【思科防火墙】思科ASA防火墙企业网实例
前提:随着网络发展,网络安全成为当前重要的课题,越来越多的公司会选择将防火墙作为公司出口设备,相比于路由器,防火墙除了具有转发路由的功能外,还可以对内部、外部的流量进行过滤,从而进一步加强公司网络的安全性。
实验拓扑:
实验目的:如图,公司内网划分为两个vlan,vlan10和vlan 20,将三层交换机M1作为网关,将思科防火墙ASA1作为公司的出口设备,R1为运营商路由器,在R1环回口1.1.1.1/32模拟外网。
在ASA1上做PAT,使得内网主机可以上外网。
在ASA1上做配置,使得R1可以远程管理内网交换机SW1。
实验步骤:
1。首先进行基本配置
- SW1
- SW1#conf t
- SW1(config)#no ip routing
- SW1(config)#vlan 10,20
- SW1(config-vlan)#int f1/1
- SW1(config-if)#switchport access vlan 10
- SW1(config-if)#int f1/2
- SW1(config-if)#switchport access vlan 20
- SW1(config-if)#int f1/3
- SW1(config-if)#switchport mode trunk
- M1
- M1#conf t
- M1(config)#ip routing
- M1(config)#vlan 10,20
- M1(config-vlan)#int f1/1
- M1(config-if)#no sh
- M1(config-if)#switchport mode trunk
- M1(config-if)#ex www.luyouqiwang.com
- M1(config)#int vlan 10
- M1(config-if)#ip add 192.168.10.1 255.255.255.0
- M1(config-if)#no sh
- M1(config-if)#int vlan 20
- M1(config-if)#ip add 192.168.20.1 255.255.255.0
- M1(config-if)#no sh
- M1(config-if)#ex
- M1(config)#int f0/0
- M1(config-if)#ip add 11.0.0.1 255.255.255.0
- M1(config-if)#no sh
- M1(config-if)#ex
- M1(config)#ip route 0.0.0.0 0.0.0.0 11.0.0.2 //向出口防火墙指一条默认
ASA1
注意:再给ASA防火墙配置接口时,要指定内部接口inside和外部接口outside。
- ciscoasa> en
- Password:
- ciscoasa#
- ciscoasa# conf t
- ciscoasa(config)# int e0/0
- ciscoasa(config-if)# nameif inside
- ciscoasa(config-if)# ip add 11.0.0.2 255.255.255.0
- ciscoasa(config-if)# no sh
- ciscoasa(config-if)# int e0/1
- ciscoasa(config-if)# nameif outside.
- ciscoasa(config-if)# ip add 12.0.0.2 255.255.255.0
- ciscoasa(config-if)# no sh
- ciscoasa(config-if)# ex
向运营商路由器指一条默认,向内网指一条静态路由,这里和路由器配置稍有不同
- ciscoasa(config)# route outside 0 0 12.0.0.1
- ciscoasa(config)# route inside 192.168.0.0 255.255.0.0 11.0.0.1
- R1
- R1(config)#int f0/0
- R1(config-if)#ip add 12.0.0.1 255.255.255.0
- R1(config-if)#no sh
配置环回口l0模拟外网
- R1(config-if)#int l0
- R1(config-if)#ip add
- R1(config-if)#ip add 1.1.1.1 255.255.255.255
- R1(config-if)#no sh
- R1(config-if)#ex
2.ASA防火墙在默认情况下,允许内网区域访问外部区域,而外部区域无法访问内部区域,若想访问,需要做一条ACL来匹配。
ASA1
ciscoasa(config)# access-list test permit ip any any
应用在外接口的in方向(即外部向内部)
ciscoasa(config)# access-group test in int outside
在ASA1上做动态PAT,使内网主机利用外网口上网
ASA1
ciscoasa(config)# nat (inside) 1 192.168.10.0 255.255.255.0
ciscoasa(config)# nat (inside) 1 192.168.20.0 255.255.255.0
利用外网口e0/1上网
ciscoasa(config)# global (outside) 1 int
可以在C1上测试下能否访问R1了
通了。
因为运营商路由器R1不可能知晓公司内部私网地址,下面要使R1远程管理SW1,必须在ASA1上做PAT静态端口映射,将SW1的telnet端口映射到e0/1的telnet端口。
首先配置管理vlan1,开启远程登录
- SW1
- SW1(config)#int vlan 1
- SW1(config-if)#ip add 192.168.8.8 255.255.255.0
- SW1(config-if)#no sh
- SW1(config-if)#ex
- SW1(config)#line vty 0 4
- SW1(config-line)#password abc
- SW1(config-line)#login
指定默认网关
- SW1(config)#ip default-gateway 192.168.8.1
- M1
- M1(config)#int vlan 1
- M1(config-if)#ip add 192.168.8.1 255.255.255.0
- M1(config-if)#no sh
在ASA1上做端口映射
ASA1
ciscoasa(config)# static (inside,outside) tcp int telnet192.168.8.8 telnet netmask
255.255.255.255
需要在ACL内加一条,允许R1访问e0/1的23端口
ciscoasa(config)# access-list test permit tcp 12.0.0.1 255.255.255.255 12.0.0.2 255.255.255.255 eq 23
在R1上测试结果
- R1
- R1#telnet 12.0.0.2
- Trying 12.0.0.2 ... Open
- User Access Verification
- Password:
- SW1>
- SW1>
- SW1>
已经成功远程登录SW1了,实验结束。