用EVE-NG平台做的思科传统防火墙的基本实验

一、实验设备以及实验拓扑：

二、 实验目的：

了解传统防火墙的部署场景

理解传统防火墙的包过滤策略

了解ASA防火墙的NAT配置

理解传统防火墙状态检测的作用

理解防火墙的路由模式部署场景

三、实验步骤及思路：


1. vpc的配置：

 

ip 192.168.10.1 255.255.255.0 192.168.10.254
ip dns 114.114.114.114

 

2. 接入层交换机IOL_SW的配置：

 

vlan 10
exit
int e0/0
switchport mode access
switchport access vlan 10
exit
int e0/1
switchport trunk encapsulation dot1q
switchport mode trunk

 

3. 核心/汇聚层交换机vIOS_SW的配置：

 

vlan 10
exit
int g0/0
switchport trunk encapsulation dot1q
switchport mode trunk
exit
ip routing

int vlan 10
ip address 192.168.10.254 255.255.255.0
no shut
int g0/1
no switchport
no shut
ip address 10.1.1.1 255.255.255.252
ip route 0.0.0.0 0.0.0.0 10.1.1.2

 

4. 服务器的配置：用路由器模拟一台开启TCP 23 端口和80 端口的服务器

 

int e0/0
ip add 192.168.2.88 255.255.255.0
no shut
no ip routing
ip default-gateway 192.168.2.1
ip name-server 114.114.114.114
ip http server
line vty 0 4 
no login
transport input telnet
exit

 

5. 公网边界区，ASA防火墙配置：
①基本配置，划分三个安全区域：

②防火墙路由配置：（配置静态路由）

③实现内网vpc可以上公网，使用动态NAT及配置：
方法一：用出接口做PAT

ASA防火墙默认不对ICMP做状态检测，需要开启ICMP状态检测，TCP/udp默认做状态检测，配置如下：

 

policy-map global_policy
class inspection_default
inspect icmp
exit

 

接下来，测试内网vpc访问外网：

④实现服务器区中服务器IOL_R3可以上公网，以便升级病毒库：

 

object network dmz
subnet 192.168.2.0 255.255.255.0
nat (dmz,outside) dynamic interface

 

服务器上网测试：

⑤实现服务器区中服务器R对外提供TCP 80端口WEB服务和TCP23端口 telnet服务，使用静态NAT及配置：
方法一：静态nat 1对1：

 

object network dmz1
host 192.168.2.88
nat  (dmz,outside)  static 192.168.81.138 

 

防火墙默认，不允许从低级别区域向高级别区域发起连接，则需要手工放通即ACL放通进来的流量（放通outside区域访问dmz区域流量）

 

access-list webtel permit tcp any host 192.168.2.88 eq 80
access-list webtel permit tcp any host 192.168.2.88 eq 23
access-group webtel in interface outside

 

接下来，在物理主机cmd上telnet 192.168.81.138

浏览器上进192.168.81.138:


至此，实验结束。

　　审核编辑：汤梓红