cisco防火墻asa

　　cisco思科是全球領先的大品牌，相信很多人也不陌生，那么你知道cisco防火墻asa嗎?下面是學習啦小編整理的一些關于cisco防火墻asa的相關資料，供你參考。

　　cisco防火墻asa的配置方法：

　　拓撲圖

　　要求：通過思科防火墻ASA使用內網用戶可以-與DMZ中的服務器，DMZ中的服務器可以發布到網絡中，供外網用戶訪問

　　一.思科模擬防火墻的使用

　　因為我們沒有真實的設備，所以我們使用一個使用linux內核的虛擬系統來模擬思科的防火墻，模擬防火墻可以自己下載，在使用時我們還要使用一個軟件來連接這個模擬防火墻：nptp.ext。

　　首先，我們打開ASA防火墻虛擬機，再安裝nptp.exe軟件

　　打開nptp，點擊”Edit”新建一個連接，參數可如下

　　使用連接工具進行連接

　　連接成功

　　二.IP地址配置

　　外網IP配置

　　ciscoasa> enable

　　Password:

　　ciscoasa# conf t

　　ciscoasa(config)# int eth0/0

　　ciscoasa(config-if)# ip add 192.168.101.150 255.255.255.0 //外網ip

　　ciscoasa(config-if)# no shut

　　ciscoasa(config-if)# nameif outside //外網名,一定要配置

　　內網IP配置

　　ciscoasa(config-if)# int eth0/1

　　ciscoasa(config-if)# ip add 192.168.1.1 255.255.255.0

　　ciscoasa(config-if)# no shut

　　ciscoasa(config-if)# nameif inside

　　DMZ IP配置

　　ciscoasa(config-if)# int eth0/2

　　ciscoasa(config-if)# ip add 192.168.2.1 255.255.255.0

　　ciscoasa(config-if)# no shut

　　ciscoasa(config-if)# nameif dmz

　　查看路由

　　ciscoasa(config-if)# show route

　　C 192.168.1.0 255.255.255.0 is directly connected, inside

　　C 192.168.2.0 255.255.255.0 is directly connected, dmz

　　C 192.168.101.0 255.255.255.0 is directly connected, outside

　　注：在ASA防火墻中一定要配置nameif名字，如果不配置的話，這個端口就不能啟動，在配置名字的時候，不同的名字可以有不同的優先級，內網inside是一個系統自帶的值，只可配置在內網的端口上，并且它的優先級是100，屬于最高的級別，而另外的一些優先級都是0，在優先級高的區域訪問優先級低的區域的時候，可以直接做snat就可以通信，而優先級低的訪問優先級低的區域的時候，做dnat的同時，還要做訪問控制列表。

　　三.內網

　　ciscoasa(config-if)# exit

　　ciscoasa(config)# global (outside) 1 interface //指定snat使用的外網接口為nameif為outside的端口

　　ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0 /指定內網的網段

　　測試

　　我們使用的192.168.101.0做為外網的網段，但是在測試的時候，不能使用ping命令測試，因為在默認情況下防火墻是把ping作為一種攻擊手段給拒絕掉的。我現在在192.168.101.105上做了一個RDP服務器，可以進行測試

　　可以測試成功

　　四.內網訪問DMZ服務器

　　基于前面的設置，我們只需要再做一條指令指明dmz區域即可

　　ciscoasa(config)# global (dmz) 1 interface

　　測試一下訪問DMZ中的www服務器

　　五.DMZ中服務器發布

　　RDP服務器發布

　　ciscoasa(config)# int eth0/2

　　ciscoasa(config-if)# security-level 50 //修改DMZ區域的優先級大于outside區域

　　ciscoasa(config)# static (dmz,outside) tcp interface 3389 192.168.2.2 3389 //創建dmz與outside的dnat RDP服務

　　ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 3389 //創建訪問控制列表，允許訪問outside端口

　　ciscoasa(config)# access-group 100 in interface outside //在outside端口上應用訪問控制列表

　　測試

　　www服務器發布

　　ciscoasa(config)# static (dmz,outside) tcp interface www 192.168.2.2 www

　　ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 80

　　ciscoasa(config)# access-group 100 in interface outside

　　測試

　　看過文章“cisco防火墻asa”的人還看了：

　　1.cisco思科路由器設置

　　2.思科路由器怎么進入 思科路由器怎么設置

　　3.思科路由器控制端口連接圖解

　　4.思科路由器基本配置教程

　　5.如何進入cisco路由器

　　6.cisco怎么進端口

　　7.cisco如何看未接來電

　　8.cisco常用命令

　　9.詳解思科route print

　　10.思科路由器恢復出廠配置的方法有哪些