传统防火墙基础实验

已于 2025-07-08 18:37:41 修改
阅读量935 收藏 18
点赞数 12
CC 4.0 BY-SA版权
文章标签: 网络 服务器 运维
于 2025-07-08 16:55:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2203_75898099/article/details/149198352

实验拓扑

实验配置

配置pc主机ip

配置接入层交换机

Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface e0/0
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Switch(config)#interface e0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk

配置汇聚层交换机

 Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface g0/0
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit
Switch(config)#ip routing
Switch(config)#interface vlan10
Switch(config-if)#ip address 192.168.10.254 255.255.255.0
Switch(config-if)#no shut
Switch(config)#interface g0/1
Switch(config-if)#no switchport
Switch(config-if)#no shutdown
Switch(config-if)#ip address 10.1.1.1 255.255.255.252
Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2 

将路由器配置成服务器

Router(config)#interface e0/0
Router(config-if)#ip add 192.168.2.88 255.255.255.0
Router(config-if)#no shut
Router(config)#no ip routing
Router(config)#ip default-gateway 192.168.2.1
Router(config)#ip name-server 114.114.114.114
Router(config)#ip http server
Router(config)#line vty 0 4
Router(config-line)#no login
Router(config-line)#transport input telnet
Router(config-line)#exit

配置防火墙

ciscoasa(config)# interface g0/2
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip add 10.1.1.2 255.255.255.252
ciscoasa(config-if)# no shut
ciscoasa(config-if)# exit
ciscoasa(config)# interface g0/1
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# ip address dhcp setroute
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
ciscoasa(config-if)# interface g0/0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip add 192.168.2.1 255.255.255.0
ciscoasa(config-if)# exit

静态路由

ciscoasa(config)# route inside 192.168.10.0 255.255.255.0 10.1.1.1

用出接口做PAT

ciscoasa(config)# object network inside
ciscoasa(config-network-object)# subnet 192.168.10.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface

ASA 防火墙默认不对 ICMP 做状态检测,需开启 ICMP 状态检测,TCP/UDP 默认做状
态检测

ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class inspection_default
ciscoasa(config-pmap-c)# inspect icmp
ciscoasa(config-pmap-c)#exit

查看防火墙全局路由表

测试内网pc上网

实现服务器区中服务器可以上公网,以便升级病毒库

ciscoasa(config)# object network dmz
ciscoasa(config-network-object)# subnet 192.168.2.0 255.255.255.0
ciscoasa(config-network-object)# nat (dmz,outside) dynamic interface

连通性测试

实现服务器区中服务器对外提供 TCP 80 端口 WEB 服务 和 TCP 23 端口telnet 服务,使用静态 NAT 及配置

 ciscoasa(config)# object network dmz1
ciscoasa(config-network-object)# host 192.168.2.88
ciscoasa(config-network-object)# nat (dmz,outside) static 192.168.116.138

防火墙默认,不允许从低级别区域向高级别区域发起连接,则需要手工放通即 ACL
放通进来的流量(放通 outside 区域访问 dmz 区域流量)

ciscoasa(config)# access-list webtel permit tcp any host 192.168.2.88 eq 80
ciscoasa(config)# access-list webtel permit tcp any host 192.168.2.88 eq 23
ciscoasa(config)# access-group webtel in interface outside

公网pc与服务器连通性测试

关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值