首页 > 代码库 > 【思科防火墙】思科ASA防火墙企业网实例

【思科防火墙】思科ASA防火墙企业网实例

前提:随着网络发展,网络安全成为当前重要的课题,越来越多的公司会选择将防火墙作为公司出口设备,相比于路由器,防火墙除了具有转发路由的功能外,还可以对内部、外部的流量进行过滤,从而进一步加强公司网络的安全性。

 

实验拓扑:

wKioL1RYKBWCFhs2AAGNknRlOcE202.jpg

 

实验目的:如图,公司内网划分为两个vlan,vlan10和vlan 20,将三层交换机M1作为网关,将思科防火墙ASA1作为公司的出口设备,R1为运营商路由器,在R1环回口1.1.1.1/32模拟外网。

  1. 在ASA1上做PAT,使得内网主机可以上外网

  2. 在ASA1上做配置,使得R1可以远程管理内网交换机SW1

 

实验步骤:

1。首先进行基本配置

SW1

SW1#conf t
SW1(config)#no ip routing
SW1(config)#vlan  10,20


SW1(config-vlan)#int f1/1
SW1(config-if)#switchport access vlan 10
SW1(config-if)#int f1/2
SW1(config-if)#switchport access vlan 20
SW1(config-if)#int f1/3
SW1(config-if)#switchport mode trunk

 

M1

M1#conf t
M1(config)#ip routing
M1(config)#vlan 10,20


M1(config-vlan)#int f1/1
M1(config-if)#no sh
M1(config-if)#switchport mode trunk
M1(config-if)#ex


M1(config)#int vlan 10
M1(config-if)#ip add 192.168.10.1 255.255.255.0
M1(config-if)#no sh

M1(config-if)#int vlan 20
M1(config-if)#ip add 192.168.20.1 255.255.255.0
M1(config-if)#no sh
M1(config-if)#ex

M1(config)#int f0/0
M1(config-if)#ip add 11.0.0.1 255.255.255.0
M1(config-if)#no sh
M1(config-if)#ex


M1(config)#ip route 0.0.0.0 0.0.0.0 11.0.0.2               //向出口防火墙指一条默认

 

ASA1

注意:再给ASA防火墙配置接口时,要指定内部接口inside和外部接口outside

ciscoasa> en 
Password:    
ciscoasa#
ciscoasa# conf t
ciscoasa(config)# int e0/0

ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip add 11.0.0.2 255.255.255.0
ciscoasa(config-if)# no sh

ciscoasa(config-if)# int e0/1
ciscoasa(config-if)# nameif outside.
ciscoasa(config-if)# ip add 12.0.0.2 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config-if)# ex

向运营商路由器指一条默认,向内网指一条静态路由,这里和路由器配置稍有不同   
ciscoasa(config)# route outside 0 0 12.0.0.1
ciscoasa(config)# route inside 192.168.0.0 255.255.0.0 11.0.0.1

 

R1

R1(config)#int f0/0
R1(config-if)#ip add 12.0.0.1 255.255.255.0
R1(config-if)#no sh

 

配置环回口l0模拟外网
R1(config-if)#int l0
R1(config-if)#ip add
R1(config-if)#ip add 1.1.1.1 255.255.255.255
R1(config-if)#no sh
R1(config-if)#ex

 

2.ASA防火墙在默认情况下,允许内网区域访问外部区域,而外部区域无法访问内部区域,若想访问,需要做一条ACL来匹配。

ASA1

ciscoasa(config)# access-list test permit ip any any 

 

应用在外接口的in方向(即外部向内部)              
ciscoasa(config)# access-group test in int outside

 

在ASA1上做动态PAT,使内网主机利用外网口上网

ASA1

ciscoasa(config)# nat (inside) 1 192.168.10.0 255.255.255.0
ciscoasa(config)# nat (inside) 1 192.168.20.0 255.255.255.0

 


利用外网口e0/1上网

ciscoasa(config)# global (outside) 1 int

 

可以在C1上测试下能否访问R1了

wKioL1RYNIfB7ZTXAACwA9wd37k763.jpg

通了。

 

因为运营商路由器R1不可能知晓公司内部私网地址,下面要使R1远程管理SW1,必须在ASA1上做PAT静态端口映射,将SW1的telnet端口映射到e0/1的telnet端口。

首先配置管理vlan1,开启远程登录

 

SW1

SW1(config)#int vlan 1
SW1(config-if)#ip add 192.168.8.8 255.255.255.0
SW1(config-if)#no sh
SW1(config-if)#ex


SW1(config)#line vty 0 4
SW1(config-line)#password abc
SW1(config-line)#login

 

指定默认网关

SW1(config)#ip default-gateway 192.168.8.1

M1

M1(config)#int vlan 1
M1(config-if)#ip add 192.168.8.1 255.255.255.0
M1(config-if)#no sh

 

在ASA1上做端口映射

ASA1

ciscoasa(config)# static (inside,outside) tcp int telnet192.168.8.8 telnet netmask

                        255.255.255.255  

 

需要在ACL内加一条,允许R1访问e0/1的23端口                    
ciscoasa(config)# access-list test permit tcp 12.0.0.1 255.255.255.255 12.0.0.2 255.255.255.255 eq 23

 

在R1上测试结果

R1

R1#telnet 12.0.0.2
Trying 12.0.0.2 ... Open


User Access Verification

Password:
SW1>
SW1>
SW1>

 

已经成功远程登录SW1了,实验结束

本文出自 “NE之路” 博客,请务必保留此出处http://332162926.blog.51cto.com/8831013/1571545

【思科防火墙】思科ASA防火墙企业网实例