圆规之所以画圆,是因为脚在走,心不变!
==========================激情 负责任 感恩
回顾:
1,防火墙 -----控制
2,安全区域 : trust 受信任区域 ---安全级别85 ----内网区域
untrust 非受信任区域 ---安全级别5 ---互联网的流量
DMZ 停火区、非军事化区域--安全级别50 ----服务器
local 本地区域 100
3,不同的安全区域互通---安全策略
实现内网私有地址转换共有地址---NAT策略 ---NAPT/EASYIP
实现外网访问内网服务器-----NAT策略--服务器映射
4,网络的出口和运营商连接的网段---可以不是公有地址
Telnet ------开启服务
设置访问控制-----VTY 接口上
==========================================
1,Cisco 防火墙
PIX 硬件防火墙
模块化防火墙
ASA 自适应安全设备
2,两条产品线
防火墙应用场合:SOHO / 企业分支/企业边界/园区网/数据中心 等
---外网边界
---内网边界之间
3,Cisco VM模拟器
---使用VM 打开 ASA8.42防火墙镜像
---打开PIPED代理软件 ---点击左上角电源接头子样图标---输入VM--管道路径
(虚拟机选项---管道---内容复制) ----------与防火墙链接
port--输入3000----与CRT链接
---打开CRT---快速链接----协议telnet
主机127.0.0.1
端口 3000
4---------------基本配置
asa> //用户模式
asa> ENable //进入特权模式
Password: tedu.cn
asa# //此模式为特权模式
asa# conf t //进入全局配置模式
asa# configure terminal
asa(config)# //此模式为全局配置模式
asa# show running-config //查看当前的配置文件内容
asa(config)# clear configure all //清除所有的配置
ciscoasa#
ciscoasa# conf t //进入到全局配置模式
ciscoasa(config)# interface g0
ciscoasa(config-if)# ip add 192.168.1.254 255.255.255.0 //接口配置IP
ciscoasa(config-if)# nameif inside //配置接口逻辑名称为内网区域
ciscoasa(config-if)# security-level 90 //配置安全级别
ciscoasa(config-if)# no shutdown //激活接口
ciscoasa(config)# interface g1
ciscoasa(config-if)# ip add 192.168.8.254 255.255.255.0
ciscoasa(config-if)# nameif outside //配置接口逻辑名称为外网区域
ciscoasa(config-if)# security-level 10
ciscoasa(config-if)# no shutdown
5-------------------------
一个接口代表一个区域
接口名称:物理接口 G0
逻辑接口 ----------代表安全区域
inside ----------相当于华为的trust
outside----------相当于华为的untrust
Cisco的安全级别数值可以更改!
chifanla(config)# hostname asa //设备改名
asa(config)#
6--------------------------
默认规则
1,允许出站连接 (outbound)
---内网可以访问外网的WEB服务器
2,禁止入站连接 (inbound)
---外网的服务器不可以访问内网的客户端--ping
3, 禁止相同安全级别的接口互通访问
--内网不可以访问外网的WEB服务器
7,ICMP ----ping应用
---echo-request 请求包
---echo-reply 回应包
用ACL 允许入站连接:
asa(config)# access-list kla permit icmp host 192.168.8.5 host 192.168.1.5 echo-reply
---- ------------------- ------------------- ----------
列表名 源主机 目标主机 报文类型
asa(config)# access-group kunla in interface outside
//将列表kunla 应用在outside逻辑接口的进方向上
------------------------------------------
实现内网的一个网段主机访问外网的服务器
asa(config)# no access-list kunla permit icmp host 192.168.8.5 host 192.168.1.5 echo-r //删除访问控制列表 ---前面加NO
asa(config)# access-list wangduan permit icmp host 192.168.8.5 192.168.1.0 255.255.255.0 echo-reply ----------------------------
内网的网段
asa(config)# access-group wangduan in interface outside
//将列表应用在outside接口的入方向
------------------------------------------
基本的 1-99
扩展的 100-199
asa(config)# hostname xiuxi //更改设备名称
xiuxi(config)# enable password 123456 //设置特权密码
xiuxi(config)# wr //保存配置
xiuxi(config)# copy running-config startup-config //保存配置
------------------------------------------
200.8.8.248/29 29-24=5 32个子网 可用IP--6个 :249 ---254
11111111.11111111.11111111.11111000 /29
255.255.255.248
NAPT ----公有地址池地址 200.8.8.249
xiuxi(config)# object network napt //给创建的NAT项目命名
xiuxi(config-network-object)# subnet 192.168.1.0 255.255.255.0 //配置需要转换的私有地址段
xiuxi(config-network-object)# nat (inside,outside) dynamic 200.8.8.249 //配置转换的公有地址
easy IP---基于出接口
xiuxi(config)# object network easyip
xiuxi(config-network-object)# subnet 192.168.1.0 255.255.255.0
xiuxi(config-network-object)# nat (inside,outside) dynamic interface
------------------------------------------