　　　　　　　　　＃　配置ｓｅｒｖｅｒ３　，client5的ip 地址

ip address 192.168.30.1 255.255.255.0

gateway 192.168.30.254 // client5的配置

ip address 192.168.30.100 255.255.255.0

gateway 192.168.30.254 //server 3 的ip地址

# 配置 inside区域

# 配置server2 client1的ip 地址

ip address 10.1.1.1 255.255.255.0

gateway 10.1.1.254 //server2 de ip 地址

ip address 10.2.2.1 255.255.255.0

gateway 10.2.2.254 // client 1的ip地址

#　给防火墙各个端口配置ip地址

# interface g 0

nameif inside

ip address 192.168.1.254 255.255.255.0

no shutdow

interface g 1

nameif outside

ip address 192.168.8.254 255.255.255.0

no shutdown

interface DMAZ 区

interface g 2

nameif DMAZ

security-level 50

ip address 192.168.30.254 255.255.255.0

no shutdown

#在防火墙asa上配置acl 使 client 2可以访问 server 2 ---web服务器

access list 1 permit tcp any host 192.168.30.100 eq 80

access-group 1 in interface outside // 默认防火墙的内网安全等级为100 ,外网为0

如下图所示 : 证明 client2 已经可以访问web服务器

# 接下来在AR1上配置ip地址,以及路由,并且在防火墙上配置去往内网的路由

inteface g0/0/0

ip address 10.1.1.1.254 255.255.255.0

undo shutdown

interface g0/0/1

ip address 10.2.2.254 255.255.255.0

undo shutdown

interface g0/0/2

ip address 192.168.1.1 255.255.255.0

undo shutdown

ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 //去往外网的路由

#在防火墙asa上配置去往内网的路由

route inside 10.1.1.0 255.255.255.0 192.168.1.1

route inside 10.2.2.0 255.255.255.0 192.168.1.1

# 测试,如图所示 : 可以访问外网ftp服务器

# 接下来可以查看 show conn detail

# 再到路由器上查看路由,并且到asa防火墙上查看路由,如下图所示

# 最后配置acl使clietn 不能访问web --server1

access-list 2 deny tcp any host 192.168.8.100 eq 80

access-group 2 in interface DMAZ //在dmaz端口调用

如下图所示,表示测试成功

总结 :防火墙的工作过程 :

默认是内网的安全等级高,外网的安全等级低,所以内网可以访问外网,而外网访问不了内网,

举个简单的例子 :

假如外网有一个web服务器,它默认内网是可以访问的,防火墙默认拦截所有流量，存入 conn状态表中，回来时，因为它是匹配了80端口,所以才可以回来

,如果是Ping流量的话,它默认没有开启的,它是有出去的包,但是没有回来的包,要是能回来,只能写acl放行

___________________________________________________________________________________________________________________________________________

end