windows防火墙的算法及基本配置
要求:
DMZ发布Web服务器,Client2可以访问Server3
使用命令show conn detail查看Conn表
分别查看ASA和AR的路由表
配置ACL禁止Client3访问Server2
配置步骤及思路:
一.给客户端和服务器配置ip
server1:
ip: 10.1.1.1
子网掩码:255.255.255.0
网关:10.1.1.254
Client1:
ip: 10.2.2.1
子网掩码:255.255.255.0
网关:10.2.2.254
server2:
ip: 192.168.8.100
子网掩码:255.255.255.0
网关:192.168.8.254
Client2:
ip: 192.168.8.1
子网掩码:255.255.255.0
网关:192.168.8.254
server3:
ip: 192.168.30.100
子网掩码:255.255.255.0
网关:192.168.3.254
Client3:
ip: 192.168.30.1
子网掩码:255.255.255.0
网关:192.168.30.254
二.在防火墙上配置区域
interface g0 进入端口
nameif inside 配置接口的名称
ip address 192.168.1.254 255..255.255.0 配置网关
security-level 100 配置接口的安全级别(范围是0-100)
interface g1 进入端口
nameif outside 配置接口的名称
ip address 192.168.8.254 255..255.255.0 配置网关
security-level 0 配置接口的安全级别(范围是0-100)
interface g2 进入端口
nameif dmz 配置接口的名称
ip address 192.168.30.254 255..255.255.0 配置网关
security-level 50 配置接口的安全级别(范围是0-100)
写一条acl使Client2可以访问Server3
access list 1 permit tcp any host 192.168.30.100 eq 80
access-group 1 in interface outside // 默认防火墙的内网安全等级为100 ,外网为0 .等级低的无法访问高级的所以要配置acl允许访问
验证,测试:
windows防火墙的算法及基本配置
三.配置可以去外网的路由
interface g0/0/0 进入端口
ip address 10.1.1.254 255.255.255.0 配置网关
interface g0/0/1 进入端口
ip address 10.2.2.254 255.255.255.0 配置网关
interface g0/0/2 进入端口
ip address 192.168.1.1 255.255.255.0 配置ip
interface g0/0/2属于192.168.1.0/24网段所以配置一个192.168.1.0网段的ip
在路由器上配置一条默认路由交给下一跳192.168.1.254‘
ip route 0.0.0.0 0.0.0.0 192.168.1.254
在防火墙上配置回包路由交给下一跳192.168.1.1
route inside 10.1.1.0 255.255.255.0 192.168.1.1 要去的网段
route inside 10.2.2.0 255.255.255.0 192.168.1.1 要去的网段
display ip route table 查看路由表
windows防火墙的算法及基本配置
show route 查看asa防火墙
windows防火墙的算法及基本配置
验证,测试
如下图可以访问外网ftp
windows防火墙的算法及基本配置

                    # 接下来可以查看 conn表
                        show conn detail  
                            ![](https://s1.51cto.com/images/blog/201801/31/9fa884862c16f6d2951f5d7fc5b76d27.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
        三.# 最后配置acl使clietn 2不能访问server1
               access-list  2(名字) deny tcp any host 192.168.8.100 eq 80 
                     access-group  2(名字) in interface DMAZ //在dmaz端口调用

测试:
windows防火墙的算法及基本配置