首页 > 代码库 > 【思科防火墙】思科ASA防火墙企业网实例
【思科防火墙】思科ASA防火墙企业网实例
前提:随着网络发展,网络安全成为当前重要的课题,越来越多的公司会选择将防火墙作为公司出口设备,相比于路由器,防火墙除了具有转发路由的功能外,还可以对内部、外部的流量进行过滤,从而进一步加强公司网络的安全性。
实验拓扑:
实验目的:如图,公司内网划分为两个vlan,vlan10和vlan 20,将三层交换机M1作为网关,将思科防火墙ASA1作为公司的出口设备,R1为运营商路由器,在R1环回口1.1.1.1/32模拟外网。
在ASA1上做PAT,使得内网主机可以上外网
在ASA1上做配置,使得R1可以远程管理内网交换机SW1
实验步骤:
1。首先进行基本配置
SW1
SW1#conf t
SW1(config)#no ip routing
SW1(config)#vlan 10,20
SW1(config-vlan)#int f1/1
SW1(config-if)#switchport access vlan 10
SW1(config-if)#int f1/2
SW1(config-if)#switchport access vlan 20
SW1(config-if)#int f1/3
SW1(config-if)#switchport mode trunk
M1
M1#conf t
M1(config)#ip routing
M1(config)#vlan 10,20
M1(config-vlan)#int f1/1
M1(config-if)#no sh
M1(config-if)#switchport mode trunk
M1(config-if)#ex
M1(config)#int vlan 10
M1(config-if)#ip add 192.168.10.1 255.255.255.0
M1(config-if)#no sh
M1(config-if)#int vlan 20
M1(config-if)#ip add 192.168.20.1 255.255.255.0
M1(config-if)#no sh
M1(config-if)#ex
M1(config)#int f0/0
M1(config-if)#ip add 11.0.0.1 255.255.255.0
M1(config-if)#no sh
M1(config-if)#ex
M1(config)#ip route 0.0.0.0 0.0.0.0 11.0.0.2 //向出口防火墙指一条默认
ASA1
注意:再给ASA防火墙配置接口时,要指定内部接口inside和外部接口outside。
ciscoasa> en
Password:
ciscoasa#
ciscoasa# conf t
ciscoasa(config)# int e0/0
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip add 11.0.0.2 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config-if)# int e0/1
ciscoasa(config-if)# nameif outside.
ciscoasa(config-if)# ip add 12.0.0.2 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config-if)# ex
向运营商路由器指一条默认,向内网指一条静态路由,这里和路由器配置稍有不同
ciscoasa(config)# route outside 0 0 12.0.0.1
ciscoasa(config)# route inside 192.168.0.0 255.255.0.0 11.0.0.1
R1
R1(config)#int f0/0
R1(config-if)#ip add 12.0.0.1 255.255.255.0
R1(config-if)#no sh
配置环回口l0模拟外网
R1(config-if)#int l0
R1(config-if)#ip add
R1(config-if)#ip add 1.1.1.1 255.255.255.255
R1(config-if)#no sh
R1(config-if)#ex
2.ASA防火墙在默认情况下,允许内网区域访问外部区域,而外部区域无法访问内部区域,若想访问,需要做一条ACL来匹配。
ASA1
ciscoasa(config)# access-list test permit ip any any
应用在外接口的in方向(即外部向内部)
ciscoasa(config)# access-group test in int outside
在ASA1上做动态PAT,使内网主机利用外网口上网
ASA1
ciscoasa(config)# nat (inside) 1 192.168.10.0 255.255.255.0
ciscoasa(config)# nat (inside) 1 192.168.20.0 255.255.255.0
利用外网口e0/1上网
ciscoasa(config)# global (outside) 1 int
可以在C1上测试下能否访问R1了
通了。
因为运营商路由器R1不可能知晓公司内部私网地址,下面要使R1远程管理SW1,必须在ASA1上做PAT静态端口映射,将SW1的telnet端口映射到e0/1的telnet端口。
首先配置管理vlan1,开启远程登录
SW1
SW1(config)#int vlan 1
SW1(config-if)#ip add 192.168.8.8 255.255.255.0
SW1(config-if)#no sh
SW1(config-if)#ex
SW1(config)#line vty 0 4
SW1(config-line)#password abc
SW1(config-line)#login
指定默认网关
SW1(config)#ip default-gateway 192.168.8.1
M1
M1(config)#int vlan 1
M1(config-if)#ip add 192.168.8.1 255.255.255.0
M1(config-if)#no sh
在ASA1上做端口映射
ASA1
ciscoasa(config)# static (inside,outside) tcp int telnet192.168.8.8 telnet netmask
255.255.255.255
需要在ACL内加一条,允许R1访问e0/1的23端口
ciscoasa(config)# access-list test permit tcp 12.0.0.1 255.255.255.255 12.0.0.2 255.255.255.255 eq 23
在R1上测试结果
R1
R1#telnet 12.0.0.2
Trying 12.0.0.2 ... Open
User Access Verification
Password:
SW1>
SW1>
SW1>
已经成功远程登录SW1了,实验结束
本文出自 “NE之路” 博客,请务必保留此出处http://332162926.blog.51cto.com/8831013/1571545
【思科防火墙】思科ASA防火墙企业网实例