防火牆的基礎配置管理

2021-09-30 22:04:43 字數 2811 閱讀 7143

開局asa1

#/mnt/disk0/lina_monitor ciscoasa

> enable

invalid password

password:

ciscoasa#

配置ip

r1(config)#int fa0/0

r1(config-if)#ip address 11.0.0.1 255.255.255.0

r1(config-if)#no shut

ciscoasa(config)# int e0/0

ciscoasa(config-if)# nameif inside

info: security level for "inside" set to 100 by default.

ciscoasa(config-if)# ip address 11.0.0.2 255.255.255.0

ciscoasa(config-if)# no shut

ciscoasa(config)# int e0/1

ciscoasa(config-if)# nameif outside

info: security level for "outside" set to 0 by default.

ciscoasa(config-if)# ip address 12.0.0.1 255.255.255.0

ciscoasa(config-if)# no shut

r2(config)#int fa0/0

r2(config-if)#ip address 12.0.0.2 255.255.255.0

r2(config-if)#no shut

指定靜態路由:

r1(config-if)#ip route 12.0.0.0 255.255.255.0 11.0.0.2

r2(config)#ip route 11.0.0.0 255.255.255.0 12.0.0.1

驗證靜態路由:

預設情況下,

asa對tcp和udp協議提供狀態化連線,icmp協議提供非狀態化的連線(防火牆由於不記錄路由所以將資料丟掉);

由於ping命令使用的是icmp協議,所以r1ping外網ping不通。

在r2上開遠端,驗證asa對tcp協議的狀態化連線:

r2(config)#line vty 0 4

r2(config-line)#password abc

r2(config-line)#login

在r1上遠端r2

結論:以上表明asa對tcp協議的狀態化連線;

外網有時會主動要求訪問內網,由於介面安全級別的預設規則,允許出站連線(從高到低級別允許);禁止入站連線(從低到高階別禁止)

,所以外網主動連線內網時防火牆會阻擋資料的傳輸;

因此用配置acl解決:

ciscoasa(config)# access-list asa_acl permit tcp host 12.0.0.2 any

ciscoasa(config)# access-group asa_acl in inte***ce outside

實驗驗證:

在r1上配置遠端:

到此r1仍舊可以正常訪問r2,如下:

結論:證明在r2給r1回包的時候,防火牆對acl列表和conn表同時檢測,如果有乙個規則匹配就過;

在r2上配置環迴口,驗證以上結論:

r2(config)#int loo 0

r2(config-if)#ip address  2.2.2.2 255.255.255.255

r2(config-if)#no shut

配置靜態路由:

r1(config)#ip route 2.2.2.2 255.255.255.255 11.0.0.2

ciscoasa(config)# route outside 2.2.2.2 255.255.255.255 12.0.0.2

在acl列表「asa_acl」中配置允許host2.2.2.2/24通過防火牆;

ciscoasa(config)# access-list asa_acl permit tcp 2.2.2.2 255.255.255.255 any

ciscoasa(config)# access-group asa_acl in inte***ce outside

用r1遠端r2:

防火牆配置基礎

防火牆需要有如下幾個步驟 1 配置介面ip,並劃到對應的安全域zone。2 配置路由。3 配置防火牆控制策略 這個一定要配置 如 policy from l2 untrust to l2 trust rule id 2 action permit src addr any dst addr any ...

防火牆管理

防火牆管理是指對防火牆具有管理許可權的管理員行為和防火牆執行狀態的管理,管理員的行為主要包括 通過防火牆的身份鑑別,編寫防火牆的安全規則,配置防火牆的安全引數,檢視防火牆的日誌等。防火牆的管理一般分為本地管理 遠端管理和集中管理等。本地管理 是指管理員通過防火牆的console口或防火牆提供的鍵盤和...

配置防火牆

今天學了下如何配置網路防火牆,用於過濾乙個段的ip位址不能訪問路由器。第二步開啟防火牆 firewall enable 第三步設定預設,允許或者禁止 firewall default permit 第四步設定規則 acl number 2001 rule 1 deny source 192.168....