日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

公告:魔扣目錄網(wǎng)為廣大站長提供免費(fèi)收錄網(wǎng)站服務(wù),提交前請做好本站友鏈:【 網(wǎng)站目錄:http://www.ylptlb.cn 】, 免友鏈快審服務(wù)(50元/站),

點擊這里在線咨詢客服
新站提交
  • 網(wǎng)站:51998
  • 待審:31
  • 小程序:12
  • 文章:1030137
  • 會員:747

思科ASA防火墻常用配置一、設(shè)備登錄二、安全區(qū)域及IP地址三、配置路由(路由冗余)四、配置上網(wǎng)NAT五、端口映射六、反向映射(用于內(nèi)網(wǎng)訪問外網(wǎng)端口)七、訪問控制列表八、雙聯(lián)路負(fù)載(策略路由)九、DHC

發(fā)布時間:2023-07-03 14:16:42 作者:網(wǎng)友整理

一、設(shè)備登錄

 

登錄方式:

內(nèi)網(wǎng)使用協(xié)議:telnet

內(nèi)網(wǎng)登錄IP地址:192.168.201.6

外網(wǎng)使用協(xié)議:ssh

外網(wǎng)登錄IP地址:XXX.XXX.XXX.XXX

用戶名:cisco

密碼:123456

特權(quán)密碼:123456

 

原創(chuàng):思科ASA防火墻常用配置

 

二、安全區(qū)域及IP地址

 

interface GigabitEthernet0/1 //進(jìn)入接口

nameif outside1 //配置安全區(qū)域名稱(可自行編寫)

security-level 0 //配置安全區(qū)域安全等級(默認(rèn)outside為0,inside為100,高安全等級能夠訪問低安全等級,低安全等級不能訪問高安全等級內(nèi)容,除非使用訪問控制列表permit)

ip address 218.246.213.75 255.255.255.240 //配置接口IP地址

 

DMZ區(qū)也是一個安全區(qū)域,創(chuàng)建區(qū)域的目的是為了區(qū)域之間做訪問控制、攻擊檢測和隔離,外網(wǎng)outside1到inside區(qū)域需要做攻擊檢測,創(chuàng)建DMZ區(qū)域的目的是將一部分需要隔離的主機(jī)訪問其他區(qū)域也做檢測,類似于交換機(jī)的VLAN,內(nèi)網(wǎng)分為DMZ VLAN和inside VLAN,這樣就可以給DMZ VLAN和inside VLAN之間做訪問控制策略了。

 

DMZ區(qū)域舉例:

interface GigabitEthernet0/7 //進(jìn)入接口

nameif DMZ //配置安全區(qū)域名稱(可自行編寫)

security-level 50 //配置安全區(qū)域安全等級(默認(rèn)outside為0,inside為100,高安全等級能夠訪問低安全等級,低安全等級不能訪問高安全等級內(nèi)容,除非使用訪問控制列表permit)

ip address 172.16.50.1 //配置接口IP地址

 

三、配置路由(路由冗余)

路由優(yōu)先級數(shù)字越小,優(yōu)先級越高

route outside2 0.0.0.0 0.0.0.0 181.12.111.1 2 //outside2安全區(qū)域默認(rèn)路由

route outside1 0.0.0.0 0.0.0.0 238.201.237.1 3 //outside1安全區(qū)域默認(rèn)路由

route inside 172.16.1.0 255.255.255.0 192.168.202.25 1

//inside安全區(qū)域明細(xì)路由,訪問172.16.1.0網(wǎng)段,下一條為192.168.202.25(核心交換機(jī))

 

四、配置上網(wǎng)NAT

object network internet1 //創(chuàng)建允許上網(wǎng)的網(wǎng)段

subnet 0.0.0.0 0.0.0.0

object network internet2

subnet 0.0.0.0 0.0.0.0

 

object network internet1

nat (inside,outside1) dynamic interface //允許所有網(wǎng)段均可上網(wǎng)

object network internet2

nat (inside,outside2) dynamic interface

 

不允許上網(wǎng)網(wǎng)段通過訪問控制列表限制

五、端口映射

object network mailowa110 //創(chuàng)建映射內(nèi)網(wǎng)地址的object項,名稱自取

host 192.168.203.12 //添加需要映射的內(nèi)網(wǎng)服務(wù)器地址

nat (inside,outside1) static 238.106.237.19 service tcp pop3 pop3

//配置端口映射,外網(wǎng)可以通過238.106.237.19地址訪問192.168.203.12服務(wù)器的pop3(110)端口

 

開放相關(guān)訪問控制(需要添加在deny條目之前)

access-list outside1-inside extended permit permit tcp any host 238.106.237.19 eq 110

 

access-list outside1-inside extended deny ip any any

 

默認(rèn)訪問控制列表禁用所有IP,端口映射后需要在訪問控制列表中添加

六、反向映射(用于內(nèi)網(wǎng)訪問外網(wǎng)端口)

same-security-traffic permit inter-interface

same-security-traffic permit intra-interface //打開反向映射功能

 

object network oa_outside-inside //創(chuàng)建映射內(nèi)網(wǎng)地址的object項,名稱自取

host 192.168.202.53 //添加需要映射的內(nèi)網(wǎng)服務(wù)器地址

object network oa-outside //創(chuàng)建映射外網(wǎng)地址的object項,名稱自取

host 238.106.237.19 //添加需要映射的外網(wǎng)服務(wù)器地址

object service tcp80 //創(chuàng)建映射的服務(wù)object項,名稱自取

service tcp destination eq www //添加80端口

 

nat (inside,inside) source static any interface destination static oa-outside oa_outside-inside service tcp80 tcp80

 

//映射服務(wù),調(diào)用上面所創(chuàng)建object,讓訪問inside區(qū)域訪問outside區(qū)域端口映射的主機(jī)直接通過內(nèi)網(wǎng)服務(wù)器端口訪問

七、訪問控制列表

例:內(nèi)網(wǎng)172.16.110.0段(廠房掃碼使用)不允許訪問外網(wǎng)

 

access-list inside-outside extended deny ip 172.16.110.0 255.255.255.0 any

//創(chuàng)建名稱為"inside-outside"的禁止172.16.110.0段訪問任何網(wǎng)絡(luò)的表項

access-list inside-outside extended permit ip any any

//創(chuàng)建允許所有網(wǎng)段都允許的表項

access-group inside-outside in interface inside

//應(yīng)用在防火墻"inside"區(qū)域"in"方向,即可

 

八、雙聯(lián)路負(fù)載(策略路由)

access-list yidong1 extended permit ip 172.16.200.0 255.255.255.0 any

access-list yidong1 extended permit ip 172.16.30.0 255.255.254.0 any

access-list yidong1 extended permit ip 172.16.100.0 255.255.254.0 any

access-list yidong1 extended permit ip 172.16.110.0 255.255.255.0 any

access-list yidong1 extended permit ip 172.16.111.0 255.255.255.0 any

access-list yidong1 extended permit ip 172.16.120.0 255.255.255.0 any

//創(chuàng)建名為yidong1的訪問控制列表,列表中為需要指定走那條公網(wǎng)的內(nèi)網(wǎng)網(wǎng)段

 

route-map yidong permit 10 //創(chuàng)建名為yidong的策略

match ip address yidong1 //匹配上面創(chuàng)建的"yidong1"列表

set ip default next-hop 238.106.237.19 //指定匹配"yiding1"列表的下一條指向"238.106.237.19"(移動IP)

 

interface GigabitEthernet0/0 //進(jìn)入inside接口

policy-route route-map yidong //調(diào)用"yidong"策略,即可

 

九、DHCP配置

防火墻DHCP配置不能配置網(wǎng)關(guān),網(wǎng)關(guān)已經(jīng)被指定為相應(yīng)安全區(qū)域接口地址

dhcpd address 192.168.1.2-192.168.1.254 management

//為management安全區(qū)域分配IP地址段為"192.168.1.2到192.168.1.254"

dhcpd enable management

//為management安全區(qū)域開啟DHCP功能

dhcpd DNS 114.114.114.114 8.8.8.8 interface management

//為management安全區(qū)域配置DNS

分享到:
標(biāo)簽:思科 ASA
用戶無頭像

網(wǎng)友整理

注冊時間:

網(wǎng)站:5 個   小程序:0 個  文章:12 篇

  • 51998

    網(wǎng)站

  • 12

    小程序

  • 1030137

    文章

  • 747

    會員

趕快注冊賬號,推廣您的網(wǎng)站吧!
最新入駐小程序

數(shù)獨(dú)大挑戰(zhàn)2018-06-03

數(shù)獨(dú)一種數(shù)學(xué)游戲,玩家需要根據(jù)9

答題星2018-06-03

您可以通過答題星輕松地創(chuàng)建試卷

全階人生考試2018-06-03

各種考試題,題庫,初中,高中,大學(xué)四六

運(yùn)動步數(shù)有氧達(dá)人2018-06-03

記錄運(yùn)動步數(shù),積累氧氣值。還可偷

每日養(yǎng)生app2018-06-03

每日養(yǎng)生,天天健康

體育訓(xùn)練成績評定2018-06-03

通用課目體育訓(xùn)練成績評定