实验拓扑以及要求如下:

华为设备防火墙基础_防火墙




步骤:

首先用模拟器搭配下图,因为没有配置云,所以无法连线,但是我把接口留出来了

华为设备防火墙基础_.华为_02



配置云,完成实验拓扑

华为设备防火墙基础_防火墙 _03

华为设备防火墙基础_.华为_04

华为设备防火墙基础_.华为_05




配置完三朵云之后云上就会有Ethernet接口,把线连上

华为设备防火墙基础_.华为_06

使用CRT连接防火墙

打开ASA虚拟机-设置-串行端口-复制管道名称

华为设备防火墙基础_防火墙 _07

华为设备防火墙基础_设备_08

华为设备防火墙基础_.华为_09

华为设备防火墙基础_.华为_10

完成以上步骤,即可用CRT连接登录防火墙配置




配置终端设备IP-网关

server1:

华为设备防火墙基础_.华为_11

华为设备防火墙基础_设备_12

华为设备防火墙基础_防火墙 _13

华为设备防火墙基础_防火墙 _14

华为设备防火墙基础_.华为_15

华为设备防火墙基础_防火墙 _16

终端设备配置完成。




接下来在ASA上配置inside,outside,DMZ

        gi 0口配置inside,优先级100(默认)

        gi 1口配置outside,优先级0(默认)

        gi 2口配置DMZ,优先级50(手动配置-位于上面两个参数中间)

华为设备防火墙基础_防火墙 _17

此时配置好了之后可以用DMZ去访问outside,默认的高安全级别可以访问低安全级别;

用server2发布HTTP服务,用client3访问

华为设备防火墙基础_.华为_18

华为设备防火墙基础_.华为_19




实验目的一:让client2可以访问server3

配置ACL允许入站连接

ciscoasa(config)# access-list out-DMZ permit ip host 192.168.8.1 host 192.168.3.100    其中包含组名目标源地址

ciscoasa(config)# access-group out-DMZ in inter outsid                                                  这条命令用在outside上

华为设备防火墙基础_.华为_20


验证:

华为设备防火墙基础_防火墙 _21





实验目的二:禁止 client3访问server2

华为设备防火墙基础_.华为_22

验证:

华为设备防火墙基础_.华为_23



然后配置R1,使得client1和server1与外部网络互通;

配置R1三个接口的IP,静态默认路由

华为设备防火墙基础_.华为_24



在ASA上配置route:

华为设备防火墙基础_防火墙 _25



验证一下:因为inside的安全级别是最高的,默认可以访问其他两个,

华为设备防火墙基础_防火墙 _26





接下来让outside和DMZ可以访问inside


ciscoasa(config)# access-list ICMP permit icmp any any                  允许所有流量通过

ciscoasa(config)# access-group ICMP in inter outside                      应用在outside

ciscoasa(config)# access-group ICMP in inter DMZ                          应用在inside


测试:

client2 访问server1

华为设备防火墙基础_设备_27

client3 ping  server1:

华为设备防火墙基础_.华为_28



做完之后的拓扑:

华为设备防火墙基础_设备_29