2. 程式人生 > >思科ASA5505防火墻放行流量實驗

思科ASA5505防火墻放行流量實驗

阿新 發佈:2018-04-14
ASA 5505 思科 防火墻

技術分享圖片
1、實驗目的:
inside路由器可以Telnet到outside路由器,反過來outside到inside因為是inbound流量被拒絕。
但是inside路由器不可以Tping通outside路由器,請思考為什麽?

原因:默認情況下,ASA只對穿越的TCP和UDP流量維護狀態化信息。所有Telnet流量可以出去再穿越防火墻回來,ICMP的流量出去就回不來了。

具體配置
1、ASA(5505的網絡區域基於虛接口)
ciscoasa>en
ciscoasa#conf t
ciscoasa(config)#
ciscoasa(config)#hostname ASA
ASA(config)#interface vlan 2 vlan2虛接口

ASA(config-if)#nameif outside 定義outside接口
ASA(config-if)#security-level 0 安全級別0
ASA(config-if)#ip address 200.1.1.1 255.255.255.0
ASA(config-if)#no shutdown
ASA(config-if)#exit

ASA(config)#interface vlan 1 vlan1虛接口
ASA(config-if)#nameif inside 定義inside接口
ASA(config-if)#security-level 100 安全級別100

ASA(config-if)#ip address 192.168.1.1 255.255.255.0
ASA(config-if)#no sh
ASA(config-if)#no shutdown
ASA(config-if)#

outside路由器配置

Router>en
Router#conf t
Router(config)#hostname outside
outside(config)#interface f0/0
outside(config-if)#ip add 200.1.1.2 255.255.255.0
outside(config-if)#no shutdown
outside(config-if)#exit

outside(config)#line vty 0 4
outside(config-line)#password 666
outside(config-line)#login
outside(config-line)#exit

outside(config)#enable password 888

outside(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.1
outside(config)#

inside路由器配置

Router>en
Router#conf t
Router(config)#hostname inside
inside(config)#interface f0/0
inside(config-if)#ip add 192.168.1.2 255.255.255.0
inside(config-if)#no shutdown
inside(config-if)#exit

inside(config)#line vty 0 1
inside(config-line)#password 666
inside(config-line)#login
inside(config-line)#exit

inside(config)#enable password 888

inside(config)#ip route 200.1.1.0 255.255.255.0 192.168.1.1

驗證inside到outside的Telnet流量
技術分享圖片
可以Telnet成功!!!!
再測試ping 命令

inside#ping 200.1.1.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.1.1.2, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

inside#
可以看到結果是不通!!!!!!!!!!!!!!

從外outside去測試tellnet和ping結果都是不通的!!!

體會原因!(如果不理解請在留言區留言)

最後再防火墻上放行Telnet流量和ICMP的流量
ASA(config)#access-list 100 permit tcp host 200.1.1.2 host 192.168.1.2 eq 23 放行Telnet的23號端口流量
ASA(config)#access-list 100 permit icmp host 200.1.1.2 host 192.168.1.2
放行ICMP的流量進來
ASA(config)#access-group 100 in interface outside
應用列表在outside口的in方向

測試結果
inside#ping 200.1.1.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.1.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/0 ms

outside>ping 192.168.1.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/1/5 ms

outside>telnet 192.168.1.2
Trying 192.168.1.2 ...Open

User Access Verification

Password:
inside>

經過驗證,Telnet流量和ICMP流量被防火墻放行

我的課程首頁http://edu.51cto.com/lecturer/1025688.html
加群學習討論:32307012

思科ASA5505防火墻放行流量實驗

相關推薦

ASA5505防火放行流量實驗

ASA 5505 思科 防火墻 1、實驗目的:inside路由器可以Telnet到outside路由器,反過來outside到inside因為是inbound流量被拒絕。但是inside路由器不可以Tping通outside路由器,請思考為什麽? 原因:默認情況下,ASA只對穿越的TCP和UD

ASA防火軟件IOS,附下載鏈接

思科 ios cisco asa802-k8.binasa803-k8.binasa804-k8.binasa805-k8.binasa822-k8.binasa823-k8.binasa824-k8.binasa831-k8.binasa832-k8.binasa841-k8.binasa842

站點到站點預共享密鑰V.P.N(基於ASA防火

taobao rem wait 還需要 pre nat con 流量 方式 站點到站點預共享密鑰V.P.N(基於思科ASA防火墻) 一:基本名詞解釋IPsec-×××--virtual private network什麽是×××--虛擬專用網×××作用--通過公網實現遠程連

ASA防火域路由器IPSec ×××

onf ip add nsf size fig 51cto ipsec 思科 form 思科ASA防火墻域路由器IPSec ××× 1:防火墻端口配置ciscoasa(config)#int e0/0ciscoasa(config-if)# ip add 192.168.

防火放行80端口(初級)

output ice accep drop dport acc table tcp nbsp 首先刪除默認策略 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 清除已有iptab

關於防火放行端口的幾個場景

禁止 CP 域控 需要 如果 域控服務器 dhcp AD 防火 PC客戶端與dns服務器間加防火墻 PC客戶端與AD域控服務器間加防火墻 AD域控服務器與AD域控服務器間加防火墻 PC客戶端與DHCP服務器間加防火墻 註 如果是一個服務工作原理是客戶端A到服務器B主動請求

路由器ios系統學習(四)實驗 虛擬區域網vlan的劃分

主機地址全為0的地址是不分配給裝置使用的,它代表網路 主機地址全位1的地址也是不分配給裝置使用的,它代表某網路的廣播地址 單播 廣播 組播 A類:第一個8位範圍為1到126,子網掩碼固定為8位 B類:第一個8位範圍為128到191,子網掩碼固定為16位 C類:第一個8位範圍為192到

防火轉發流量的原理

處理流 處理 中大 大致 之間 創建 官方 信息 第一步 防火墻轉發流量的原理 切忌搞清楚轉發原理(理解防火墻怎樣的執行順序至關重要) 簡單概要防火墻包轉發順序: 千萬要註意: 防火墻包轉發的第一步也是最重要的一步是查詢會話表 一: 外網訪問內網(通過目標nat映射的情況)

防火技術綜合實驗

mman time 功能 src 審計 正常 17. deb 特定 擴展ACL 一,實驗拓撲 二,實驗步驟: (1)測試網絡連通性,PC1 ping 服務器。 (2)配置路由器R0 R0(config)#access-list

27-防火:A/S實驗

firewall 同步 拓撲 sco process 鏈路 信息 proc wall 一、實驗拓撲:二、實驗要求:1、2個ASA模式都為單模式、路由模式; 三、命令部署:1、基本配置:路由器基本配置:R1(config)#int f0/0R1(config-if)#no s

24-防火:ASA透明防火實驗

分享 防火墻 sin out 三層 router cisco gns 會有 一、實驗拓撲:二、實驗要求:1、show mode:單模式;show firewall:路由模式——>firewall transparent;ASA清除所有配置;切換透明模式是不需要重啟的;

18-防火:ASA動態NAT:實驗

config acc 臺電腦 water outside 登錄 存在 sub password 一、實驗拓撲:二、實驗要求:1、配置動態PAT,轉換Inside網段到DMZ地址10.1.2.1002、配置動態NAT,轉換Inside網絡到Outside地址池202.100.

26-防火:多模式防火實驗

glob seq 是否 cte echo cati disk 我們 percent 一、實驗拓撲: 二、實驗要求:1、切換到多模式、路由模式,ASA多模式在接口下沒法配IP地址(同理透明模式也一樣),只能在子防火墻下配置;2、ASA接口no shutdown,然後創建子防火

防火基本配置思路及命令

3.0 主機 11.2 shu 註意事項 tcp 登陸 開啟 使用 修改防火墻名稱 config# hostname xxxx 配置特權密碼 config# enable password xxxx 遠程登陸密碼 config# password xxxx 配置接口名稱

23-防火:ASA Twice NAT

not ica hab -m esp log bject password nag 一、實驗拓撲:Twice NAT好處:可以節省主機或者路由器的配置,R1可以不需要有默認路由,R2(PC)可以不寫網關;二、實驗要求:1、當Inside網絡10.1.1.0/24,去往Out

6-防火:ASA中Object-group在ACL中的應用

sha 在一起 access 5.0 實驗 服務組 alt inter color 一、實驗拓撲:二、實驗要求:先定義幾個小的,然後用大的包在一起;打包在一起,這就是所謂的嵌套,嵌套在編程裏是很長用的東西,叫做Object-group;Object-group比較強大,可以

9-防火:Cut Through:Telnet穿越認證

cat img seconds 服務 tcp term second .com toc 一、實驗拓撲:二、實驗要求:ASA聯動外部產品ACS做一個認證,通過這種方式控制內部用戶的流量;其實還可以做授權、審計。有時候單單抓流量控制是不方便的,因為可能該網絡有很多用戶連接,比如

7-防火:ASA配置:Global ACL(CLI)

color vpd ima dac fig net shadow out pro 一、實驗拓撲:二、實驗要求:1、ACL抓取Telnet、ICMP流量並放行,在全局下應用:2、做完以後,R1去telnetR2、R3看是否可行?3、ACL抓取Telnet流量並拒絕;在接口Ou

11-防火:MPF基本狀態監控特性

net oba 路由 cmp sid clas eset escape ffffff 一、實驗拓撲:二、實驗要求:ICMP默認是沒有監控的,所以R2 Ping R1不通(註意:R1、R2分別有默認路由下一跳為對應的ASA接口地址);原因:有很多原因,R1開啟Debug,查看

8-防火:Cisco ASA uRPF運用

path 屬於 -o log 防火墻 51cto shadow ima ext 一、實驗拓撲:二、實驗要求:1、面試:怎樣有效的去防止地址欺騙技術?配URPF三、命令部署:ASA(config)# ip verify reverse-path interface outsi