企業防火墻的基礎配置

網絡運維 ASA基本配置 實驗報告
姓名： 王飛 班級： NTD1711 日期：2018年1月30日
實驗任務：
實驗拓補圖：

實驗需求：DMZ 發布Web 服務器，Client3 可以訪問Server2
使用命令show conn detail 查看Conn表 表
分別查看ASA 和AR的 的 路由表
配置ACL 禁止Client2 訪問Server3

思
路
及
實
驗
步
驟

一、配置設備IP及端口IP。
路由IP：
interface GigabitEthernet0/0/0
ip address 192.168.10.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 10.10.1.254 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 20.20.1.254 255.255.255.0
#

防火墻IP：
interface GigabitEthernet0
shutdown
nameif inside
security-level 100
ip address 192.168.10.254 255.255.255.0
!
interface GigabitEthernet1
shutdown
nameif DMZ
security-level 50
ip address 192.168.30.254 255.255.255.0
!
interface GigabitEthernet2
shutdown
nameif outside
security-level 0
ip address 192.168.50.254 255.255.255.0
!
路由與交換機之間通信需要使用路由功能，我使用靜態路由
路由器：ip route-static 10.10.1.0 255.255.255.0 192.168.10.254
ip route-static 20.20.1.0 255.255.255.0 192.168.10.254
防火墻：route inside 0.0.0.0 0.0.0.0 192.168.10.1 1
驗證內網聯通狀態：


內網可以PING通。
二、配置DNZ區域和外部區域驗證


顯示鏈接完成
三、驗證防火墻作用
首先內網訪問外網服務器：


訪問成功
外網訪問內網：


顯示失敗。
防火墻作用成功應用
驗證DMZ區域的作用
首先用內網鏈接服務器再用外網訪問服務器

內網獲取成功

外網獲取失敗
沒有配置相關協議。

三、配置DMZ區域協議



抓取所有tcp 主機 訪問192.168.30.66 端口號為80的條目全部通過
然后將其應用在outside端口上
結果驗證：

訪問成功。
四、禁止Client2 訪問Server3
client2的ip地址為192.168.30.1
server3的IP地址為192.168.50.66
想要做到禁止訪問server3的HTTP服務我有以下幾個數據可以抓取并應用：
1、http服務端口號
2、client2的ip和server3的IP
下面進行配置：



我抓取了tcp鏈接的源192.168.30.1訪問192.168.50.66 的所有端口號為80的數據
然后應用到了DMZ端口。這個配置主要針對內部端口做的配置，所以數據包不會發向外網
進行驗證：

實驗成功。

結果驗證：

驗證配置成功。
流量抓取功能是個非常強大的工具，它可以抓取各種流量的協議、ip；并且對他們進行約束，讓它們按照我們的想法進行運作。
這是一個非常值得學習的功能。

問題及分析：

1、模擬器不穩定。
2、實驗很簡單、但是需要有清晰的思路。
3、防火墻acl應用簡單，想要做到一個目的可以有很多種方法，比如上面說的，禁止訪問server3的HTTP服務：我可以抓取服務器的IP，也可以抓取客戶端的IP、也可以抓取端口號、還可以抓取協議TCP、可以應用到入端口、也可以應用到出端口都可以達到自己想要的目的。