实验案例1 <wbr> <wbr>网络安全高级应用第二章配置
 

在ASA上面的配置ip地址

ciscoasa(config)#in e0/0

cscoasa(config-if)#nameif inside

ciscoasa(config-if)#ip add 10.10.10.254 255.255.255.0

ciscoasa(config-if)#no shut

ciscoasa(config-if)#in e0/1

ciscoasa(config-if)#security-level 50

ciscoasa(config-if)#nameif dmz

ciscoasa(config-if)#ip add 10.20.20.254 255.255.255.0

ciscoasa(config-if)#no shut

ciscoasa(config-if)#in e0/2

ciscoasa(config-if)#nameif outside

ciscoasa(config-if)#ip add 200.1.1.2 255.255.255.252

ciscoasa(config-if)#no shut

ciscoasa(config-if)#show nameif查看接口名字及安全级别

ciscoasa(config-if)#show ip add查看所配置的ip地址

2,配置默认路由

ciscoasa(config)#router outside 0 0 200.1.1.2

ciscoasa(config)#show route查看路由表

3,配置远程登录,实现pc1能够远程登录到ASA。有两种配置方法(Telnet和SSH,防火墙不允许从outside接口通过telnet方式管理)

ciscoasa(config)#telnet 0 0 inside(telnet方式)

ciscoasa(config)#crypto key generate rsa modulus 1024

ciscoasa(config)#ssh 10.10.10.1 255.255.255.255 inside

ciscoasa(config)#ssh 0 0 outside(ssh方式)

4.配置动态nat和global命令(从高安全级别访问低安全级别),实现pc1能够访问outside和dmz区域。

ciscoasa(config)#nat (inside) 1 10.10.10.1 255.255.255.255

ciscoasa(config)#global (outside) 1 interface 

ciscoasa(config)#global (dmz) 1 interface

5.配置acl和atatic nat(从低安全级别访问高安全级别),实现outside区域能够访问dmz区域

ciscoasa(config)#access-list out-to-dmz permit tcp any host 200.10.10.253  eq 80

ciscoasa(config)#static (dmz,outside) 200.10.10.253 10.20.20.1(注意写的顺序)

ciscoasa(config)#access-group out-to-dmz in interface outside

但此时需要在r1上配置一条默认路由 ip route 200.10.10.253 255.255.255.255 200.1.1.2

6.此时pc1已经能够访问外网和web服务器,但是默认情况下是ping不通out的,因为ASA将它的回应包给拒绝掉了。此时需要配置icmp穿越

ciscoasa(config)#access-list out-to-dmz permit icmp any any(注意此时的acl必须和步骤5的一样,因为一个接口的一个方向只能有一个访问控制列表)