CISCO-ASA防火墙配置实验

CISCOASA防火墙配置实验ASA模拟器并不像DynamipsGUI软件那样界面友好、操作方便，若要将ASA防火墙和路由器进行连接构建网络拓扑就需要分别编辑ASA模拟器和路由器的批处理文件才能完成，这就使得简单的网络拓扑搭建变得比较复杂。下面是实验环境拓扑以及搭建步骤：PC1(本地主机）--VMNET1----ASAE0/0WEB（VMwaerWIN2003虚拟主机)---VMNET2-----ASAE0/1ISP---VMNET3-----ASAE0/2一、安装VMware,启动虚拟网络管理器，选择hostvirtualadapters,添加VMnet2vmnet3虚拟网卡，如下图。二打开ASA实验机架下setup目录，运行“获取网卡参数.cmd文件获取三块VMware网卡参数，建议先开启一块VMware虚拟网卡关闭其它虚拟网卡，获取参数后再开启第二块,以此类推......避免虚拟网卡与参数对应出错。三、1桥接防火墙的各个接口，编辑“启动ASA防火墙.bat文件，将获取的网卡参数粘贴到如下位置：2桥接ISP路由器，编辑ISP目录下router1.bat文件，将上图第三行网卡参数替换到如下位置：T96100-FE-s0:0:gen_eth:\Device\NPF_{A9D211C2-5ABD-4F47-9BC0-D3F722CB36CC}..\unzip-c2691-advsecurityk9-mz.124四、双击“开启ASA防火墙.bat开启ISP.bat文件。运行命令”telnet127.0.0.14000登陆ASA运行命令“telnet127.0.0.14001登陆ISP路由器。五.1）ASA基本配置：配置接口名字，接口安全级别，接口IP地址conftinte0/0nameifinsideipadd192.168.0.254255.255.255.0security-level100noshutinte0/1nameifdmzipadd192.168.1.254255.255.255.0security-level50noshutinte0/2nameifoutsideipadd200.0.0.2255.255.255.252security-level0noshutshintipb查看接口状态shrun|binter查看接口配置参数enablepasswordccna特权密码安全级别的范围为0－100，值越大，安全级别越高。高级别区域可以访问低级别区域，反过来低级别区域禁止访问高级别区域，一般情况，都将inside的安全级别设置为最高（100），将outside设置为最低，这点毋庸置疑。但是为什么一般用于方式服务器的DMZ区的安全级别要在两者之间呢？错误的观点认为，DMZ放置的服务器资源非常重要（至少比客户端重要），所以它的安全级别应该最高。首先并不是所有的服务器需要放置在DMZ区，例如公司内部某部门内部使用的，或公司内部使用的服务器就不应放置在DMZ区；一般都会把需要外网访问的服务器放置在DMZ（分公司通过外网访问也算），这时就必须开放某些端口以提供访问，这就会降低安全性，相对来说更容易被入侵；如果将服务器放置在最高级别，一旦服务器被入侵，黑客将获得整个网络的访问权限。这是一种安全的设计理念，只是从可能性方面分析网络设计的合理性。DMZ区域可能不只一个，例如有一个DMZ是供分公司访问的，另外一个是供公网用户访问的，它们的安全级别自然不同，谁高谁低取决于谁更可信，一般来说，分公司要比公网用户更可信，所以分公司的DMZ的安全级别就会高于外网DMZ。2）配置ISP路由器：enconfthostnameISPintf0/0ipadd200.0.0.1255.255.255.252noshutiproute0.0.0.00.0.0.0200.0.0.23）启动VMwarewin2003系统，桥接网卡到VMNET2，配置IP地址192.168.1.1网关192.168.1.254配置本地主机IP192.168.0.1网关192.168.0.254测试：在ASA防火墙分别pingPC1、WEB、ISP接口IP.如果不通依次检测各个设备接口状态，IP地址掩码等参数是否正确，最后检查ASA接口桥接到虚拟网卡参数对应是否正确。在PC1分别PINGWEBISP是否通过？默认情况下，禁止ICMP报文穿越ASA防火墙，这是基于安全性的考虑。4)为便于测试配置ACL，允许ICMP的ECHO-RELYunreachabletime-exceeded信息从外网到内网。access-list101permiticmpanyanyecho-replyaccess-list101permiticmpanyanyunreachableaccess-list101permiticmpanyanytime-exceededaccess-group101inintoutside在PC1再次pingISP接口ping200.0.0.15)在PC1和WEB开启IIS服务，在PC1浏览器地址栏分别输入192.168.1.1、200.0.0.1证明可以从内网访问外面ISP和DMZ区域，反过来在WEB主机浏览PC1失败说明高级别区域可以访问低级别区域，低级别区域禁止访问高级别区域。六配置动态NAT首先配置默认路由routeoutside00200.0.0.1转换内部所有主机复用ASAoutside接口地址执行PATnat(inside)100global(outside)1interface测试：在ISP创建LOOP接口，设置任意IP地址在PC1都可以PING通。7）配置静态NAT，保证在公网可以访问位于DMZ区域WEB服务器。将ASAoutside接口80端口映射到DMZ中WEB的80端口。static(dmz,outside)200.0.0.5192.168.1.1由于外网比DMZ区域有更低的安全级别，所以必须配置访问列表开放必要的端口access-list101pertcpany200.0.0.5eq80便于测试允许ICMPecho信息进入access-list101perICMPany200.0.0.5echo测试：在ISPPING200.0.0.5七配置远程管理接入1)配置允许telnet接入telnet192.168.0.1255.255.255.255insidepasswdcisco2)配置允许SSH接入SSH需要主机名和域名产生密钥对hostnameasa802domain-nameasa.comcryptokeygeneratersamodulus1024ssh00outsidessh00inside在ISP执行：ssh-lpix200.0.0.2