防火墙系列初始化状态的基本实验

2019/6/23 &＃8211; &＃8211; &＃8211;

本文章关于防火墙默认设置的实验，用Telnet远程来测试防火墙的管理机制。

实验开始

实验环境：
eve-ng模拟器下已经有思科防火墙ASA系列的安装，详细请点击此文章查看《思科防火墙ASA》

实验拓扑：

实验配置：

路由器的配置

inside配置

enable 进入特权模式
configure terminal 进入配置模式
interface e0/0 进入e0/0接口
ip address 192.168.100.100 255.255.255.0 配置ip地址
no shutdown 开启端口
exit 退回到配置模式
ip route 0.0.0.0 0.0.0.0 192.168.100.1 添加默认路由
line vty 0 4 进入远程管理接口
no login 不需要认证（在实验环境允许使用）
transport input all 允许通过所有协议

outside配置

enable 进入特权模式
configure terminal 进入配置模式
interface e0/0 进入e0/0接口
ip address 200.1.1.100 255.255.255.0 配置ip地址
no shutdown 开启端口
exit 退回到配置模式
ip route 0.0.0.0 0.0.0.0 200.1.1.1 添加默认路由
line vty 0 4 进入远程管理接口
no login 不需要认证（在实验环境允许使用）
transport input all 允许通过所有协议

DMZ配置

enable 进入特权模式
configure terminal 进入配置模式
interface e0/0 进入e0/0接口
ip address 172.16.10.100 255.255.255.0 配置ip地址
no shutdown 开启端口
exit 退回到配置模式
ip route 0.0.0.0 0.0.0.0 172.16.10.1 添加默认路由
line vty 0 4 进入远程管理接口
no login 不需要认证（在实验环境允许使用）
transport input all 允许通过所有协议

防火墙的配置

ASA配置

enable 进入特权模式
configure terminal 进入配置模式
enable password 密码 配置特权模式密码
show run enable 查看配置特权模式的密码，是密文存储

G0/0接口的配置：
interface gigabitEthernet 0/0 进入e0/0接口
ip address 192.168.100.1 255.255.255.0 配置ip地址
no shutdown 开启端口
nameif inside 配置接口的名称
inside —内部网络（信任区域）
outside —外部网络（非信任区域）
DMZ —非军事化区域
security-level 100 配置接口的安全级别

G0/1接口的配置：
interface gigabitEthernet 0/1 进入e0/0接口
ip address 200.1.1.1 255.255.255.0 配置ip地址
no shutdown 开启端口
nameif outside 配置接口的名称
inside —内部网络（信任区域）
outside —外部网络（非信任区域）
DMZ —非军事化区域
security-level 0 配置接口的安全级别

G0/2接口的配置：
interface gigabitEthernet 0/2 进入e0/0接口
ip address 172.16.10.1 255.255.255.0 配置ip地址
no shutdown 开启端口
nameif DMZ 配置接口的名称
inside —内部网络（信任区域）
outside —外部网络（非信任区域）
DMZ —非军事化区域
security-level 50 配置接口的安全级别

测试：

inside：

ping 200.1.1.100
telnet 200.1.1.100 (远程outside区域)
发现Ping不同，却能远程上。
原因是：默认情况下，ASA对TCP和UDP协议提供状态化连接，但ICMP协议是非状态化的。

telnet 172.16.10.100 （远程DMZ区域）

DMZ：

telnet 200.1.1.100 （远程outside区域）
telnet 192.168.100.100 (远程inside区域)

发现可以远程outside区域，但不能远程inside区域。
原因是：

1、出站接口的流量默认允许穿越ASA。
出站接口就是从高安全级别接口访问低安全级别接口的流量。
2、入站接口的流量默认不允许穿越ASA。但是可以使用ACL来放行流量通过。
入站接口就是从低安全级别接口访问高安全级别接口的流量。


outside：

telent 192.168.100.100 (远程inside区域)
telnet 172.16.10.100 （远程DMZ区域）
发现都不能远程，原因如上，低安全级别访问高安全级别默认是拒绝的。