热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

防火墙系列初始化状态的基本实验

2019623–––本文章关于防火墙默认设置的实验,用Telnet远程来测试防火墙的管理机制。实验开始实验环境:eve-ng模拟器下已经有思科防火墙ASA系列的安装,详细请点击此文

2019/6/23 – – –

本文章关于防火墙默认设置的实验,用Telnet远程来测试防火墙的管理机制。

实验开始

实验环境:
eve-ng模拟器下已经有思科防火墙ASA系列的安装,详细请点击此文章查看《思科防火墙ASA》

实验拓扑:
《防火墙系列---- 初始化状态的基本实验》
实验配置:

路由器的配置

inside配置

enable 进入特权模式
configure terminal 进入配置模式
interface e0/0 进入e0/0接口
ip address 192.168.100.100 255.255.255.0 配置ip地址
no shutdown 开启端口
exit 退回到配置模式
ip route 0.0.0.0 0.0.0.0 192.168.100.1 添加默认路由
line vty 0 4 进入远程管理接口
no login 不需要认证(在实验环境允许使用)
transport input all 允许通过所有协议

outside配置

enable 进入特权模式
configure terminal 进入配置模式
interface e0/0 进入e0/0接口
ip address 200.1.1.100 255.255.255.0 配置ip地址
no shutdown 开启端口
exit 退回到配置模式
ip route 0.0.0.0 0.0.0.0 200.1.1.1 添加默认路由
line vty 0 4 进入远程管理接口
no login 不需要认证(在实验环境允许使用)
transport input all 允许通过所有协议

DMZ配置

enable 进入特权模式
configure terminal 进入配置模式
interface e0/0 进入e0/0接口
ip address 172.16.10.100 255.255.255.0 配置ip地址
no shutdown 开启端口
exit 退回到配置模式
ip route 0.0.0.0 0.0.0.0 172.16.10.1 添加默认路由
line vty 0 4 进入远程管理接口
no login 不需要认证(在实验环境允许使用)
transport input all 允许通过所有协议

防火墙的配置

ASA配置

enable 进入特权模式
configure terminal 进入配置模式
enable password 密码 配置特权模式密码
show run enable 查看配置特权模式的密码,是密文存储

G0/0接口的配置:
interface gigabitEthernet 0/0 进入e0/0接口
ip address 192.168.100.1 255.255.255.0 配置ip地址
no shutdown 开启端口
nameif inside 配置接口的名称
inside —内部网络(信任区域)
outside —外部网络(非信任区域)
DMZ —非军事化区域
security-level 100 配置接口的安全级别

G0/1接口的配置:
interface gigabitEthernet 0/1 进入e0/0接口
ip address 200.1.1.1 255.255.255.0 配置ip地址
no shutdown 开启端口
nameif outside 配置接口的名称
inside —内部网络(信任区域)
outside —外部网络(非信任区域)
DMZ —非军事化区域
security-level 0 配置接口的安全级别

G0/2接口的配置:
interface gigabitEthernet 0/2 进入e0/0接口
ip address 172.16.10.1 255.255.255.0 配置ip地址
no shutdown 开启端口
nameif DMZ 配置接口的名称
inside —内部网络(信任区域)
outside —外部网络(非信任区域)
DMZ —非军事化区域
security-level 50 配置接口的安全级别

测试:

inside:

ping 200.1.1.100
telnet 200.1.1.100 (远程outside区域)
发现Ping不同,却能远程上。
原因是:默认情况下,ASA对TCP和UDP协议提供状态化连接,但ICMP协议是非状态化的。
《防火墙系列---- 初始化状态的基本实验》
telnet 172.16.10.100 (远程DMZ区域)
《防火墙系列---- 初始化状态的基本实验》
DMZ:

telnet 200.1.1.100 (远程outside区域)
telnet 192.168.100.100 (远程inside区域)

《防火墙系列---- 初始化状态的基本实验》
发现可以远程outside区域,但不能远程inside区域。
原因是:

1、出站接口的流量默认允许穿越ASA。
出站接口就是从高安全级别接口访问低安全级别接口的流量。
2、入站接口的流量默认不允许穿越ASA。但是可以使用ACL来放行流量通过。
入站接口就是从低安全级别接口访问高安全级别接口的流量。

outside:

telent 192.168.100.100 (远程inside区域)
telnet 172.16.10.100 (远程DMZ区域)
发现都不能远程,原因如上,低安全级别访问高安全级别默认是拒绝的。
《防火墙系列---- 初始化状态的基本实验》


推荐阅读
  • 思科IOS XE与ISE集成实现TACACS认证配置
    本文详细介绍了如何在思科IOS XE设备上配置TACACS认证,并通过ISE(Identity Services Engine)进行用户管理和授权。配置包括网络拓扑、设备设置和ISE端的具体步骤。 ... [详细]
  • 在CentOS 7环境中安装配置Redis及使用Redis Desktop Manager连接时的注意事项与技巧
    在 CentOS 7 环境中安装和配置 Redis 时,需要注意一些关键步骤和最佳实践。本文详细介绍了从安装 Redis 到配置其基本参数的全过程,并提供了使用 Redis Desktop Manager 连接 Redis 服务器的技巧和注意事项。此外,还探讨了如何优化性能和确保数据安全,帮助用户在生产环境中高效地管理和使用 Redis。 ... [详细]
  • 在Linux系统中,网络配置是至关重要的任务之一。本文详细解析了Firewalld和Netfilter机制,并探讨了iptables的应用。通过使用`ip addr show`命令来查看网卡IP地址(需要安装`iproute`包),当网卡未分配IP地址或处于关闭状态时,可以通过`ip link set`命令进行配置和激活。此外,文章还介绍了如何利用Firewalld和iptables实现网络流量控制和安全策略管理,为系统管理员提供了实用的操作指南。 ... [详细]
  • 本文详细介绍了如何使用Python中的smtplib库来发送带有附件的邮件,并提供了完整的代码示例。作者:多测师_王sir,时间:2020年5月20日 17:24,微信:15367499889,公司:上海多测师信息有限公司。 ... [详细]
  • 在Linux系统中避免安装MySQL的简易指南
    在Linux系统中避免安装MySQL的简易指南 ... [详细]
  • 在《Linux高性能服务器编程》一书中,第3.2节深入探讨了TCP报头的结构与功能。TCP报头是每个TCP数据段中不可或缺的部分,它不仅包含了源端口和目的端口的信息,还负责管理TCP连接的状态和控制。本节内容详尽地解析了TCP报头的各项字段及其作用,为读者提供了深入理解TCP协议的基础。 ... [详细]
  • 本文介绍了如何利用Struts1框架构建一个简易的四则运算计算器。通过采用DispatchAction来处理不同类型的计算请求,并使用动态Form来优化开发流程,确保代码的简洁性和可维护性。同时,系统提供了用户友好的错误提示,以增强用户体验。 ... [详细]
  • 本指南介绍了如何在ASP.NET Web应用程序中利用C#和JavaScript实现基于指纹识别的登录系统。通过集成指纹识别技术,用户无需输入传统的登录ID即可完成身份验证,从而提升用户体验和安全性。我们将详细探讨如何配置和部署这一功能,确保系统的稳定性和可靠性。 ... [详细]
  • Linux入门教程第七课:基础命令与操作详解
    在本课程中,我们将深入探讨 Linux 系统中的基础命令与操作,重点讲解网络配置的相关知识。首先,我们会介绍 IP 地址的概念及其在网络协议中的作用,特别是 IPv4(Internet Protocol Version 4)的具体应用和配置方法。通过实际操作和示例,帮助初学者更好地理解和掌握这些基本技能。 ... [详细]
  • 在CentOS上部署和配置FreeSWITCH
    在CentOS系统上部署和配置FreeSWITCH的过程涉及多个步骤。本文详细介绍了从源代码安装FreeSWITCH的方法,包括必要的依赖项安装、编译和配置过程。此外,还提供了常见的配置选项和故障排除技巧,帮助用户顺利完成部署并确保系统的稳定运行。 ... [详细]
  • IOS Run loop详解
    为什么80%的码农都做不了架构师?转自http:blog.csdn.netztp800201articledetails9240913感谢作者分享Objecti ... [详细]
  • poj 3352 Road Construction ... [详细]
  • CentOS 7 中 iptables 过滤表实例与 NAT 表应用详解
    在 CentOS 7 系统中,iptables 的过滤表和 NAT 表具有重要的应用价值。本文通过具体实例详细介绍了如何配置 iptables 的过滤表,包括编写脚本文件 `/usr/local/sbin/iptables.sh`,并使用 `iptables -F` 清空现有规则。此外,还深入探讨了 NAT 表的配置方法,帮助读者更好地理解和应用这些网络防火墙技术。 ... [详细]
  • 本文详细解析了客户端与服务器之间的交互过程,重点介绍了Socket通信机制。IP地址由32位的4个8位二进制数组成,分为网络地址和主机地址两部分。通过使用 `ipconfig /all` 命令,用户可以查看详细的IP配置信息。此外,文章还介绍了如何使用 `ping` 命令测试网络连通性,例如 `ping 127.0.0.1` 可以检测本机网络是否正常。这些技术细节对于理解网络通信的基本原理具有重要意义。 ... [详细]
  • 您的数据库配置是否安全?DBSAT工具助您一臂之力!
    本文探讨了Oracle提供的免费工具DBSAT,该工具能够有效协助用户检测和优化数据库配置的安全性。通过全面的分析和报告,DBSAT帮助用户识别潜在的安全漏洞,并提供针对性的改进建议,确保数据库系统的稳定性和安全性。 ... [详细]
author-avatar
yjlz2012
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有