作者:yjlz2012 | 来源:互联网 | 2023-09-25 12:17
2019623–––本文章关于防火墙默认设置的实验,用Telnet远程来测试防火墙的管理机制。实验开始实验环境:eve-ng模拟器下已经有思科防火墙ASA系列的安装,详细请点击此文
2019/6/23 – – –
本文章关于防火墙默认设置的实验,用Telnet远程来测试防火墙的管理机制。
实验开始
实验环境:
eve-ng模拟器下已经有思科防火墙ASA系列的安装,详细请点击此文章查看《思科防火墙ASA》
实验拓扑:
实验配置:
路由器的配置
inside配置
enable 进入特权模式
configure terminal 进入配置模式
interface e0/0 进入e0/0接口
ip address 192.168.100.100 255.255.255.0 配置ip地址
no shutdown 开启端口
exit 退回到配置模式
ip route 0.0.0.0 0.0.0.0 192.168.100.1 添加默认路由
line vty 0 4 进入远程管理接口
no login 不需要认证(在实验环境允许使用)
transport input all 允许通过所有协议
outside配置
enable 进入特权模式
configure terminal 进入配置模式
interface e0/0 进入e0/0接口
ip address 200.1.1.100 255.255.255.0 配置ip地址
no shutdown 开启端口
exit 退回到配置模式
ip route 0.0.0.0 0.0.0.0 200.1.1.1 添加默认路由
line vty 0 4 进入远程管理接口
no login 不需要认证(在实验环境允许使用)
transport input all 允许通过所有协议
DMZ配置
enable 进入特权模式
configure terminal 进入配置模式
interface e0/0 进入e0/0接口
ip address 172.16.10.100 255.255.255.0 配置ip地址
no shutdown 开启端口
exit 退回到配置模式
ip route 0.0.0.0 0.0.0.0 172.16.10.1 添加默认路由
line vty 0 4 进入远程管理接口
no login 不需要认证(在实验环境允许使用)
transport input all 允许通过所有协议
防火墙的配置
ASA配置
enable 进入特权模式
configure terminal 进入配置模式
enable password 密码 配置特权模式密码
show run enable 查看配置特权模式的密码,是密文存储
G0/0接口的配置:
interface gigabitEthernet 0/0 进入e0/0接口
ip address 192.168.100.1 255.255.255.0 配置ip地址
no shutdown 开启端口
nameif inside 配置接口的名称
inside —内部网络(信任区域)
outside —外部网络(非信任区域)
DMZ —非军事化区域
security-level 100 配置接口的安全级别
G0/1接口的配置:
interface gigabitEthernet 0/1 进入e0/0接口
ip address 200.1.1.1 255.255.255.0 配置ip地址
no shutdown 开启端口
nameif outside 配置接口的名称
inside —内部网络(信任区域)
outside —外部网络(非信任区域)
DMZ —非军事化区域
security-level 0 配置接口的安全级别
G0/2接口的配置:
interface gigabitEthernet 0/2 进入e0/0接口
ip address 172.16.10.1 255.255.255.0 配置ip地址
no shutdown 开启端口
nameif DMZ 配置接口的名称
inside —内部网络(信任区域)
outside —外部网络(非信任区域)
DMZ —非军事化区域
security-level 50 配置接口的安全级别
测试:
inside:
ping 200.1.1.100
telnet 200.1.1.100 (远程outside区域)
发现Ping不同,却能远程上。
原因是:默认情况下,ASA对TCP和UDP协议提供状态化连接,但ICMP协议是非状态化的。
telnet 172.16.10.100 (远程DMZ区域)
DMZ:
telnet 200.1.1.100 (远程outside区域)
telnet 192.168.100.100 (远程inside区域)
发现可以远程outside区域,但不能远程inside区域。
原因是:
1、出站接口的流量默认允许穿越ASA。
出站接口就是从高安全级别接口访问低安全级别接口的流量。
2、入站接口的流量默认不允许穿越ASA。但是可以使用ACL来放行流量通过。
入站接口就是从低安全级别接口访问高安全级别接口的流量。
outside:
telent 192.168.100.100 (远程inside区域)
telnet 172.16.10.100 (远程DMZ区域)
发现都不能远程,原因如上,低安全级别访问高安全级别默认是拒绝的。