了解傳統(tǒng)防火墻的部署場景

理解傳統(tǒng)防火墻的包過濾策略

了解ASA防火墻的NAT配置

理解傳統(tǒng)防火墻狀態(tài)檢測的作用

理解防火墻的路由模式部署場景

三、實驗步驟及思路：


1. vpc的配置：

ip192.168.10.1255.255.255.0192.168.10.254
ipdns114.114.114.114

2. 接入層交換機(jī)IOL_SW的配置：

vlan10
exit
inte0/0
switchportmodeaccess
switchportaccessvlan10
exit
inte0/1
switchporttrunkencapsulationdot1q
switchportmodetrunk

3. 核心/匯聚層交換機(jī)vIOS_SW的配置：

vlan10
exit
intg0/0
switchporttrunkencapsulationdot1q
switchportmodetrunk
exit
iprouting

intvlan10
ipaddress192.168.10.254255.255.255.0
noshut
intg0/1
noswitchport
noshut
ipaddress10.1.1.1255.255.255.252
iproute0.0.0.00.0.0.010.1.1.2

4. 服務(wù)器的配置：用路由器模擬一臺開啟TCP 23 端口和80 端口的服務(wù)器

inte0/0
ipadd192.168.2.88255.255.255.0
noshut
noiprouting
ipdefault-gateway192.168.2.1
ipname-server114.114.114.114
iphttpserver
linevty04
nologin
transportinputtelnet
exit

5. 公網(wǎng)邊界區(qū)，ASA防火墻配置：
①基本配置，劃分三個安全區(qū)域：

②防火墻路由配置：（配置靜態(tài)路由）

③實現(xiàn)內(nèi)網(wǎng)vpc可以上公網(wǎng)，使用動態(tài)NAT及配置：
方法一：用出接口做PAT

ASA防火墻默認(rèn)不對ICMP做狀態(tài)檢測，需要開啟ICMP狀態(tài)檢測，TCP/udp默認(rèn)做狀態(tài)檢測，配置如下：

policy-mapglobal_policy
classinspection_default
inspecticmp
exit

接下來，測試內(nèi)網(wǎng)vpc訪問外網(wǎng)：

④實現(xiàn)服務(wù)器區(qū)中服務(wù)器IOL_R3可以上公網(wǎng)，以便升級病毒庫：

objectnetworkdmz
subnet192.168.2.0255.255.255.0
nat(dmz,outside)dynamicinterface

服務(wù)器上網(wǎng)測試：

⑤實現(xiàn)服務(wù)器區(qū)中服務(wù)器R對外提供TCP 80端口WEB服務(wù)和TCP23端口 telnet服務(wù)，使用靜態(tài)NAT及配置：
方法一：靜態(tài)nat 1對1：

objectnetworkdmz1
host192.168.2.88
nat(dmz,outside)static192.168.81.138

防火墻默認(rèn)，不允許從低級別區(qū)域向高級別區(qū)域發(fā)起連接，則需要手工放通即ACL放通進(jìn)來的流量（放通outside區(qū)域訪問dmz區(qū)域流量）

access-listwebtelpermittcpanyhost192.168.2.88eq80
access-listwebtelpermittcpanyhost192.168.2.88eq23
access-groupwebtelininterfaceoutside

接下來，在物理主機(jī)cmd上telnet 192.168.81.138

瀏覽器上進(jìn)192.168.81.138:


至此，實驗結(jié)束。

審核編輯：湯梓紅