qileilove
          

          blog已經轉移至github,大家請訪問 http://qaseven.github.io/
          
			
          
				
					
	
          
		
          
			防火墻的基礎配置管理
		
          
		
            開局ASA1
            #/mnt/disk0/lina_monitor ciscoasa
            > enable
            Invalid password
            Password:
            ciscoasa#
            配置IP
          R1(config)#int fa0/0
          R1(config-if)#ip address 11.0.0.1 255.255.255.0
          R1(config-if)#no shut
          ciscoasa(config)# int e0/0
          ciscoasa(config-if)# nameif inside
          INFO: Security level for "inside" set to 100 by default.
          ciscoasa(config-if)# ip address 11.0.0.2 255.255.255.0
          ciscoasa(config-if)# no shut
          ciscoasa(config)# int e0/1
          ciscoasa(config-if)# nameif outside
          INFO: Security level for "outside" set to 0 by default.
          ciscoasa(config-if)# ip address 12.0.0.1 255.255.255.0
          ciscoasa(config-if)# no shut
          R2(config)#int fa0/0
          R2(config-if)#ip address 12.0.0.2 255.255.255.0
          R2(config-if)#no shut
            指定靜態路由:
            R1(config-if)#ip route 12.0.0.0 255.255.255.0 11.0.0.2
            R2(config)#ip route 11.0.0.0 255.255.255.0 12.0.0.1
            驗證靜態路由:
            默認情況下,ASA對TCP和UDP協議提供狀態化連接,ICMP協議提供非狀態化的連接(防火墻由于不記錄路由所以將數據丟掉);
            由于ping命令使用的是ICMP協議,所以R1ping外網ping不通。
            在R2上開遠程,驗證ASA對TCP協議的狀態化連接:
            R2(config)#line vty 0 4
            R2(config-line)#password abc
            R2(config-line)#login
            在R1上遠程R2

          結論:以上表明ASA對TCP協議的狀態化連接;
            外網有時會主動要求訪問內網,由于接口安全級別的默認規則,允許出站連接(從高到低級別允許);禁止入站連接(從低到高級別禁止)
            ,所以外網主動連接內網時防火墻會阻擋數據的傳輸;
            因此用配置ACL解決:
            ciscoasa(config)# access-list asa_acl permit tcp host 12.0.0.2 any
            ciscoasa(config)# access-Group asa_acl in interface outside
            實驗驗證:
            在R1上配置遠程:
            R1(config)#line vty 0 4
            R1(config-line)#password abc
            R1(config-line)#login
            到此R1仍舊可以正常訪問R2,如下:
            結論:證明在R2給R1回包的時候,防火墻對ACL列表和Conn表同時檢測,如果有一個規則匹配就過;
            在R2上配置環回口,驗證以上結論:
            R2(config)#int loo 0
            R2(config-if)#ip address  2.2.2.2 255.255.255.255
            R2(config-if)#no shut
            配置靜態路由:
            R1(config)#ip route 2.2.2.2 255.255.255.255 11.0.0.2
            ciscoasa(config)# route outside 2.2.2.2 255.255.255.255 12.0.0.2
            在ACL列表“asa_acl”中配置允許host2.2.2.2/24通過防火墻;
            ciscoasa(config)# access-list asa_acl permit tcp 2.2.2.2 255.255.255.255 any
            ciscoasa(config)# access-group asa_acl in interface outside
            用R1遠程R2:
          
		
          
			posted on 2014-08-07 10:49 順其自然EVO 閱讀(183) 評論(0)  編輯  收藏  
		
          
	
          
	
	


	


          
	    
    




          





          


          

	
          
		
          
				
		
	
		
          
		
		
          只有注冊用戶登錄后才能發表評論。
          
		
          
			
		
          
			
		
          
		
		
          
		


          

		          		
		
          
		
          			
		
		
		
		
          
		
          
		
		
          
		
          
			網站導航:
		
		
          
		
          
			
		
          	
		
          
			 
		
          
		
          
			
		
          
		
          
			
				
		
          		
	
          	

          



          

				
			
          
			
          
				
					
          
	
          
		
          <2014年8月>
          
	
          272829303112
          3456789
          10111213141516
          17181920212223
          24252627282930
          31123456
          

          

					

          導航
          

					

          統計
          
	
					
					

          常用鏈接
          


          留言簿(55)
          


		
          隨筆分類
          
		
				
			
	
		
          隨筆檔案
          
		
				
			
	
		
          文章分類
          
		
				
			
	
		
          文章檔案
          
		
				
			
	



          搜索
          



          最新評論
	
          

          
	
			
		

          


          閱讀排行榜
          



          評論排行榜
          


				
			
          			
			

	

    







          
        
	




主站蜘蛛池模板:
永康市|
荃湾区|
绥棱县|
滦南县|
林西县|
黄龙县|
桑植县|
江华|
金川县|
河曲县|
兴山县|
永胜县|
界首市|
安宁市|
社会|
滦南县|
兴隆县|
辉南县|
北安市|
彩票|
治多县|
开远市|
芒康县|
红安县|
明溪县|
鸡西市|
定州市|
南华县|
延寿县|
平乡县|
洪江市|
邵阳市|
长丰县|
西城区|
宿州市|
凤凰县|
山阳县|
略阳县|
化隆|
江西省|
醴陵市|