用EVE-NG平台做的思科传统防火墙的基本实验
一、实验设备以及实验拓扑:
二、 实验目的:
了解传统防火墙的部署场景
理解传统防火墙的包过滤策略
了解asa防火墙的nat配置
理解传统防火墙状态检测的作用
理解防火墙的路由模式部署场景
三、实验步骤及思路:
1. vpc的配置:
ip 192.168.10.1 255.255.255.0 192.168.10.254ip dns 114.114.114.114
2. 接入层交换机iol_sw的配置:
vlan 10exitint e0/0switchport mode accessswitchport access vlan 10exitint e0/1switchport trunk encapsulation dot1qswitchport mode trunk
3. 核心/汇聚层交换机vios_sw的配置:
vlan 10exitint g0/0switchport trunk encapsulation dot1qswitchport mode trunkexitip routingint vlan 10ip address 192.168.10.254 255.255.255.0no shutint g0/1no switchportno shutip address 10.1.1.1 255.255.255.252ip route 0.0.0.0 0.0.0.0 10.1.1.2
4. 服务器的配置:用路由器模拟一台开启tcp 23 端口和80 端口的服务器
int e0/0ip add 192.168.2.88 255.255.255.0no shutno ip routingip default-gateway 192.168.2.1ip name-server 114.114.114.114ip http serverline vty 0 4 no logintransport input telnetexit
5. 公网边界区,asa防火墙配置:
①基本配置,划分三个安全区域:
②防火墙路由配置:(配置静态路由)
③实现内网vpc可以上公网,使用动态nat及配置:
方法一:用出接口做pat
asa防火墙默认不对icmp做状态检测,需要开启icmp状态检测,tcp/udp默认做状态检测,配置如下:
policy-map global_policyclass inspection_defaultinspect icmpexit
接下来,测试内网vpc访问外网:
④实现服务器区中服务器iol_r3可以上公网,以便升级病毒库:
object network dmzsubnet 192.168.2.0 255.255.255.0nat (dmz,outside) dynamic interface
服务器上网测试:
⑤实现服务器区中服务器r对外提供tcp 80端口web服务和tcp23端口 telnet服务,使用静态nat及配置:
方法一:静态nat 1对1:
object network dmz1host 192.168.2.88nat (dmz,outside) static 192.168.81.138
防火墙默认,不允许从低级别区域向高级别区域发起连接,则需要手工放通即acl放通进来的流量(放通outside区域访问dmz区域流量)
access-list webtel permit tcp any host 192.168.2.88 eq 80access-list webtel permit tcp any host 192.168.2.88 eq 23access-group webtel in interface outside
接下来,在物理主机cmd上telnet 192.168.81.138
浏览器上进192.168.81.138:
至此,实验结束。
七段LED显示译码器,七段LED显示译码器原理分析
电池名词种类以及部分英语名称
德索连接器厂家是怎么分析与测试检查fakra连接器的
控制RZMO,HZMO阿托斯比例溢流阀放大器
[组图]五例触摸开关电路
用EVE-NG平台做的思科传统防火墙的基本实验
关于Veridify Security公司超低能耗和抗量子化的低资源处理器
储能电池主要应用在哪些地方
杨元庆回应联想撤回上市申请质疑:完全不存在
使用单个超级电容器保持系统正常运行
光中继器,光中继器是什么意思
安世亚太推出基于LCD面成型技术的光固化3D打印机,可满足各行业应用
linux与window如何统一都显示为中国时区的时间
深圳首条MEMS中试线落地曝光!华为、华大基因等巨头入局?
搞事情,三星Note8渲染图最新曝光,这颜值简直要逆天了!
芯旺微电子获奇瑞协同创新特别贡献奖
AD9857数字上变频芯片在电力线通信发射机中的应用
机器人自动跟随技术实现前侧后方智能跟随,小车不乱转、运动顺畅+自主避障
pcb表面的出力工艺你会吗
5G技术的突破可以提供10倍于4G的峰值速率将是万物互联的重要保障
二、 实验目的:
了解传统防火墙的部署场景
理解传统防火墙的包过滤策略
了解asa防火墙的nat配置
理解传统防火墙状态检测的作用
理解防火墙的路由模式部署场景
三、实验步骤及思路:
1. vpc的配置:
ip 192.168.10.1 255.255.255.0 192.168.10.254ip dns 114.114.114.114
2. 接入层交换机iol_sw的配置:
vlan 10exitint e0/0switchport mode accessswitchport access vlan 10exitint e0/1switchport trunk encapsulation dot1qswitchport mode trunk
3. 核心/汇聚层交换机vios_sw的配置:
vlan 10exitint g0/0switchport trunk encapsulation dot1qswitchport mode trunkexitip routingint vlan 10ip address 192.168.10.254 255.255.255.0no shutint g0/1no switchportno shutip address 10.1.1.1 255.255.255.252ip route 0.0.0.0 0.0.0.0 10.1.1.2
4. 服务器的配置:用路由器模拟一台开启tcp 23 端口和80 端口的服务器
int e0/0ip add 192.168.2.88 255.255.255.0no shutno ip routingip default-gateway 192.168.2.1ip name-server 114.114.114.114ip http serverline vty 0 4 no logintransport input telnetexit
5. 公网边界区,asa防火墙配置:
①基本配置,划分三个安全区域:
②防火墙路由配置:(配置静态路由)
③实现内网vpc可以上公网,使用动态nat及配置:
方法一:用出接口做pat
asa防火墙默认不对icmp做状态检测,需要开启icmp状态检测,tcp/udp默认做状态检测,配置如下:
policy-map global_policyclass inspection_defaultinspect icmpexit
接下来,测试内网vpc访问外网:
④实现服务器区中服务器iol_r3可以上公网,以便升级病毒库:
object network dmzsubnet 192.168.2.0 255.255.255.0nat (dmz,outside) dynamic interface
服务器上网测试:
⑤实现服务器区中服务器r对外提供tcp 80端口web服务和tcp23端口 telnet服务,使用静态nat及配置:
方法一:静态nat 1对1:
object network dmz1host 192.168.2.88nat (dmz,outside) static 192.168.81.138
防火墙默认,不允许从低级别区域向高级别区域发起连接,则需要手工放通即acl放通进来的流量(放通outside区域访问dmz区域流量)
access-list webtel permit tcp any host 192.168.2.88 eq 80access-list webtel permit tcp any host 192.168.2.88 eq 23access-group webtel in interface outside
接下来,在物理主机cmd上telnet 192.168.81.138
浏览器上进192.168.81.138:
至此,实验结束。
七段LED显示译码器,七段LED显示译码器原理分析
电池名词种类以及部分英语名称
德索连接器厂家是怎么分析与测试检查fakra连接器的
控制RZMO,HZMO阿托斯比例溢流阀放大器
[组图]五例触摸开关电路
用EVE-NG平台做的思科传统防火墙的基本实验
关于Veridify Security公司超低能耗和抗量子化的低资源处理器
储能电池主要应用在哪些地方
杨元庆回应联想撤回上市申请质疑:完全不存在
使用单个超级电容器保持系统正常运行
光中继器,光中继器是什么意思
安世亚太推出基于LCD面成型技术的光固化3D打印机,可满足各行业应用
linux与window如何统一都显示为中国时区的时间
深圳首条MEMS中试线落地曝光!华为、华大基因等巨头入局?
搞事情,三星Note8渲染图最新曝光,这颜值简直要逆天了!
芯旺微电子获奇瑞协同创新特别贡献奖
AD9857数字上变频芯片在电力线通信发射机中的应用
机器人自动跟随技术实现前侧后方智能跟随,小车不乱转、运动顺畅+自主避障
pcb表面的出力工艺你会吗
5G技术的突破可以提供10倍于4G的峰值速率将是万物互联的重要保障