CISCO ASA防火墙配置实验

CISCO ASA防火墙配置实验

ASA模拟器并不像DynamipsGUI软件那样界面友好、操作方便，若要将ASA防火墙和路由器进行连接构建网络拓扑就需要分别编辑ASA模拟器和路由器的批处理文件才能完成，这就使得简单的网络拓扑搭建变得比较复杂。下面是实验环境拓扑以及搭建步骤：

PC1(本地主机）--VMNET1 ----ASA E0/0

WEB（VMwaer WIN2003 虚拟主机) ---VMNET2-----ASA E0/1

ISP ---VMNET3 -----ASA E0/2

一、安装VMware ,启动虚拟网络管理器，选择host virtual adapters,添加VMnet2 vmnet3 虚拟网卡，如下图。

二打开"ASA实验机架"下setup目录，运行“获取网卡参数.cmd"文件获取三块VMware网卡参数，建议先开启一块VMware虚拟网卡关闭其它虚拟网卡，获取参数后再开启第二块,以此类推... ... 避免虚拟网卡与参数对应出错。

三、1 桥接防火墙的各个接口，编辑“启动ASA防火墙.bat"文件，将获取的网卡参数粘贴到如下位置：

2 桥接ISP路由器，编辑ISP目录下"router1.bat"文件，将上图第三行网卡参数替换到如下位置：

T96100-FE -s

0:0:gen_eth:"\Device\NPF_{A9D211C2-5ABD-4F47-9BC0-D3F722CB36CC}" ..\unzip-c 2691-advsecurityk9-mz.124

四、双击“开启ASA防火墙.bat" "开启ISP.bat" 文件。运行命令”telnet 127.0.0.1 4000 登陆ASA

运行命令“ telnet 127.0.0.1 4001 登陆ISP路由器。

五 . 1 ）ASA基本配置：配置接口名字，接口安全级别，接口IP 地址

conf t

int e0/0

nameif inside

ip add 192.168.0.254 255.255.255.0

security-level 100

no shut

int e0/1

nameif dmz

ip add 192.168.1.254 255.255.255.0

security-level 50

no shut

int e0/2

nameif outside

ip add 200.0.0.2 255.255.255.252

security-level 0

no shut

sh int ip b 查看接口状态

sh run | b inter 查看接口配置参数

enable password ccna 特权密码

安全级别的范围为0－100，值越大，安全级别越高。高级别区域可以访问低级别区域，反过来低级别区域禁止访问高级别区域，一般情况，都将inside的安全级别设置为最高（100），将outside设置为最低，这点毋庸置疑。但是为什么一般用于方式服务器的DMZ区的安全级别要在两者之间呢？错误的观点认为，DMZ放置的服务器资源非常重要（至少比客户端重要），所以它的安全级别应该最高。首先并不是所有的服务器需要放置在DMZ区，例如公司内部某部门内部使用的，或公司内部使用的服务器就不应放置在DMZ区；一般都会把需要外网访问的服务器放置在DMZ（分公司通过外网访问也算），这时就必须开放某些端口以提供访问，这就会降低安全性，相对来说更容易被入侵；如果将服务器放置在最高级别，一旦服务器被入侵，黑客将获得整个网络的访问权限。这是一种安全的设计理念，只是从可能性方面分析网络设计的合理性。

DMZ区域可能不只一个，例如有一个DMZ是供分公司访问的，另外一个是供公网用户访问的，它们的安全级别自然不同，谁高谁低取决于谁更可信，一般来说，分公司要比公网用户更可信，所以分公司的DMZ的安全级别就会高于外网DMZ。

2）配置ISP路由器：

en

conf t

hostname ISP

int f0/0

ip add 200.0.0.1 255.255.255.252

no shut

ip route 0.0.0.0 0.0.0.0 200.0.0.2

3）启动VMware win2003系统，桥接网卡到VMNET2，配置IP地址192.168.1.1 网关192.168.1.254

配置本地主机IP 192.168.0.1 网关192.168.0.254

测试：在ASA防火墙分别ping PC1 、WEB、ISP 接口IP .

如果不通依次检测各个设备接口状态，IP 地址掩码等参数是否正确，最后检查ASA接口桥接到虚拟网卡参数对应是否正确。

在PC1 分别PING WEB ISP 是否通过？默认情况下，禁止ICMP报文穿越ASA防火墙，这是基于安全性的考虑。

4)为便于测试配置ACL ，允许ICMP的ECHO-RELY unreachable time-exceeded信息从外网到内网。

access-list 101 permit icmp any any echo-reply

access-list 101 permit icmp any any unreachable

access-list 101 permit icmp any any time-exceeded

access-group 101 in int outside

在PC1再次ping ISP接口ping 200.0.0.1

5) 在PC1和WEB开启IIS服务，在PC1 浏览器地址栏分别输入192.168.1.1 、200.0.0.1 证明可以从内网访问外面ISP和DMZ区域，反过来在WEB主机浏览PC1失败说明高级别区域可以访问低级别区域，低级别区域禁止访问高级别区域。

六配置动态NAT

首先配置默认路由

route outside 0 0 200.0.0.1

转换内部所有主机复用ASA outside接口地址执行PAT

nat (inside) 1 0 0

global (outside) 1 interface

测试：在ISP创建LOOP接口，设置任意IP地址在PC1都可以PING 通。

7）配置静态NAT，保证在公网可以访问位于DMZ区域WEB服务器。

将ASA outside接口80端口映射到DMZ中WEB的80端口。

static (dmz,outside) 200.0.0.5 192.168.1.1

由于外网比DMZ区域有更低的安全级别，所以必须配置访问列表开放必要的端口

access-list 101 per tcp any 200.0.0.5 eq 80

便于测试允许ICMP echo信息进入

access-list 101 per ICMP any 200.0.0.5 echo

测试：在ISP PING 200.0.0.5

七配置远程管理接入

1) 配置允许telnet接入

telnet 192.168.0.1 255.255.255.255 inside

passwd cisco

2)配置允许SSH接入

SSH需要主机名和域名产生密钥对