热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

防火墙系列初始化状态的基本实验

2019623–––本文章关于防火墙默认设置的实验,用Telnet远程来测试防火墙的管理机制。实验开始实验环境:eve-ng模拟器下已经有思科防火墙ASA系列的安装,详细请点击此文

2019/6/23 – – –

本文章关于防火墙默认设置的实验,用Telnet远程来测试防火墙的管理机制。

实验开始

实验环境:
eve-ng模拟器下已经有思科防火墙ASA系列的安装,详细请点击此文章查看《思科防火墙ASA》

实验拓扑:
《防火墙系列---- 初始化状态的基本实验》
实验配置:

路由器的配置

inside配置

enable 进入特权模式
configure terminal 进入配置模式
interface e0/0 进入e0/0接口
ip address 192.168.100.100 255.255.255.0 配置ip地址
no shutdown 开启端口
exit 退回到配置模式
ip route 0.0.0.0 0.0.0.0 192.168.100.1 添加默认路由
line vty 0 4 进入远程管理接口
no login 不需要认证(在实验环境允许使用)
transport input all 允许通过所有协议

outside配置

enable 进入特权模式
configure terminal 进入配置模式
interface e0/0 进入e0/0接口
ip address 200.1.1.100 255.255.255.0 配置ip地址
no shutdown 开启端口
exit 退回到配置模式
ip route 0.0.0.0 0.0.0.0 200.1.1.1 添加默认路由
line vty 0 4 进入远程管理接口
no login 不需要认证(在实验环境允许使用)
transport input all 允许通过所有协议

DMZ配置

enable 进入特权模式
configure terminal 进入配置模式
interface e0/0 进入e0/0接口
ip address 172.16.10.100 255.255.255.0 配置ip地址
no shutdown 开启端口
exit 退回到配置模式
ip route 0.0.0.0 0.0.0.0 172.16.10.1 添加默认路由
line vty 0 4 进入远程管理接口
no login 不需要认证(在实验环境允许使用)
transport input all 允许通过所有协议

防火墙的配置

ASA配置

enable 进入特权模式
configure terminal 进入配置模式
enable password 密码 配置特权模式密码
show run enable 查看配置特权模式的密码,是密文存储

G0/0接口的配置:
interface gigabitEthernet 0/0 进入e0/0接口
ip address 192.168.100.1 255.255.255.0 配置ip地址
no shutdown 开启端口
nameif inside 配置接口的名称
inside —内部网络(信任区域)
outside —外部网络(非信任区域)
DMZ —非军事化区域
security-level 100 配置接口的安全级别

G0/1接口的配置:
interface gigabitEthernet 0/1 进入e0/0接口
ip address 200.1.1.1 255.255.255.0 配置ip地址
no shutdown 开启端口
nameif outside 配置接口的名称
inside —内部网络(信任区域)
outside —外部网络(非信任区域)
DMZ —非军事化区域
security-level 0 配置接口的安全级别

G0/2接口的配置:
interface gigabitEthernet 0/2 进入e0/0接口
ip address 172.16.10.1 255.255.255.0 配置ip地址
no shutdown 开启端口
nameif DMZ 配置接口的名称
inside —内部网络(信任区域)
outside —外部网络(非信任区域)
DMZ —非军事化区域
security-level 50 配置接口的安全级别

测试:

inside:

ping 200.1.1.100
telnet 200.1.1.100 (远程outside区域)
发现Ping不同,却能远程上。
原因是:默认情况下,ASA对TCP和UDP协议提供状态化连接,但ICMP协议是非状态化的。
《防火墙系列---- 初始化状态的基本实验》
telnet 172.16.10.100 (远程DMZ区域)
《防火墙系列---- 初始化状态的基本实验》
DMZ:

telnet 200.1.1.100 (远程outside区域)
telnet 192.168.100.100 (远程inside区域)

《防火墙系列---- 初始化状态的基本实验》
发现可以远程outside区域,但不能远程inside区域。
原因是:

1、出站接口的流量默认允许穿越ASA。
出站接口就是从高安全级别接口访问低安全级别接口的流量。
2、入站接口的流量默认不允许穿越ASA。但是可以使用ACL来放行流量通过。
入站接口就是从低安全级别接口访问高安全级别接口的流量。

outside:

telent 192.168.100.100 (远程inside区域)
telnet 172.16.10.100 (远程DMZ区域)
发现都不能远程,原因如上,低安全级别访问高安全级别默认是拒绝的。
《防火墙系列---- 初始化状态的基本实验》


推荐阅读
author-avatar
yjlz2012
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有