1. 实验名称:防火墙的应用

  2. 实验拓步图:

                   127.png

3.实验目的:1.       client2 可以访问server3 

                    2.使用命令show conn  detail  查看 conn表状态

                    3.分别查看ASA  和 AR的路由表

                    4. 配置ACL禁止client5访问server1

4.配置思路 : 

                     # 首先创建三个区域,分别是  内网,外网,DMAZ区 ,然后配置各个区域的服务器,最后设置acl权限


 5.   操作步骤 : 


                      # 首先配置各个区域的终端ip地址 

                          # 配置outside区域 : 

                                   配置  client2 ,server4 ,server1的ip 地址 

                                     ip address  192.168.8.2  255.255.255.0

                                         gateway  192.168.8.254                                          //server4 ftp 的配置

                                  ip address  192.168.8.1  255.255.255.0  

                                             gateway 192.168.8.254 255.255.255.0         //client2的配置 

                                     ip address  192.168.8.100 255.255.255.0 

                                             gateway  192.168.8.254           //server1 web的配置     

             #配置DMAZ区域 

           # 配置server3 ,client5的ip 地址


                             ip address 192.168.30.1 255.255.255.0 

                               gateway  192.168.30.254  // client5的配置

                   

                           ip address  192.168.30.100 255.255.255.0 

                               gateway 192.168.30.254  //server 3 的ip地址   


#   配置 inside区域 

                      # 配置server2 client1的ip 地址 

                             ip address 10.1.1.1 255.255.255.0 

                                gateway  10.1.1.254         //server2 de ip 地址

                              ip address 10.2.2.1  255.255.255.0

                                gateway 10.2.2.254 // client 1的ip地址


# 给防火墙各个端口配置ip地址 


                   #  interface g 0

                          nameif inside 

                            ip address 192.168.1.254  255.255.255.0

                               no shutdow 

                      interface g 1

                       nameif outside 

                          ip address  192.168.8.254 255.255.255.0 

                             no shutdown 

                     interface DMAZ 区 

                             interface g 2 

                                nameif  DMAZ  

                                 security-level 50 

                                    ip address  192.168.30.254 255.255.255.0 

                                           no shutdown 

               #在防火墙asa上配置acl 使 client 2可以访问 server 2 ---web服务器 


                   access list 1 permit tcp any host 192.168.30.100 eq 80 

                   access-group 1 in interface outside // 默认防火墙的内网安全等级为100 ,外网为0   


                  如下图所示 :   证明 client2 已经可以访问web服务器

                         1.png

                        

       

   #   接下来在AR1上配置ip地址,以及路由,并且在防火墙上配置去往内网的路由   


           inteface g0/0/0 

                ip address 10.1.1.1.254 255.255.255.0

                        undo shutdown 

            interface g0/0/1

                ip address 10.2.2.254 255.255.255.0  

                      undo shutdown 

                interface g0/0/2 

                   ip address 192.168.1.1 255.255.255.0

                      undo shutdown 

              ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 //去往外网的路由


           #在防火墙asa上配置去往内网的路由

              route inside 10.1.1.0 255.255.255.0 192.168.1.1 

              route inside 10.2.2.0 255.255.255.0 192.168.1.1   

   

            # 测试,如图所示 : 可以访问外网ftp服务器 

                       4.png



# 接下来可以查看 show conn detail  


         6.png


# 再到路由器上查看路由,并且到asa防火墙上查看路由,如下图所示


   3.png


5.png


# 最后配置acl使clietn 不能访问web --server1 

access-list  2 deny tcp any host 192.168.8.100 eq 80  

access-group 2 in interface DMAZ //在dmaz端口调用


如下图所示,表示测试成功 

   2.png



总结 :防火墙的工作过程 :


                  默认是内网的安全等级高,外网的安全等级低,所以内网可以访问外网,而外网访问不了内网, 

                      举个简单的例子 :

                              假如外网有一个web服务器,它默认内网是可以访问的,防火墙默认拦截所有流量,存入 conn状态表中,回来时,因为它是匹配了80端口,所以才可以回来

                                 ,如果是Ping流量的话,它默认没有开启的,它是有出去的包,但是没有回来的包,要是能回来,只能写acl放行


___________________________________________________________________________________________________________________________________________


     end