Cisco防火墙---ASA安全设备的应用

实验环境（如下拓扑图所示）：

1.准备四台虚拟机，两台使用windows 2003系统，分别配置Web服务器和Out服务器，分别搭建站点www.sjzz.com 和www.out.com ，并在Out服务器上搭建DNS服务器,负责解析www.sjzz.com（IP地址：200.1.1.253/29）和www.out.com（IP地址：200.2.2.1）。PC1为内网客户机，使用windows XP系统，DNS服务器使用200.2.2.1。

2.使用asa802-k8.bin 、Qemu 、qemuPCAP、Linux模拟出一个ASA系统。

3.使用DynamipsGUI模拟一台路由器。

实验目的：

1.只能从PC1通过SSH访问ASA；

2.从PC1可以访问outside和DMZ区的网站，从Out主机可以访问Dmz区的Web站点。

3.从PC1可以ping通Out主机。

各设备IP地址分配如下：

PC1：192.168.0.88      

ASA防火墙Inside接口：192.168.0.254/24

ASA防火墙Outside接口：200.0.0.2/30

ASA防火墙Dmz接口：192.168.1.254/24

ISP路由器F0/1：200.0.0.1/30

ISP路由器F0/0：200.2.2.254/24

Out服务器：200.2.2.1/24

Web服务器：192.168.1.1/24

各虚拟机网卡桥接如下：

ASA防火墙三块网卡：VMnet0、VMnet1、VMnet2

PC1网卡：VMnet0

Web服务器：VMnet2

Out服务器：VMnet8

DynamipsGUI模拟的路由器连接如下：

Router1 F0/0 <----> XPC P0/8
Router1 F1/0 <----> XPC P0/1

 

一.配置路由器ISP：

Router(config)#int f0/0
Router(config-if)#ip add 200.2.2.254 255.255.255.0
Router(config-if)#no sh
Router(config-if)#int f1/0
Router(config-if)#ip add 200.0.0.1 255.255.255.252
Router(config-if)#no sh
Router(config-if)#exit
Router(config)#ip route 200.1.1.248 255.255.255.248 200.0.0.2

 

二.配置ASA设备：

配置主机名、域名、密码 （telnet或SSH时要使用）

ciscoasa(config)# hostname ASA
ASA(config)# domain-name asa.com
ASA(config)# enable password cisco
ASA(config)# passwd cisco

 

配置接口名、安全级别及IP地址

ASA(config)# int e0/0
ASA(config-if)# nameif inside
ASA(config-if)# security-level 100
ASA(config-if)# ip add 192.168.0.254 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# int e0/1
ASA(config-if)# nameif outside
ASA(config-if)# security-level 0
ASA(config-if)# ip add 200.0.0.2 255.255.255.252
ASA(config-if)# no sh
ASA(config-if)# int e0/2
ASA(config-if)# nameif dmz
ASA(config-if)# security-level 50
ASA(config-if)# ip add 192.168.1.254 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# route outside 0.0.0.0 0.0.0.0 200.0.0.1

 

配置SSH，允许192.168.0.88可以通过SSH方式访问ASA：

ASA(config)#crypto key generate rsa modulus 1024 //生成密钥对，默认长度为1024

ASA(config)# ssh 192.168.0.0 255.255.255.0 inside

ASA(config)# ssh time    
ASA(config)# ssh timeout 30
ASA(config)# ssh version 2

 

允许内网主机PC1访问outside区和dmz区的网站的配置：

ASA(config)# nat-control

ASA(config)# nat (inside) 1 0 0
ASA(config)# global (outside) 1 int
ASA(config)# global (dmz) 1 192.168.1.100-192.168.1.110

允许外网Out主机访问dmz的Web服务器设置：
ASA(config)# static (dmz,outside) 200.1.1.253 192.168.1.1
ASA(config)# access-list out_to_dmz permit tcp any host 200.1.1.253 eq www
ASA(config)# access-group out_to_dmz in int outside    

允许内网主机PC1ping外网out主机的设置：
ASA(config)# access-list 111 permit icmp any any echo-reply
ASA(config)# access-list 111 permit icmp any any unreachable
ASA(config)# access-list 111 permit icmp any any time-exceeded    
ASA(config)# access-group 111 in int outside    

 

保存设置：

ASA(config)# write memory

或者

ASA(config)# copy running-config startup-config

 

配置总结：

1.从高安全级别（Inside）访问低安全级别（Outside），需要配置动态nat和global命令。

2.从低安全级接口访问高安全级别接口，必须配置ACL。

 

三.验证：

1.PC1(192.168.0.88)可以通过SSH方式访问ASA设备（使用工具为putty）：

 

此时可以在ASA设备上通过show ssh session命令查看SSH会话：

 

2.PC1（192.168.0.88）访问dmz区和outside区的网站：

 

3.从Out主机上访问dmz区的Web网站：

 

此时可以在ASA设备使用show xlate命令查看地址转换条目：

4.使用PC1(192.168.0.88)ping outside区主机Out，默认清况下，ASA设备是禁止ICMP报文穿越的，但是在以上的配置中已经允许PC1可以ping Out主机，来验证一下：

在调试完毕后，通常情况下，还是禁止ICMP报文穿越ASA防火墙比较好，这样在一定程度上可以提高安全性。