思科防火墙

ASA防火墙


 

1:接口名称和安全级别

 

 1.1ASA的接口名称通常有两种,一种是物理名称一种是逻辑名称

物理名称:通常指的就是与路由器的接口一样,如E0/0 E0/1.

逻辑名称:通常指的就是配置命令的ACL,逻辑名称用来描述安全区域。

 1.2:接口的安全级别

ASA的每个接口都有一个安全级别,范围是在0~100之间,并且数值越大其安全级别就越高,当配置接口的名称为inside时,其接口的安全级别自动设置成100。当配置的接口为outside时,其接口的安全级别自动设置成0.

不同安全级别的接口之间的相互访问需遵循以下之间的默认规则

·允许出站(outbount)链接,即允许从高安全级别接口到低安全阶别的接口流量通过。

·禁止入站(inbount)链接,即禁止从低安全级别接口到高安全级别接口的流量通过。

 

2ASA的基本配置

 2.1挂载并登陆防火墙

   # /mnt/disk0/lina_monitor

       ciscoasa> enable

   Password:#默认没有密码

   ciscoasa#

2.2:配置主机名

       ciscoasa# configure terminal#进入特权模式

       ciscoasa(config)# hostname asa

       asa(config)#

2.3:配置密码

   可以配置特权密码和远程登陆密码

    1)配置特权密码

       asa(config)# enable password 123456

    2)配置远程登陆密码

       asa(config)# passwd 123456

 

3ASA的接口配置

    1)普通接口   

      asa(config)# int e0/0

      asa(config-if)# nameif inside

      INFO: Security level for "inside" set to 100 by default.

      asa(config-if)# security-level 100

      asa(config-if)# ip add 11.0.0.2 255.255.255.0

      asa(config-if)# no shut

  2ASA的型号是5505,则不支持物理接口上进行配置,通过WLAN虚拟接口来配置

     asa(config)# int vlan 1

     asa(config-if)# nameif inside

     INFO: Security level for "inside" set to 100 by default.

     asa(config-if)# security-level 100

     asa(config-if)# ip add 11.0.0.2 255.255.255.0

     asa(config-if)# no shut

     asa(config-if)# int e0/0

     asa(config-if)# no shut

     asa(config-if)# switchport access vlan 1

 

4 :  ASA中配置ACL

ASA中配置ACL有两个作用,一个是允许流量入站,另一个是禁止流量入站

 

  · 配置标准ACL

       asa(config)# access-list acl_name [standrad] {permit | deny} ip_addr mask

  ·配置扩展ACL

       asa(config)# access-list acl_name [extended] {permit | deny} protocol src_ip_addr src_mask dst_ip_addr dst_mask [operator port]

  ·将ACL应用到接口

      asa(config)# access-group acl_name {in | out} interface interface_ name

 

   需要注意的是,路由器上配置的ACL是使用的反码,而ASA配置的ACL是使用正常的掩码,另外,标准ACL过滤流量时不能应用在接口上只能应用在其他场合。

 

1)允许入站链接

ASA的默认规则就是禁止入站的,那么想要流量的通过,就需要使用ACL

asa(config)# access-list out_to_in permit ip host 172.16.1.1 host 10.1.1.1

asa(config)# access-group out_to_in in int outside

 

2)控制出站链接流量-禁止入站

   asa(config)# access-list in_to_out deny ip 10.1.1.0 255.255.255.0 any

asa(config)# access-list in_to_out permit ip any any

asa(config)# access-group in_to_out in int inside

 

 

NAT-PAT

 

1静态NAT转换--->一对一 IP地址)

   是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

2动态NAT转换--->多对多 IP地址)

   是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对是不确定的,是多对多的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集(地址池)ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

3:动态NAT和静态NAT具体以下区别:

1、静态的NAT只能是固定的映射, 不能动态更新

    2、动态NAT,可以根据你写的规则 ,进行自动的映射 ;

4动态PAT转换--->对一 接口

   是一种动态复用技术,实现多对一转换。多个私有用户同时用一个外部(公网ip地址时,路由器用上层的TCPUDP的端口等唯一标识某个地址。 就是在IP-IP的映射上加上端口号 完成多个内部地址映射到一个外部地址的功

5静态PAT转换--->一对零 (端口号)

   当公网IP地址池中没有IP地址时,就是将私有IP地址的一个端口映射到局域网中一台机器,当私有用户访问这个IP的这个端口时,服务器自动将请求映射到对应局域网分机

6NATPAT的区别

   NAT中文全称是地址转换,一般指的是内部IP和内部全局IP一一对应,PAT中文全称是端口转换,一般指的是内部IP与内部全局IP一对多对应,就是将路由器上的多个内部地址映射为一个公网地址,但以不同的协议端口号与不同的内部地址相对应。这种方式常用于拨号上Internet

 

 

 

NAT+ASA综合实验

实验拓扑

软件版本GN3 0.8.6  ASA镜像8.02

 

实验环境

R1R2模拟公司内网,R3模拟互联网设备(公网)ASA作为公司出口,实现NAT地址转换

实验需求

ASA上做动态NAT实现对R1 loopback 0 网段的地址转换

ASA上做动态PAT实现对R1 loopback 1 网段的地址转换

ASA上做静态NAT实现对R2 loopback 0 地址经行转换

ASA上做静态PAT实现将R2F0/023端口映射为218.1.1.1这个地址的23端口

 

配置如下:

路由器的一些基本配置这里就不做解释了

R1配置:

R1(config)#int f0/0

R1(config-if)#ip add 11.0.0.2 255.255.255.0

R1(config-if)#no shut

R1(config-if)#int loo 0

R1(config-if)#ip add 192.168.10.1 255.255.255.0

R1(config-if)#int loo 1

R1(config-if)#ip add 172.16.1.1 255.255.255.0

R1(config-if)#exit

R1(config)#ip route 0.0.0.0 0.0.0.0 11.0.0.1

R2配置:

R2(config)#line vty  0 4

R2(config-line)#password abc123

R2(config-line)#login

R2(config-line)#exit

R2(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.1

R2(config-if)#ip add 12.0.0.2 255.255.255.0

R2(config-if)#no shut

R2(config-if)#int loo 0

R2(config-if)#ip add 192.168.20.1 255.255.255.0

R3配置:

R3(config)#int f0/0

R3(config-if)#ip add 13.0.0.2 255.255.255.0

R3(config-if)#no shut

 

R1loopback 0 接口做动态NAT

ASA1配置:

ASA1(config)# int e0/0

ASA1(config-if)# nameif inside              //定义接口名称

INFO: Security level for "intside" set to 100 by default.

ASA1(config-if)# ip add 11.0.0.1 255.255.255.0

ASA1(config-if)# no shut

ASA1(config-if)# exit

ASA1(config)# int e0/1

ASA1(config-if)# nameif dmz

INFO: Security level for "dmz" set to 0 by default.

ASA1(config-if)# ip add 12.0.0.1 255.255.255.0

ASA1(config-if)# security-level 50          //配置接口安全级别

ASA1(config-if)# no shut

ASA1(config-if)# int e0/2

ASA1(config-if)# nameif outside

ERROR: Name "outside" has been assigned to interface Ethernet0/0

ASA1(config-if)# ip add 13.0.0.1 255.255.255.0

ASA1(config-if)# no shut

ASA1(config-if)# exit

ASA1(config)# route inside 192.168.10.0 255.255.255.0 11.0.0.2  

ASA1(config)# route inside 172.16.1.0 255.255.255.0 11.0.0.2     //配置到达环回口的静态路由

ASA1(config)# route dmz 192.168.20.0 255.255.255.0 12.0.0.2

ASA1(config)# nat (inside) 1 192.168.10.0 255.255.255.0  //定义列表1到达inside口要转换的地址

ASA1(config)# global (outside) 1 200.1.1.10-200.1.1.20 netmask 255.255.255.0

//配置公网地址池范围

ASA1(config)# access-list 110 permit icmp any any   //这里为了偷懒就允许所有icmp

 

R3上添加回程路由,并开启debug

R3#debug ip icmp

R3#conf t

R3(config)#ip route 200.1.1.0 255.255.255.0 13.0.0.1

R1 loopback 0 ping R3 测试


R3debug信息可以看出NAT转换成功了

 

ASA上为R1 loo

R2ping 13.0.0.3 测试


R3上查看debug信息,发现转换成功

 

ASA上做静态PAT,将R2F0/023端口映射为到218.1.1.123端口

ASA1(config)# static (dmz,outside) tcp 218.1.1.1 telnet 12.0.0.2 telnet

//配置将12.0.0.223端口映射到218.1.1.1这个地址的23端口,公网地址要写在前面

ASA1(config)# access-list 110 permit tcp host 13.0.0.2 host 218.1.1.1 eq 23

//定义一个ACL允许13.0.0.3218.1.1.1进行telnet,由于之前110在接口上应用了这里就省略了

R3上做回程路由

R3(config)#ip route 218.1.1.1 255.255.255.255 13.0.0.1

R3telnet 218.1.1.1 ,验证是否能映射到R2

总结:

动态NAT是多对多,定义一个地址池。地址池内有少个地址就可以有多少地址上公网

动态PAT是一对多,让所有私网地址都复用一个地址去上公网

静态NAT是一对一,一个私网地址指定一个公网地址

静态PAT是端口映射,将一个公网地址的某个端口映射到私网的某个地址pback 1 接口做动态PAT --接口

ASA1(config)# nat (inside) 2 172.16.1.0 255.255.255.0

ASA1(config)# global (outside) 2 interface

R1 loopback 1 ping R3测试


查看R3上的debug信息,发现转换成功为外网口地址

 

ASA上做为R2loopback 0 做静态NAT,转换为222.222.222.222

ASA1(config)# static (dmz,outside) 222.222.222.222 192.168.20.1   //配置将192.168.20.1这个

地址转换为222.222.222.222,注意公网地址是写在前面

R3上做回程路由

R3(config)#ip route 222.222.222.222 255.255.255.255 13.0.0.1

R2ping 13.0.0.3 测试


R3上查看debug信息,发现转换成功

 

ASA上做静态PAT,将R2F0/023端口映射为到218.1.1.123端口

ASA1(config)# static (dmz,outside) tcp 218.1.1.1 telnet 12.0.0.2 telnet

//配置将12.0.0.223端口映射到218.1.1.1这个地址的23端口,公网地址要写在前面

ASA1(config)# access-list 110 permit tcp host 13.0.0.2 host 218.1.1.1 eq 23

//定义一个ACL允许13.0.0.3218.1.1.1进行telnet,由于之前110在接口上应用了这里就省略了

R3上做回程路由

R3(config)#ip route 218.1.1.1 255.255.255.255 13.0.0.1

R3telnet 218.1.1.1 ,验证是否能映射到R2


总结:

动态NAT是多对多,定义一个地址池。地址池内有少个地址就可以有多少地址上公网

动态PAT是一对多,让所有私网地址都复用一个地址去上公网

静态NAT是一对一,一个私网地址指定一个公网地址

静态PAT是端口映射,将一个公网地址的某个端口映射到私网的某个地址

,将一个公网地址的某个端口映射到私网的某个地址

 

 

 





你可能感兴趣的:(思科防火墙)