大家好,今天我們來學習交流一下Cisco ASA5505防火牆(路由模式)的配置。
通過本文實驗,主要了解為以下幾點
1、熟悉 ASA5505防火牆的基本配置。
2、掌握 ASA5505防火牆路由模式的配置方法。
實驗環境
1、思科 ASA 5505 防火牆1 臺。
2、思科 3560 交換機1 臺。
3、PC 機2臺。
實驗配置命令參考
1、配置防火牆名
ciscoasa> enable
ciscoasa# configure terminal
ciscoasa(config)# hostname asa5505
2、配置 Http、telnet和 ssh管理
asa5505(config)#username xxx password xxxxxx encrypted privilege 15
asa5505(config)#aaa authentication enable console LOCAL
asa5505(config)#aaa authentication telnet console LOCAL
asa5505(config)#aaa authentication http console LOCAL
asa5505(config)#aaa authentication ssh console LOCAL
asa5505(config)#aaa autoentication command LOCAL
asa5505(config)#http server enable //啟動 HTTP server,便於 ASDM 連接。
asa5505(config)#http 192.168.1.0 255.255.255.0 inside //對內啟用 ASDM 連接
asa5505(config)#telnet 192.168.1.0 255.255.255.0 inside //允許內部接口 192.168.1.0 網段telnet 防火牆
asa5505(config)#ssh 192.168.1.0 255.255.255.0 inside //設置 SSH內網地址進入
asa5505(config)#ssh 0.0.0.0 0.0.0.0 outside //對外啟用 ASDM 連接 (一般禁用)
asa5505(config)#crypto key generate rsa //打開SSH服務,產生加密密鑰
3、配置密碼
asa5505(config)# password cisco //遠程密碼
asa5505(config)# enable password cisco //特權模式密碼
5500 系列防火牆默認的登陸密碼是 cisco,你可以使用 password xxxx 來修改這個密碼 配置特權密碼:enable password xxxxx
4、配置 IP
asa5505(config)# interface vlan 2 //進入 vlan2
asa5505(config-if)# ip address 218.16.37.222 255.255.255.192 //vlan2配置 IP
asa5505(config)#show ip address vlan2 //驗證配置
5、端口加入 vlan
asa5505(config)# interface e0/3 //進入接口 e0/3
asa5505(config-if)# switchport access vlan 3 //接口 e0/3 加入vlan3
asa5505(config)# interface vlan 3 //進入vlan3
asa5505(config-if)# ip address 10.10.10.36 255.255.255.224 //vlan3配置 IP
asa5505(config-if)# nameif inside (外網:outside; 隔離區:dmz) //vlan3名
asa5505(config-if)#security-level 100 //定義安全級別
asa5505(config-if)# no shutdown //開啟
asa5505(config-if)# show switch vlan //驗證配置
6、DHCP 中繼配置
asa5505(config)# dhcprelay server 201.168.200.4
asa5505(config)# dhcprelay enable inside
asa5505(config)# dhcprelay setroute inside
7、控制列表
asa5505(config)#access-list acl_out extended permit tcp any any eq www //允許tcp協議80 端口入站
asa5505(config)#access-list acl_out extended permit tcp any any eq https //允許 tcp 協議443 端口入站
asa5505(config)#access-list acl_out extended permit tcp any host 218.16.37.223 eq ftp //允許 tcp 協議 21 端口到218.16.37.223 主機
asa5505(config)#access-list acl_out extended permit tcp any host 218.16.37.226 eq 8080 //允許 tcp 協議 8080 端口到 218.16.37.226 主機
asa5505(config)#access-list 100 extended permit icmp any any //設置 ACL 列表(允許 ICMP全部通過)
asa5505(config)#access-list 100 extended permit ip any any //設置 ACL 列表(允許所有 IP全部通過)
asa5505(config)#access-group 100 in interface outside //設置ACL 列表綁定到外端口
asa5505(config)#show access-list ------------------驗證配置
8、設置路由
asa5505(config)#route dmz 10.0.0.0 255.0.0.0 10.10.10.33 1 //靜態路由到 10.0.0.0網段經過 10.10.10.33 網關跳數為 1
asa5505(config)#route outside 0.0.0.0 0.0.0.0 218.16.37.193 1 //默認路由到所有網段經過 218.16.37.193 網關跳數為 1
asa5505# show route ------------------顯示路由信息
9、靜態 NAT
asa5505(config)# static (inside,outside) 218.16.37.223 192.168.1.6 netmask 255.255.255.255
//外網218.16.37.223 映射到內網 192.168.1.6
asa5505(config)#access-list acl_out extended permit icmp any any //控制列表名acl_out 允許 ICMP協議
asa5505(config)#access-group acl_out in interface outside //控制列表 acl_out 應用到outside 接口
asa5505(config)#static (inside,dmz) 10.10.10.37 192.168.1.16 netmask 255.255.255.255 //dmz10.10.10.37 映射到內網 192.168.1.16
asa5505(config)#access-list acl_dmz extended permit icmp any any //控制列表名 acl_dmz允許 ICMP協議
asa5505(config)#access-groupacl_dmz in interface dmz //控制列表 acl_out 應用到dmz 接口
asa5505(config)#Show nat //驗證配置
10、動態 NAT
asa5505(config)#global(outside) 1 218.201.35.224-218.201.35.226 //定義全局地址池
asa5505(config)#nat(inside) 1 192.168.1.20-192.168.1.22 //內部轉換地址池
asa5505(config)# show nat //驗證配置
11、基於端口 NAT(PAT)
asa5505(config)#global (outside) 2 interface //定義全局地址即outside地址:218.16.37.222
asa5505(config)#nat (inside) 2 0.0.0.0 0.0.0.0 0 //NAT 地址池(所有地址)0 為無最大會話數限制
asa5505(config)# show nat //驗證配置
12、配置 DHCP 服務
asa5505(config)#dhcpd address 192.168.1.100-192.168.1.199 inside //設置 DHCP服務器地址池
asa5505(config)#dhcpd dns 211.99.129.210 202.106.196.115 interface inside //設置DNS服務器到內網端口
asa5505(config)#dhcpd enable inside //設置 DHCP 應用到內網端口
13、FTP 模式
asa5505(config)#ftp mode passive //開啟 FTP模式
14、重複 PING 100 次
asa5505# ping 202.96.133.133 repeat 100
15、保存配置
asa5505# write memory //保存配置
實驗參考拓撲
實驗內容
通過防火牆的路由模式配置使內部 PC 和服務器能夠訪問外網,服務器對外提供 WEB、FTP服務。外網測試 PC 能夠訪問內網服務器網站和 FTP服務。
實驗步驟
hostname ciscoasa
enable password cisco
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
interface Vlan2
nameif outside
security-level 0
ip address 192.168.28.2 255.255.255.0
interface Vlan3
nameif dmz
security-level 50
ip address 10.10.10.1 255.255.255.0
interface Ethernet0/0
switchport access vlan 2
interface Ethernet0/1
switchport access vlan 1
interface Ethernet0/2
switchport access vlan 3
interface Ethernet0/3
interface Ethernet0/4
interface Ethernet0/5
interface Ethernet0/6
interface Ethernet0/7
passwd cisco encrypted
ftp mode passive
access-list 101 extended permit tcp any host 192.168.28.100 eq www
access-list 101 extended permit tcp any host 192.168.28.100 eq ftp
access-list 100 extended permit icmp any any
access-list 100 extended permit tcp any any
access-list 100 extended permit udp any any
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
static (dmz,outside) 192.168.28.100 10.10.10.10 netmask 255.255.255.255 tcp 80 0
static (dmz,outside) 192.168.28.100 10.10.10.10 netmask 255.255.255.255 tcp 21 0
nat(inside) 1 192.168.1.1-192.168.1.254
access-group 101 in interface outside
access-group 100 in interface dmz
route outside 0.0.0.0 0.0.0.0 192.168.28.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 inside
telnet 192.168.1.0 255.255.255.0 inside
ssh 192.168.1.0 255.255.255.0 inside
crypto key generate rsa
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
dhcprelay timeout 60
class-map inspection_default
match default-inspection-traffic
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
service-policy global_policy global
prompt hostname context
Cryptochecksum:30e219cbc04a4c919e7411de55e14a64
: end
通過 ASDM 軟件配置策略,具體配置略。
實驗常見問題
1、訪問原則 (路由模式)
Inside 可以自由訪問 outside (我們可能會想為什麼包能回來,因為防火牆會檢查是否這是已經建立起來的 session)
Outside 可以訪問 DMZ (但必須通過 ACL,filters,AAA)
Inside 可以訪問 DMZ (但必須通過 ACL,filters,AAA)
Outside 不可以訪問 inside, 雖然 The outside user might attempt to reach an inside user by using an existing NAT session,但是不能成功,所以攻擊是困難的
DMZ 可以訪問 inside(但必須通過 ACL,filters,AAA)
2、當你在防火牆上做了 static nat 時,即把一個公網 IP影射到了一個內部私有 IP,這時你需要做一個訪問控制列表,外部地址訪問內部主機,並且應該應用到 outside 接口上(進來的方向),內部地址 訪問外部網絡時,你需要定義 ACL,並應用帶 inside 接口上(進防火牆的方向
3、不能採用: static (inside,outside) int 192.168.0.10 tcp 8089 做映射,而應採用 static (inside,outside) 221.221.147.195 192.168.0.10 tcp 8089 做映射。
4、同等安全水平的接口 no nat 但如果配置了 Dyn nat,則必須匹配 NAT rule Inside----->outside 需要nat
以上為本文全部內容,如有學習需要可使用Cisco或者其它模擬軟件進行模擬實驗。有問題也可留言提問。感謝大家的觀看。如果大家對網絡技術有興趣,歡迎大家關注。
閱讀更多 創世小偉哥 的文章
