发布时间 : 星期一 文章GNS3模拟ASA防火墙更新完毕开始阅读
如允许外网网段为172.16.16.0/24访问内网主机10.1.1.1
2> 允许出站连接的流量
如禁止内网10.1.1.0/24访问外网
5、 配置静态路由
语法格式:
(config)#route 接口名 network mask next-hop-address
如在ASA网关设备上配置一条默认路由,连接外网(ISP的IP为10.0.0.1/24)
查看路由表: #show route
6、 其他配置
1> ICMP协议
默认情况下,ASA防火墙禁止ICMP报文通过,如果想要能通过,可以通过建立ACL来控制
2> 其他配置命令
(1) 保存running configuration到startup configuration #write memory 或者
#copy running-config startup-config
由于GNS3模拟器模拟ASA防火墙时Flash空间只有256KB,所以这条命令配置时会报错。当然你也可以换掉Flash,而使命令不会报错。 (2) 清除running configuration的所有配置 (config)#clear configure all
(3) 清除running configuration中指定命令的配置 (config)#clear configure 命令 例如清除所有access-list
(4) 删除startup-config配置文件 #write erase
四、多安全区域
1、 DMZ区域概述
1> DMZ的概念和作用
DMZ成为隔离区,也成为非军事化区,位于企业内部网络和外部网络之间的一个网络区域。在这个区域内可以放置一些必须公开的服务器。 所以DMZ区域一般是指服务器所在的区域 2> 默认的访问规则
默认的访问规则即为安全级别高的可以访问安全级别低的,而同种安全级别禁止访问。DMZ处于inside和outside之间的安全级别,所以具体思路需要自己理解。
在配置的时候,可以将接口名字改为dmz(其他也可,就是个标记),安全级别在inside和outside之间即可
五、配置实例
如图:
→我所有的设备都是用路由器模拟(除ASA防火墙) →IP地址及其他如图所示
→配置inside区域可以ping通外网
→配置默认路由和静态路由,使全网互通 (1) 在Develop上配置 →配置IP地址和默认路由
→开启telnet远程登录,以便稍后测试
(2) 在Other上配置
→与Develop配置类似,配置IP和路由,同时开启远程登录
(3) 在Server上配置 →与上述类似
(4) 在ISP上配置
→配置IP地址和路由即可
(5) 在Internet上配置
→配置IP地址和网关,同时配置telnet远程登录
(6) 在ASA1上配置
→划分各个区域和配置IP地址
→配置向外的默认路由和向内的静态路由
→配置ACL,允许内网ping通外网
→配置外网可以访问内部服务器(模拟外网可以telnet到服务器)
(7) 验证
→内网(Develop)可以ping通外网(Internet)
→inside区域可以访问DMZ区域
→外网(Internet)可以访问服务器(Server),使用telnet模拟