网站主页   操作系统    网络工程    服务器    网页制作    数据库    程序开发    网络安全    办公软件   
讲座日期: 本周六下午1点30分 抢座
讲座地点: 北大青鸟马甸校区
主讲老师: 王老师 金牌讲师
讲座主题: 网络安全
讲座内容: 检测、防御、黑客信息,如何过滤不安全的网站,如何防御黑客的进攻。
订座电话: 010-82011432/33
  您当前位置:主页 > 网络学院 > 服务器 > DNS服务器 >

详解 ASA基本配置与实验环境如何搭建(一)




详解 ASA基本配置与实验环境如何搭建(一)



同学们刚学网络安全,最大的困难是环境如何搭建,而且第二章的配置命令有很多,实验步骤也很多,很多同学不知道如何去练习第二章的配置命令,这里我总结了一下环境搭建和实验的步骤,同学们可以按这个做练习!一定事半功倍,哈哈!

拓扑:


此主题相关图片如下:
 
网络安全第二章实验:
1.
环境搭建:
准备3台虚拟机,小凡模拟器和ASA模拟器。
2.
添加4VMnet网卡用来桥接
3.
使用小凡计算桥接参数,并桥接到小凡正确的端口
4.
修改ASA的配置文件,把正确的网卡桥接到ASA正确的接口。
注意:ASA中的nic1对应的是e0/0口,nic2对应的是e0/1口,nic3对应的是e0/2nic4对应的是e0/3端口。
5.
调整PC1WebOut的网卡到正确的VMnet中去。
6.
启用ASA和小凡,在启用这两个模拟器的时候注意把禁用的VMnet网卡都开启,否则会出问题。
7.telnet
防火墙,就可以做实验了,telnet的端口默认是4000,现在就可以做实验了。
实验开始:
1.
按照书上P41页的要求,在WebOUt主机分别搭建WEB站点,在Out上搭建NDSWebPC1DNS指向Out
2.
配置ISP路由器
ISP路由器配置一条静态路由,指向的是ASA公有地址池。
3.
配置ASA的主机名、域名、特权密码和远程登录密码。注意:主机名和域名一会在配置SSH时要用来生成RSA密钥。
4.
配置ASA接口名字和Ip地址,并ping直连端口都可以通信。
5.
配置路由
配置默认路由是防火墙可以把数据包发给Internet上的任何网段。注意配置命令跟路由器不太一样
查看路由表:已经有了默认路由。

详解 ASA基本配置与实验环境如何搭建(二)

 

6.配置远程管理接入
  a)
配置telnet,允许内网192.168.0.0 的网段可以telnet防火墙。
注意telnet密码是使用passwd配置的密码
   
如果允许所有的主机都可以telnet
    telnet 0 0 inside
   
允许一台主机
    telnet 192.168.0.1 255.255.255.255 inside
  b
)配置SSH接入。
   
先配置主机名和域名,在这里已经配置了
   
生成RSA密钥
   
配置允许谁可以使用SSH远程登录,内网192.168.0.1的网段和外网所有的主机可以使用SSH远程登录。
   
注意:默认的用户名:pix,密码是使用passwd配置的密码。
  c)
配置可以使用ASDM接入
    1.
配置防火墙允许HTTPS接入,http server enable 后面可以跟端口号,如果不跟端口号默认443端口。
    2.
配置允许192.168.0.0的网段可以通过HTTP接入
    3.
指定asdm映像的位置
    4.
配置远程管理的用户名、密码和权限,15为所有权限
    5.
使用HTTPS://192.168.0.254访问防火墙。
下载ASDM客户端,并安装,注意需要j2re-1_4_2_16-windows-i586-p软件的支持。
   
由于ASA模拟器不能够识别ASDM的版本,所以无法管理,如果是真设备就没有问题了
   
可以借助:Fiddler2软件来解决这个问题。安装这个软件,做一些配置就可以了,不过太麻烦了,这里不做演示了,同学们可以用真设备来学校做实验。
7.
配置NAT
 
启用NAT控制功能。
 
对内网中所有的主机实施NAT
 
配置PAT,把防火墙的外端口地址加入到PAT地址池中,使内网主机可以使用该地址访问Inside
 
dmz接口配置一个地址池,192.168.1.100-192.168.1.110,内网中的主机可以访问dmz的服务器。
8.
配置ACL
   
禁止内网中192.168.0.1-192.168.0.15的主机访问outside.
   
内网中主机不可以访问外网了。修改PC1Ip地址192.168.0.16pc1又可以访问外网了。
   
注意:ASA跟路由器上配置ACL的区别:不用通配符掩码,而用子网掩码。应用到接口的命令也不太一样。
 
配置静态NAT
   
配置static natACL使外网中的主机可以访问dmz区域服务器的www服务。
9.
其他配置
    a)
配置ASA允许ICMP报文能够穿越防火墙,是内网的主机能够ping通外网
    b)
保存和清除防火墙的配置,比较简单这里不做演示了
10.
配置URL过滤,使内网中的主机只能够访问.out.com结尾的网站,而不能够访问其他网站。
   
现在外网配置两个WEB站点,通过不同的主机头来区分。测试内网中的主机所有的网站都可以访问
   
配置URL过滤:
    a)
配置一个类映射去调用ACL,用于识别流量
     
再配置一个类映射,调用一个正则表达式
     
配置第三个类映射,用来检测http流量,并调用第二个类映射
    b)
配置策略映射http_url_policy,并定义策略
     
配置第二个策略映射
    c)
把第二个策略映射应用到接口
    pc1
只能访问.out.com而不能访问www.kkgame.com的网站了。
11.
日志管理
   
配置日志服务器为pc1,需要安装Kiwi Syslog Daemon软件。
   
关闭接口e0/2,查看日志
    Kiwi Syslog Daemon
软件已经接收到了相应的日志记录。
12.
配置ASA的安全功能
     a)ASA
的基本威胁检测,默认是开启的
     b)
配置ASA防范IP分片攻击
     c)
配置IDS,并应用到接口


上一篇:构建DNS服务器简易指南  
下一篇:没有了
相关信息:

·DNS维护一点通 ·如何在Linux服务器上设置DNS
·DNS的一些相关基础知识 ·如何在Linux上建立DNS服务器
·DNS维护一点通 ·如何在Linux服务器上设置DNS
·DNS的一些相关基础知识 ·如何在Linux上建立DNS服务器

Copyright © 2002-2015 版权所有
学校地址:北京市海淀区西三旗建材城中路29号北大青鸟
招生热线:010-82011433/32 京公网安备110102004704  京ICP备05043413号 京公网安备110102004704