思科ASA 基础学习
ASA
int e0/0
ip add 192.168.1.1 24
nameif inside
secruity-leve 100
int e0/0/0
ip add 192.168.2.1 24
nameif inside
security-leve 100
int e0/1
ip add 172.16.1.1 24
nameif dmz
secruity-leve 50
int e0/2
定义区域
nameif outside
配置IP
ip add 200.1.1.1 24
设置安全等级,数字越小,等级越低, 默认高等级可以到低等级,
低等级不能到高等级,除非设置策略
secruity-leve 0
配置路由,不同于路由器的 ip route
route inside 192.168.0.0 16 192.168.1.2
route outside 0.0.0.0 0 200.1.1.2
配置acl
access-list 100 permit icmp any any
应用acl ,不同于路由器在接口模式下,全局模式
access-group 100 in outside interface e0/2
动态NAT
nat 一般定义内部的
global 一般定义外部
两个匹配通过 nat id
查看 show xlate detail
清除 clear xlate
标示符 flags
栗子 1 用来关联 nat global
192.168.1.0 也可以用acl 控制
nat (inside) 1 192.168.1.0 255.255.255.0
global (outside) 1 200.1.1.10-200.1.1.20
global (dmz) 1 172.16.2.0 255.255.255.0
匹配所有内部网络 ,0 0 表示所有网络
nat (inside) 1 0 0
-----------------------------------
动态PAT ,居于端口的转换
nat (inside) 1 192.168.1.0 255.255.255.0
global (outside) 1 200.1.1.1
global (outside) 1 interface #直接指定端口
--------------------------------------
静态NAT 隐藏内部IP
低安全级别要去访问高安全级别,需要策略放行
acess-list out_to_dmz host 200.1.1.2 host 172.16.1.2
策略应用到outside 的进方向
access-group out_to_dmz in interface outside
static (dmz,outside) 200.1.1.10 172.16.1.2
#static 关键字,
#(dmz,outside) ,先高安全级别,低安全级别
# 200.1.1.10 172.16.1.2 ,先外部,再内部
static (dmz,outside) 200.1.1.100 172.16.1.2
#放行流量 ,因为已经映射了 地址转成 100, 所以放行100
access-list 100 permit ip host 200.1.1.100 host 172.16.1.2
#把策略应用到接口
access-group 100 in interface outside
------------------------------------------------
静态PAT,居于端口的映射
static (dmz,outside) tcp 200.1.1.10 http 172.16.1.2 http
static (dmz,outside) tcp 200.1.1.10 ftp 172.16.1.2 ftp
access-list 100 permit tcp 200.1.1.10 http 172.16.1.2 http
access-list 100 permit tcp 200.1.1.10 ftp 172.16.1.2 ftp
access-group 100 in interface outside
---------------------------------------------
NAT控制
nat-control 默认关闭
内网 inside 可以访问 outside ,但是没有NAT
nat规则不是必需
开启nat-control 默认所有inside 都要nAT 才能出 outside
NAT规则必需
NAT 豁免
当开启NAT控制时,每个发起的链接都需要一个相应的NAT规则,
在某些应用场景(例如配置VPN)需要绕过NAT规则
NAT 豁免允许双向通讯
NAT 豁免的配置步骤
定义一个ACL ,用于指定需要绕过NAT规则的流量。
acess-list nonat extended permit ip 192.168.2.0 255.255.255.0 200.1.1.0 255.255.255.0
#这里一定要用 0 nat id
nat (inside) 0 access-list nonat
-------------------------------------------------------
策略NAT
定义acl ,
NAT 时匹配 acl ,实现流量分流。
access-list WEB extended permit 192.168.2.0 255.255.255.0 host 172.168.1.2 eq 80
access-list telnet extended permit 192.168.2.0 255.255.255.0 host 172.168.1.2 eq telnet
nat (inside) 1 acess-list WEB
global (dmz) 1 200.1.1.2
nat (inside) 2 access-list telnet
global (dmz) 2 200.1.1.3
实现效果,
1,当192.168.2.0 网段主机去访问 172.16.1.2 的80端口时 nat 200.1.1.2 地址
2,当192.168.2.0 网段主机去访问 172.168.1.2 的23 端口时 nat 200.1.1.3 地址
验证 telnet 172.16.1.2 80 /source interface loopback 0
--------------------------
NAT 优先级
NAT 豁免最高
静态NAT 和静态PAT
策略动态 NAT nat access-list
正常的动态NAT
ACL 写法不同于路由器, 不用反掩码, 路由协议宣告网络时,也不用反掩码,用正常掩码即可。
telnet 配置 开启 telnet 服务
允许192.168.1.110 telnet ASA防火墙
telnet 192.168.1.110 255.255.255.2555 inside
telnet 172.16.1.110 255.255.255.255 dmz
telnet timeout 10 #设置超时时间,10分钟不活动自动断开连接
passwd 666 #设置远程登录密码
-----------------------------------------------------------------
开启ssh 服务
username admin passwd 1234
启用 aaa
aaa authentication enable console LOCAL #设置enable 验证
aaa authentication ssh console LOCAL #设置ssh 验证
ssh 172.16.1.2 255.255.255.255 dmz
ssh 192.168.1.0 255.255.255.0 inside
crypto key generate rsa moduls 1024
验证 ssh -l 用户名密码登录,还有其他方式
ssh -l admin 172.16.1.1 输入密码
enable
再次输入用户密码
ssh 是居于用户管理,所以enable 的密码也是 用户密码,
-----------------------------------------------------------------------------------------------------
相同安全等级下的不同端口默认不能通讯
same-security-traffic permit inter-interface
思科ASA 基础学习的更多相关文章
- 思科ASA放行主/被动FTP
实验环境: 设备说明: internet是一台windows10,用于模拟外网客户 ASA是思科ASA防火墙 FTP-SERVER是Centos7,Centos7上安装了vsftpd 实验说明: 本文 ...
- salesforce 零基础学习(五十二)Trigger使用篇(二)
第十七篇的Trigger用法为通过Handler方式实现Trigger的封装,此种好处是一个Handler对应一个sObject,使本该在Trigger中写的代码分到Handler中,代码更加清晰. ...
- 如何从零基础学习VR
转载请声明转载地址:http://www.cnblogs.com/Rodolfo/,违者必究. 近期很多搞技术的朋友问我,如何步入VR的圈子?如何从零基础系统性的学习VR技术? 本人将于2017年1月 ...
- IOS基础学习-2: UIButton
IOS基础学习-2: UIButton UIButton是一个标准的UIControl控件,UIKit提供了一组控件:UISwitch开关.UIButton按钮.UISegmentedContro ...
- HTML5零基础学习Web前端需要知道哪些?
HTML零基础学习Web前端网页制作,首先是要掌握一些常用标签的使用和他们的各个属性,常用的标签我总结了一下有以下这些: html:页面的根元素. head:页面的头部标签,是所有头部元素的容器. b ...
- python入门到精通[三]:基础学习(2)
摘要:Python基础学习:列表.元组.字典.函数.序列化.正则.模块. 上一节学习了字符串.流程控制.文件及目录操作,这节介绍下列表.元组.字典.函数.序列化.正则.模块. 1.列表 python中 ...
- python入门到精通[二]:基础学习(1)
摘要:Python基础学习: 注释.字符串操作.用户交互.流程控制.导入模块.文件操作.目录操作. 上一节讲了分别在windows下和linux下的环境配置,这节以linux为例学习基本语法.代码部分 ...
- CSS零基础学习笔记.
酸菜记 之 CSS的零基础. 这篇是我自己从零基础学习CSS的笔记加理解总结归纳的,如有不对的地方,请留言指教, 学前了解: CSS中字母是不分大小写的; CSS文件可以使用在各种程序文件中(如:PH ...
- Yaf零基础学习总结5-Yaf类的自动加载
Yaf零基础学习总结5-Yaf类的自动加载 框架的一个重要功能就是类的自动加载了,在第一个demo的时候我们就约定自己的项目的目录结构,框架就基于这个目录结构来自动加载需要的类文件. Yaf在自启动的 ...
随机推荐
- TCP的粘包
产生原因: * tcp传输以字节流的方式发送消息,消息之间没有边界 * 发送比接受的速度快,因此不能保证每次都能及时被接收 影响 : 对每次发送的内容是一个独立的意思需要单独识别 如何处理: 1. 每 ...
- json中的dumps和loads
常用有2个方法,也是最基本的使用方法: 1.dumps:把字典转成json字符串 进行post的请求的时候就要用json.dumps来进行装换,利用get方法就可以不用了. 2.loads:把json ...
- Docker学习(三)docker容器操作
上一篇:Docker学习(二)docker镜像操作 容器是基于镜像创建的,说白了把一个镜像运行起来就是容器 查看容器 docker ps 上面什么也没有,因为我们没有正在运行的容器,下面我门启动一个容 ...
- bzoj 2002 Bounce 弹飞绵羊
bzoj 2002 Bounce 弹飞绵羊 设一个虚拟节点表示被弹飞,则每个点的后继点是唯一确定的,每个点向它的后继点连边,就形成了一颗树. 询问就是问某个节点到虚拟节点的路径长度,修改就删除原来向后 ...
- Mac根据端口号查询进程
sudo lsof -i :8080
- 《DSP using MATLAB》示例Example7.25
今天清明放假的第二天,早晨出去吃饭时天气有些阴,十点多开始“清明时节雨纷纷”了. 母亲远在他乡看孙子,挺劳累的.父亲照顾生病的爷爷…… 我打算今天把<DSP using MATLAB>第7 ...
- 【DUBBO】Dubbo原理解析-服务引用
服务引用是服务的消费方向注册中心订阅服务提供方提供的服务地址后向服务提供方引用服务的过程. 服务的应用方在spring的配置实例如下: <dubbo:referenceid="demo ...
- PDF去除签名
1.创建一个只有一页的PDF,用Acrobat打开.2.使用“文档->插入页面”,把有数字签名的文档插入到那一页后面.3.使用“文档->删除页面”,删除第一页,然后保存文档.
- 自定义vue全局组件use使用(解释vue.use()的原理)
我们在前面学习到是用别人的组件:Vue.use(VueRouter).Vue.use(Mint)等等.其实使用的这些都是全剧组件,这里我们就来讲解一下怎么样定义一个全局组件,并解释vue.use()的 ...
- WPF 使用MahApps.Metro UI库
在WPF中要想使用Metro风格是很简单的,可以自己画嘛.. 但是为了节省时间,哈,今天给大家推荐一款国外Metro风格的控件库. 本文只起到抛砖引玉的作用,有兴趣还是推荐大家上官网,Thanks,官 ...