鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 网络程序脚本 > 其它 > >

思科防火墙ASA配置案例

来源:互联网 作者:佚名 时间:2013-08-18 08:29
思科防火墙ASA配置案例拓扑图要求:通过思科防火墙ASA使用内网用户可以访问外网与D..

 

拓扑图

要求:通过思科防火墙ASA使用内网用户可以访问外网与DMZ中的服务器,DMZ中的服务器可以发布到网络中,供外网用户访问

因为我们没有真实的设备,所以我们使用一个使用linux内核的虚拟系统来模拟思科的防火墙,模拟防火墙可以自己下载,在使用时我们还要使用一个软件来连接这个模拟防火墙:nptp.ext。

首先,我们打开ASA防火墙虚拟机,再安装nptp.exe软件

         

          

 

  使用连接工具进行连接

    

连接成功

      外网IP配置

      内网IP配置

     

       DMZ  IP配置

  

       查看路由

    注:在ASA防火墙中一定要配置nameif名字,香港服务器,如果不配置的话,这个端口就不能启动,在配置名字的时候,香港虚拟主机,不同的名字可以有不同的优先级,免备案空间,内网inside是一个系统自带的值,只可配置在内网的端口上,并且它的优先级是100,属于最高的级别,而另外的一些优先级都是0,在优先级高的区域访问优先级低的区域的时候,可以直接做snat就可以通信,而优先级低的访问优先级低的区域的时候,做dnat的同时,还要做访问控制列表。

ciscoasa(config-if)# exit

测试

我们使用的192.168.101.0做为外网的网段,但是在测试的时候,不能使用ping命令测试,因为在默认情况下防火墙是把ping作为一种攻击手段给拒绝掉的。我现在在192.168.101.105上做了一个RDP服务器,可以进行测试

          

可以测试成功

基于前面的设置,我们只需要再做一条指令指明dmz区域即可

    

RDP服务器发布

 

测试

www服务器发布

ciscoasa(config)# static (dmz,outside) tcp interface www 192.168.2.2 www 

ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 80 

ciscoasa(config)# access-group 100 in interface outside 

测试

本文出自 “郭懂的博客” 博客,请务必保留此出处

网友评论
<