地址规划:
R1:(outside)
Loopback 0 :1.1.1.1/32
Fa0/0: 202.100.10.2/24 (outside)
R2(DMZ)
Loopback 0: 2.2.2.2/32
Fa0/0: 172.16.1.2/24
R3(inside)
Loopback0: 3.3.3.3/32
Fa0/0: 192.168.1.2/24
ASA1:
E0: 202.100.10.1/24
E1: 172.16.1.1/24
E2: 192.168.1.1/24
二 实验目的
检测防火墙inside,outside,dmz区域的安全级别。
三 实验过程
1.配置防火墙基本配置(接口ip,三个接口的路由)
测试内容:分别从R1,R2,R3ping对端防火墙的IP地址
测试结果:都能ping通。
R1#ping 202.100.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.100.10.1, timeout is 2 seconds:
!!!!!
R2#ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
R3#ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!!
2.不同区域之间ping 测试
R3ping R1的1.1.1.1不通
R3#ping 1.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
R3#
但是通过R1的debug信息显示,R1收到了R3过来的ping包,而且也进行了回应。
R1#
*Mar 1 01:50:27.615: IP: tableid=0, s=192.168.1.2 (FastEthernet0/0), d=1.1.1.1 (Loopback0), routed via RIB
*Mar 1 01:50:27.619: IP: s=192.168.1.2 (FastEthernet0/0), d=1.1.1.1, len 100, rcvd 4
*Mar 1 01:50:27.619: ICMP type=8, code=0
*Mar 1 01:50:27.623: IP: tableid=0, s=1.1.1.1 (local), d=192.168.1.2 (FastEthernet0/0), routed via FIB
*Mar 1 01:50:27.623: IP: s=1.1.1.1 (local), d=192.168.1.2 (FastEthernet0/0), len 100, sending
*Mar 1 01:50:27.627: ICMP type=0, code=0
*Mar 1 01:50:29.623: IP: tableid=0, s=192.168.1.2 (FastEthernet0/0), d=1.1.1.1 (Loopback0), routed via RIB
*Mar 1 01:50:29.627: IP: s=192.168.1.2 (FastEthernet0/0), d=1.1.1.1, len 100, rcvd 4
*Mar 1 01:50:29.627: ICMP type=8, code=0
但是为什么ping测试不成功呢? 从防火墙的日志进行分析:防火墙drop掉了从R1进来的回包。
ASA#
ASA# %ASA-7-609001: Built local-host inside:192.168.1.2
%ASA-7-609001: Built local-host outside:1.1.1.1
%ASA-6-302020: Built outbound ICMP connection for faddr 1.1.1.1/0 gaddr 192.168.1.2/45 laddr 192.168.1.2/45
ICMP echo request from inside:192.168.1.2 to outside:1.1.1.1 ID=45 seq=0 len=72
%ASA-3-106014: Deny inbound icmp src outside:1.1.1.1 dst inside:192.168.1.2 (type 0, code 0)
ICMP echo request from inside:192.168.1.2 to outside:1.1.1.1 ID=45 seq=1 len=72
同样三台路由器之间,任意两台路由器之间互ping都不能成功,防火墙都会拒绝包,R3pingR2时防火墙显示:
%ASA-3-106014: Deny inbound icmp src outside:202.100.10.2 dst dmz:2.2.2.2 (type 8, code 0)
Inside 安全级别为100,dmz为50,outside为0
从高级别向低级别ping,低级别设备能收到包,但是回包时被防火墙拒绝。
尝试修改了端口的安全级别
Inside和dmz都为100,互ping不成功,对端都收不到对方的ping包。
Dmz和outside都为0,互ping不成功,对端都收不到对方的ping包。
结论:默认情况下,高级别向低级别访问正常,低级别向高级别访问失败。同级别之间访问失败。
2添加策略后,按照步骤1同样ping测试。
access-list 101 extended permit icmp any any
将该策略应用在outside接口 in方向
access-group 101 in interface outside
R3和R2 ping R1的1.1.1.1成功:
R3和R2之间互ping失败。
将acl 101应用到dmz接口 in方向,R2和R3之间互ping正常。
当将acl 101应用到dmz接口 out方向,R2和R3之间互ping失败。
现在安全级别的理解应该很清晰了。
二.NAT实验
1.静态NAT
防火墙上添加静态NAT配置
static (inside,outside) 192.168.10.1 192.168.1.2 netmask 255.255.255.255
然后从R3pingR1的1.1.1.1成功,
R1的debug信息显示如下:
R1#
*Mar 1 02:29:08.579: IP: tableid=0, s=192.168.10.1 (FastEthernet0/0), d=1.1.1.1 (Loopback0), routed via RIB
*Mar 1 02:29:08.583: IP: s=192.168.10.1 (FastEthernet0/0), d=1.1.1.1, len 100, rcvd 4
*Mar 1 02:29:08.583: ICMP type=8, code=0
*Mar 1 02:29:08.587: IP: tableid=0, s=1.1.1.1 (local), d=192.168.10.1 (FastEthernet0/0), routed via FIB
*Mar 1 02:29:08.587: IP: s=1.1.1.1 (local), d=192.168.10.1 (FastEthernet0/0), len 100, sending
*Mar 1 02:29:08.591: ICMP type=0, code=0
*Mar 1 02:29:08.691: IP: tableid=0, s=192.168.10.1 (FastEthernet0/0), d=1.1.1.1 (Loopback0), routed via RIB
防火墙查看NAT转换:
ASA(config)# sh nat
NAT policies on Interface inside:
match ip inside host 192.168.1.2 outside any
static translation to 192.168.10.1
translate_hits = 2, untranslate_hits = 2
ASA(config)# %ASA-7-111009: User 'enable_15' exe
ASA(config)# sh xlate
1 in use, 3 most used
Global 192.168.10.1 Local 192.168.1.2
表示NAT成功。
从nat的配置可以看出global地址可以任意,但是如果到下一个网段,需要考虑转换后的地址是否有路由。本地地址需要考虑源地址,如果和源地址不一致不能匹配。下载本文
