大家好,今天我们来学习交流一下Cisco ASA5505防火墙(路由模式)的配置。
通过本文实验,主要了解为以下几点
1、熟悉 ASA5505防火墙的基本配置。
2、掌握 ASA5505防火墙路由模式的配置方法。
实验环境
1、思科 ASA 5505 防火墙1 台。
2、思科 3560 交换机1 台。
3、PC 机2台。
实验配置命令参考
1、配置防火墙名
ciscoasa> enable
ciscoasa# configure terminal
ciscoasa(config)# hostname asa5505
2、配置 ***和 ssh管理
asa5505(config)#username xxx password xxxxxx encrypted privilege 15
asa5505(config)#aaa authentication enable console LOCAL
asa5505(config)#aaa authentication telnet console LOCAL
asa5505(config)#aaa authentication http console LOCAL
asa5505(config)#aaa authentication ssh console LOCAL
asa5505(config)#aaa autoentication command LOCAL
asa5505(config)#http server enable //启动 HTTP server,便于 ASDM 连接。
asa5505(config)#http 192.168.1.0 255.255.255.0 inside //对内启用 ASDM 连接
asa5505(config)#telnet 192.168.1.0 255.255.255.0 inside //允许内部接口 192.168.1.0 网段telnet 防火墙
asa5505(config)#ssh 192.168.1.0 255.255.255.0 inside //设置 SSH内网地址进入
asa5505(config)#ssh 0.0.0.0 0.0.0.0 outside //对外启用 ASDM 连接 (一般禁用)
asa5505(config)#crypto key generate rsa //打开SSH服务,产生加密密钥
3、配置密码
asa5505(config)# password cisco //远程密码
asa5505(config)# enable password cisco //特权模式密码
5500 系列防火墙默认的登陆密码是 cisco,你可以使用 password xxxx 来修改这个密码 配置特权密码:enable password xxxxx
4、配置 IP
asa5505(config)# interface vlan 2 //进入 vlan2
asa5505(config-if)# ip address 218.16.37.222 255.255.255.192 //vlan2配置 IP
asa5505(config)#show ip address vlan2 //验证配置
5、端口加入 vlan
asa5505(config)# interface e0/3 //进入接口 e0/3
asa5505(config-if)# switchport access vlan 3 //接口 e0/3 加入vlan3
asa5505(config)# interface vlan 3 //进入vlan3
asa5505(config-if)# ip address 10.10.10.36 255.255.255.224 //vlan3配置 IP
asa5505(config-if)# nameif inside (外网:outside; 隔离区:dmz) //vlan3名
asa5505(config-if)#security-level 100 //定义安全级别
asa5505(config-if)# no shutdown //开启
asa5505(config-if)# show switch vlan //验证配置
6、DHCP 中继配置
asa5505(config)# dhcprelay server 201.168.200.4
asa5505(config)# dhcprelay enable inside
asa5505(config)# dhcprelay setroute inside
7、控制列表
asa5505(config)#access-list acl_out extended permit tcp any any eq www //允许tcp协议80 端口入站
asa5505(config)#access-list acl_out extended permit tcp any any eq https //允许 tcp 协议443 端口入站
asa5505(config)#access-list acl_out extended permit tcp any host 218.16.37.223 eq ftp //允许 tcp 协议 21 端口到218.16.37.223 主机
asa5505(config)#access-list acl_out extended permit tcp any host 218.16.37.226 eq 8080 //允许 tcp 协议 8080 端口到 218.16.37.226 主机
asa5505(config)#access-list 100 extended permit icmp any any //设置 ACL 列表(允许 ICMP全部通过)
asa5505(config)#access-list 100 extended permit ip any any //设置 ACL 列表(允许所有 IP全部通过)
asa5505(config)#access-group 100 in interface outside //设置ACL 列表绑定到外端口
asa5505(config)#show access-list ——————验证配置
8、设置路由
asa5505(config)#route dmz 10.0.0.0 255.0.0.0 10.10.10.33 1 //静态路由到 10.0.0.0网段经过 10.10.10.33 网关跳数为 1
asa5505(config)#route outside 0.0.0.0 0.0.0.0 218.16.37.193 1 //默认路由到所有网段经过 218.16.37.193 网关跳数为 1
asa5505# show route ——————显示路由信息
9、静态 NAT
asa5505(config)# static (inside,outside) 218.16.37.223 192.168.1.6 netmask 255.255.255.255
//外网218.16.37.223 映射到内网 192.168.1.6
asa5505(config)#access-list acl_out extended permit icmp any any //控制列表名acl_out 允许 ICMP协议
asa5505(config)#access-group acl_out in interface outside //控制列表 acl_out 应用到outside 接口
asa5505(config)#static (inside,dmz) 10.10.10.37 192.168.1.16 netmask 255.255.255.255 //dmz10.10.10.37 映射到内网 192.168.1.16
asa5505(config)#access-list acl_dmz extended permit icmp any any //控制列表名 acl_dmz允许 ICMP协议
asa5505(config)#access-groupacl_dmz in interface dmz //控制列表 acl_out 应用到dmz 接口
asa5505(config)#Show nat //验证配置
10、动态 NAT
asa5505(config)#global(outside) 1 218.201.35.224-218.201.35.226 //定义全局地址池
asa5505(config)#nat(inside) 1 192.168.1.20-192.168.1.22 //内部转换地址池
asa5505(config)# show nat //验证配置
11、基于端口 NAT(PAT)
asa5505(config)#global (outside) 2 interface //定义全局地址即outside地址:218.16.37.222
asa5505(config)#nat (inside) 2 0.0.0.0 0.0.0.0 0 //NAT 地址池(所有地址)0 为无最大会话数限制
asa5505(config)# show nat //验证配置
12、配置 DHCP 服务
asa5505(config)#dhcpd address 192.168.1.100-192.168.1.199 inside //设置 DHCP服务器地址池
asa5505(config)#dhcpd dns 211.99.129.210 202.106.196.115 interface inside //设置DNS服务器到内网端口
asa5505(config)#dhcpd enable inside //设置 DHCP 应用到内网端口
13、FTP 模式
asa5505(config)#ftp mode passive //开启 FTP模式
14、重复 PING 100 次
asa5505# ping 202.96.133.133 repeat 100
15、保存配置
asa5505# write memory //保存配置
实验参考拓扑
实验内容
通过防火墙的路由模式配置使内部 PC 和服务器能够访问外网,服务器对外提供 WEB、FTP服务。外网测试 PC 能够访问内网服务器网站和 FTP服务。
实验步骤
hostname ciscoasa
enable password cisco
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
interface Vlan2
nameif outside
security-level 0
ip address 192.168.28.2 255.255.255.0
interface Vlan3
nameif dmz
security-level 50
ip address 10.10.10.1 255.255.255.0
interface Ethernet0/0
switchport access vlan 2
interface Ethernet0/1
switchport access vlan 1
interface Ethernet0/2
switchport access vlan 3
interface Ethernet0/3
interface Ethernet0/4
interface Ethernet0/5
interface Ethernet0/6
interface Ethernet0/7
passwd cisco encrypted
ftp mode passive
access-list 101 extended permit tcp any host 192.168.28.100 eq www
access-list 101 extended permit tcp any host 192.168.28.100 eq ftp
access-list 100 extended permit icmp any any
access-list 100 extended permit tcp any any
access-list 100 extended permit udp any any
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
static (dmz,outside) 192.168.28.100 10.10.10.10 netmask 255.255.255.255 tcp 80 0
static (dmz,outside) 192.168.28.100 10.10.10.10 netmask 255.255.255.255 tcp 21 0
nat(inside) 1 192.168.1.1-192.168.1.254
access-group 101 in interface outside
access-group 100 in interface dmz
route outside 0.0.0.0 0.0.0.0 192.168.28.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 inside
telnet 192.168.1.0 255.255.255.0 inside
ssh 192.168.1.0 255.255.255.0 inside
crypto key generate rsa
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
dhcprelay timeout 60
class-map inspection_default
match default-inspection-traffic
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
service-policy global_policy global
prompt hostname context
Cryptochecksum:30e219cbc04a4c919e7411de55e14a64
: end
通过 ASDM 软件配置策略,具体配置略。
实验常见问题
1、访问原则 (路由模式)
Inside 可以自由访问 outside (我们可能会想为什么包能回来,因为防火墙会检查是否这是已经建立起来的 session)
Outside 可以访问 DMZ (但必须通过 ACL,filters,AAA)
Inside 可以访问 DMZ (但必须通过 ACL,filters,AAA)
Outside 不可以访问 inside, 虽然 The outside user might attempt to reach an inside user by using an existing NAT session,但是不能成功,所以攻击是困难的
DMZ 可以访问 inside(但必须通过 ACL,filters,AAA)
2、当你在防火墙上做了 static nat 时,即把一个公网 IP影射到了一个内部私有 IP,这时你需要做一个访问控制列表,外部地址访问内部主机,并且应该应用到 outside 接口上(进来的方向),内部地址 访问外部网络时,你需要定义 ACL,并应用带 inside 接口上(进防火墙的方向
3、不能采用: static (inside,outside) int 192.168.0.10 tcp 8089 做映射,而应采用 static (inside,outside) 221.221.147.195 192.168.0.10 tcp 8089 做映射。
4、同等安全水平的接口 no nat 但如果配置了 Dyn nat,则必须匹配 NAT rule Inside—–>outside 需要nat
以上为本文全部内容,如有学习需要可使用Cisco或者其它模拟软件进行模拟实验。有问题也可留言提问。感谢大家的观看。如果大家对网络技术有兴趣,欢迎大家关注。
本网页内容旨在传播知识,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:dandanxi6@qq.com