標籤:ado any perm table web伺服器 security ext ip route com
要求:
DMZ發布Web伺服器,Client2可以訪問Server3
使用命令show conn detail查看Conn表
分別查看ASA和AR的路由表
配置ACL禁止Client3訪問Server2
配置步驟及思路:
一.給用戶端和伺服器配置ip
server1:
ip: 10.1.1.1
子網路遮罩:255.255.255.0
網關:10.1.1.254
Client1:
ip: 10.2.2.1
子網路遮罩:255.255.255.0
網關:10.2.2.254
server2:
ip: 192.168.8.100
子網路遮罩:255.255.255.0
網關:192.168.8.254
Client2:
ip: 192.168.8.1
子網路遮罩:255.255.255.0
網關:192.168.8.254
server3:
ip: 192.168.30.100
子網路遮罩:255.255.255.0
網關:192.168.3.254
Client3:
ip: 192.168.30.1
子網路遮罩:255.255.255.0
網關:192.168.30.254
二.在防火牆上配置地區
interface g0 進入連接埠
nameif inside 配置介面的名稱
ip address 192.168.1.254 255..255.255.0 配置網關
security-level 100 配置介面的安全層級(範圍是0-100)
interface g1 進入連接埠
nameif outside 配置介面的名稱
ip address 192.168.8.254 255..255.255.0 配置網關
security-level 0 配置介面的安全層級(範圍是0-100)
interface g2 進入連接埠
nameif dmz 配置介面的名稱
ip address 192.168.30.254 255..255.255.0 配置網關
security-level 50 配置介面的安全層級(範圍是0-100)
寫一條acl使Client2可以訪問Server3
access list 1 permit tcp any host 192.168.30.100 eq 80
access-group 1 in interface outside // 預設防火牆的內網安全等級為100 ,外網為0 .等級低的無法訪問進階的所以要配置acl允許訪問
驗證,測試:
三.配置可以去外網的路由
interface g0/0/0 進入連接埠
ip address 10.1.1.254 255.255.255.0 配置網關
interface g0/0/1 進入連接埠
ip address 10.2.2.254 255.255.255.0 配置網關
interface g0/0/2 進入連接埠
ip address 192.168.1.1 255.255.255.0 配置ip
interface g0/0/2屬於192.168.1.0/24網段所以配置一個192.168.1.0網段的ip
在路由器上配置一條預設路由交給下一跳192.168.1.254‘
ip route 0.0.0.0 0.0.0.0 192.168.1.254
在防火牆上配置回包路由交給下一跳192.168.1.1
route inside 10.1.1.0 255.255.255.0 192.168.1.1 要去的網段
route inside 10.2.2.0 255.255.255.0 192.168.1.1 要去的網段
display ip route table 查看路由表
show route 查看asa防火牆
驗證,測試
如可以訪問外網ftp
# 接下來可以查看 conn表 show conn detail  三.# 最後配置acl使clietn 2不能訪問server1 access-list 2(名字) deny tcp any host 192.168.8.100 eq 80 access-group 2(名字) in interface DMAZ //在dmaz連接埠調用
測試:
windows防火牆的演算法及基本配置
