ASA的基本安全级别
?CiscoASA5500不同安全级别区域实现互访实验一、网络拓扑?二、实验环境ASA防火墙eth0接口定义为outside区,Security-Level:0,接RouterF0/0;ASA防火墙eth1接口定义为insdie区,Security-Level:100,接Switch的上联口;ASA防火墙Eth2接口定义为DMZ区,Security-Level:60,接MailServer。?三、实验目的实现inside区域能够访问outside,即Switch能够ping通Router的F0/0(202.100.10.2);dmz区能够访问outside,即MailServer能够ping通Router的F0/0(202.100.10.2);outside能够访问insdie区的WebServer的http端口(80)和dmz区的MailServer的pop3端口(110)、smtp端口(25).??四、详细配置步骤?1、端口配置CiscoASA(config)#interfaceethernet0CiscoASA(config)#nameifousideCiscoASA(config-if)#security-level0CiscoASA(config-if)#ipaddress202.100.10.1255.255.255.0CiscoASA(config-if)#noshutCiscoASA(config)#interfaceethernet1CiscoASA(config)#nameifinsideCiscoASA(config-if)#security-level100CiscoASA(config-if)#ipaddress192.168.1.1255.255.255.0CiscoASA(config-if)#noshutCiscoASA(config)#interfaceethernet2CiscoASA(config)#nameifdmzCiscoASA(config-if)#security-level50CiscoASA(config-if)#ipaddress172.16.1.1255.255.255.0CiscoASA(config-if)#noshut2、路由配置CiscoASA(config)#routeoutside0.0.0.00.0.0.0202.100.10.21#默认路由CiscoASA(config)#routeinside10.0.0.0255.0.0.0192.168.1.21#外网访问内网服务器的路由3、定义高安全接口区域需要进行地址转换的IP范围CiscoASA(config)#nat(inside)100CiscoASA(config)#nat(dmz)1004、定义低安全接口区域用于高安全接口区域进行IP转换的地址范围CiscoASA(config)#global(outside)1interfaceCiscoASA(config)#global(dmz)1interface5、定义静态IP映射(也称一对一映射)CiscoASA(config)#static(inside,outside)tcp202.100.10.1www10.1.1.1wwwnetmask255.255.255.255#实现从outside区访问inside区10.1.1.1的80端口时,就直接访问10.1.1.1:80对outside区的映射202.100.10.1:80CiscoASA(config)#static(dmz,outside)tcp202.100.10.1pop3172.16.1.2pop3netmask255.255.255.255#实现从outside区访问dmz区172.16.1.2的110时,就直接访问172.16.1.2:110对outside区的映射202.100.10.1:110(计算机学校http://www.computerpx.com/)CiscoASA(config)#static(dmz,outside)tcp202.100.10.1smtp172.16.1.2smtpnetmask255.255.255.255#实现从outside区访问dmz区172.16.1.2的25时,就直接访问172.16.1.2:25对outside区的映射202.100.10.1:256、定义access-list?CiscoASA(config)#access-list101extendedpermitipanyanyCiscoASA(config)#access-list101extendedpermiticmpanyanyCiscoASA(config)#access-list102extendedpermittcpanyhost10.1.1.1eqwwwCiscoASA(config)#access-list102extendedpermiticmpanyanyCiscoASA(config)#access-list103extendedpermittcpanyhost172.16.1.2eqpop3CiscoASA(config)#access-list103extendedpermittcpanyhost172.16.1.2eqsmtp7、在接口上应用access-list?CiscoASA(config)#access-group101ininterfaceoutsideCiscoASA(config)#access-group102ininterfaceinsideCiscoASA(config)#access-group103ininterfacedmz五、实验总结?1、当流量从高权限区域流向低权限区域时1、只要路由配通了,无须配置nat/global,也无须配置access-list,就可以直接telnet低权限区域主机;(郑州北大青鸟http://www.hnbenet.com/)2、只要路由配通了,同时配置了access-list,无须配置nat/global,就可以直接ping通低权限区域主机;3、只要路由配通了,同时配置了nat/global/access-list,此时telnet/ping均会执行地址转换2、当流量从低权限区域流向高权限区域时1、即使路由已经配通了,也不能成功访问;2、路由已经配通了,同时必须正确配置了staticIP地址映射及access-list,才能成功访问;3、调通路由是基础,同时只跟static/access-list有关,而跟nat/global毫无关系。
|
|
