ASA5200的NAT旁路访问DMZ区域!

最新推荐文章于 2024-03-15 10:39:49 发布
原创 最新推荐文章于 2024-03-15 10:39:49 发布 · 330 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Access #Cisco

本文探讨了在Cisco ASA防火墙中使用NAT时遇到的问题,即无法直接使用deny语句阻止特定源到目的地址的流量。通过研究发现,可以采用旁路规则的方式绕过这一限制,实现对DMZ区域访问的有效控制。

最近开始搞cisco ASA设备,发现在nat的acl中无法使用deny语句实现对dmz区域的访问:


access-list natlist-1 extended deny ip 172.17.0.0 255.255.0.0 172.17.6.0 255.255.255.0
access-list natlist-1 extended permit ip 172.17.0.0 255.255.0.0 any
nat (inside) 1 access-list natlist-1
ciscoasa(config)# nat (inside) 1 access-list natlist-1
ERROR: Deny rules not supported in Policy Nat

 

经过上网搜索和查看8.2版本的ASA文档得知,可以通过nat()0 的方式对访问DMZ区域流量进行旁路规则:

access-list natlist extended permit ip 172.17.0.0 255.255.255.0 any
nat (inside) 1 access-list natlist

access-list exempt extended permit ip any 172.17.6.0 255.255.255.0
nat (inside) 0 access-list exempt

【软路由】旁路由使用配置教程
博客
05-01 4万+
【软路由】旁路由使用配置教程简介旁路由好处旁路由配置步骤1、修改管理地址网段 简介 我们都知道,软路由一般有两种使用方式,一种是作为承担DHCP分配的主路由,而另一种就是作为不承担DHCP分配功能的旁路由使用。今天就来介绍如何将软路由配置成为旁路由旁路由好处 旁路由最大的好处就是它不承担DHCP分配任务,这意味着它的对网络的影响极小。即使突然故障也不会导致整个网络瘫痪。更别提软路由的配置复杂,用户可能还经常修改上面的网络配置,一旦出错就是整个网络瘫痪,如果家中还有其他人使用网络,影响实在是不好。 建议有
ipsec vpn 旁路nat,使用ike密钥交换
文强的博客
06-06 2213
实现总部和分部PC互通 互联网路由器: system interface GigabitEthernet0/0/0 ip address 1.1.1.2 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 2.2.2.2 255.255.255.0 AR1: system sysname AR1 ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 #上互联网的路由,配置到对端公网IP路由 ike prop
Linux 同个局域网子网内,旁路由NAT配置
liulilittle的博客
02-23 2081
正确配置,但仍旧无法访问网络,那么您可以检查是否存在 Docker, 若存在,卸载 Docker,这是因为 Docker 会改变,Linux 内核 SNAT 路由配置,这或破坏,旁路由配置。若有可能的情况下,人们应该使用嵌入式的 Debian 操作系统,因为它可以占用更少的资源,挤出更多硬件资源为应用程序、及内核SNAT路由转发服务。2、配置为旁路由的 Linux 设备(推荐用 Debian、Ubuntu、CentOS,不推荐 OpenWrt)永久配置自己改改,本文只说临时路由配置。3、主路由配置子网段。
ASA 5200防火墙配置
weixin_34081595的博客
01-17 191
interface GigabitEthernet0/0nameif outside_40Msecurity-level 0ip address x.x.x.x 255.255.255.252!interface GigabitEthernet0/1nameif outside_10Msecurity-level 0ip address x.x.x.x 255.2...
set cisco asa 5200 syn flood
经验之谈,不做搬运工
11-19 353
http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a00808b4d46.html Modular Policy Framework Administrators can also implement TCP Intercept using the Modular...
15-思科防火墙:TCP状态化旁路
weixin_34384915的博客
07-07 757
一、实验拓扑:二、实验要求:默认情况Outside流量放行(TCP、UDP流量),Inside流量全部被干掉。为什么能通呢?因为流量从同一个ASA出去,再从同一个ASA回来。现在R1、R2分别有默认路由,所以发包、回包的路由条目是没问题的。既然这样,R1的默认路由可以直接指向R2,这样的话:数据流量就会出现问题。因为出去的时候,流量经过ASA,回包的时候因为一些问题,没有经过ASA就直接到了Ins...
旁路由设置的正确方式
热门推荐
vmp_jin的专栏
12-16 6万+
最近在玩旁路由,踩了一些坑,也学习了点相关知识,特整理记录下。 一、旁路由的配置 上图是旁路由的连接方式,一般作为旁路由的只有一个LAN口,可以把它想成一个普通的连接路由器的电脑。让他们ip在一个网段即可,比如主路由网关192.168.3.1,旁路由配置成192.168.3.2 1.主路由配置:DHCP配置,把网关和DNS改成旁路由ip地址,如192.168.3.2。 2.旁路由配置:关闭DHCP,把网关改成主路由地址,如192.168.3.1,关闭桥接模式。 这样配置后,网络流量如下图: .
NAT详解
zjdda的博客
04-15 4847
这是一篇介绍NAT技术要点的精华文章,来自华3通信官方资料库,文中对NAT技术原理的介绍很全面也很权威,对网络应用的应用层开发人员而言有很高的参考价值。
路由器中DMZ、UPnP、Port Forwarding等功能介绍与使用
瓜洲的博客
08-08 2万+
正常情况下,外网设备是无法主动访问内网192.168.1.33,为了能让外网设备访问内网Web Server,可以在路由器上配置一条Port Forwarding规则,将目标为172.25.24.10:80的封包经过DNAT后修改为192.168.1.33:80的封包,这样外网访问172.25.24.10:80就能自动转到内网的Web Server了。自动端口映射:UPnP 可以自动配置路由器上的端口映射,使位于局域网内的设备可以通过互联网访问特定的服务,如在线游戏、远程桌面、P2P 文件共享等。
ASA禁止syslog NAT地址转换测试
weixin_33910759的博客
05-01 215
1.拓扑图   为了审计的需要,syslog的源地址必须设备实际地址,而因为其他方面原因,syslog服务器又不能放在内网。 2.接口配置: R1: R1(config)#int f0/0 R1(config-if)#ip add 10.1.1.18 255.255.255.0 R1(config-if)#no sh R2: R2(config)#int f0...
NAT基本原理及穿透详解(打洞)
qq_64162562的博客
03-15 5572
本文主要是摘录了网上许多其他文章的内容并进行了整理,信息略多。NAT(Network Address Translation,网络地址转换), 用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信。NAT的使用是为了解决公网IP有限及局域网安全性的问题。实际上NAT分为基础型NAT(静态NAT即Static NAT,动态NAT即Dynamic NAT/Pooled NAT)和NAPT。
防火墙-nat-IDS
weixin_46516401的博客
04-18 817
IDS------防火墙----nat
详解DMZ的部署与配置:ISA2006系列之二十九
weixin_33795833的博客
09-25 1029
DMZ的部署及配置 DMZ是Demilitarized Zone的缩写,俗称非军事化隔离区。DMZ是一个位于内网和外网之间的特殊区域,一般用于放置公司对外开放的服务器,例如Web服务器,Ftp服务器,邮件服务器等。其实从ISA的角度来看,DMZ就是一个网络。有些朋友可能会有些疑问,为什么不把这些服务器直接放到内网呢?为什么需要DMZ这个单独的网络呢?被发布的服务器放在内网是可以的,我们在前面的博...
NAT概述
weixin_34059951的博客
01-15 2310
1 IPv4协议和NAT的由来 今天,无数快乐的互联网用户在尽情享受Internet带来的乐趣。他们浏览新闻,搜索资料,下载软件,广交新朋,分享信息,甚至于足不出户获取一切日用所需。企业利用互联网发布信息,传递资料和订单,提供技术支持,完成日常办公。然而,Internet在给亿万用户带来便利的同时,自身却面临一个致命的问题:构建这个无所不能的Internet的基础IPv4协议已经不能再提供新的网...
NAT技术研究
dualvencsdn的博客
08-18 1569
这样,当报文到达公网侧的目的主机时,应用层协议中携带的信息就是NAT网关提供的地址和端口。其特点为:NAT网关会把内部主机“地址端口对”和外部主机“地址端口对”完全相同的报文看作一个连接,在网关上创建一个公网“地址端口对”映射进行转换,只有收到报文的外部主机从对应的端口对发送回应的报文,才能被转换。因为应用协议的数量非常多而且在不断发展变化之中,添加到设备中的ALG功能都是为特定协议的特定规范版本而开发的,协议的创新和演进要求NAT设备制造商必须跟踪这些协议的最近标准,同时兼容旧标准。...
Cisco ASA站点间穿越nat互相访问的实验
weixin_34399060的博客
02-02 447
1、实验拓扑图:1、实验说明:R1作为A公司的站点1,内部有台1.1.1.1/32的服务器需要A公司站点2的管理员实行远程telnet的设备管理;R5作为A公司的站点2,内部有台2.2.2.2/32的服务器需要A公司站点1的管理员实行远程telnet的设备管理;设备之间都有ASA防火墙的安全保护,R2作为互联网的一台路由器;2、实验配置:R1#show runuse...
关于旁路由设置后,主路由WIFI无法上网的问题
落叶秋风早的博客
01-02 5万+
前言 旁路由设置好后,手机、电脑连接主路由WIFI,会无法访问外网。 但是,如果电脑用网线连接主路由,则可以正常上网。 这究竟是怎么一回事儿呢? 1. 旁路由解释 旁路由旁路由其实并不是路由,路由是用来连接不同网络的,最常用的就是用来连接互联网和局域网。旁路由起到的主要是网关的作用,是用来分流数据和扩展插件的。因此,严谨一点的叫法应该是 旁路网关,只是大家好像约定俗成了都叫做旁路由,所以我们这里也跟着叫旁路由,但是要明白它的核心是网关而不是路由。 2. 网络流量示意图 如图所示,对于普通流量,由于旁路
服务器、客户端 、DMZ
weixin_41048746的博客
09-30 688
转https://zhidao.baidu.com/question/585191668.html 公司有一堆电脑,但可以归为两大类:客户机、服务器。所谓客户机就是主动发起连接请求的机器,所谓服务器就是被动响应提供某些服务的机器。服务器又可以分仅供企业内网使用和为外网提供服务两种。 所以,如果把您的对外提供服务的服务器放到企业内网,一旦被攻陷入侵,黑客就可以利用这台机器(肉机)做跳版,利用局域网...
ASA NAT 新旧版本区别
weixin_33898876的博客
06-05 376
ASA 8.3 以后,NAT 算是发生了很大的改变,之前也看过8.4 的ASA,改变的还有×××,加入了Ikev2 。MPF 方法加入了新的东西,QOS 和策略都加强了,这算是Cisco把CCSP 的课程改为CCNPSecurity 的改革吧!拓扑图就是上面的,基本配置都是一样,地址每个路由器上一条默认路由指向ASA。基本通信没问题,关于8.3 以后推出了两个概念,一...
ensp上untrust区域如何访问dmz区域
最新发布
04-02
<think>好的,我现在需要帮助用户解决在ENSP中配置从Untrust区域访问DMZ区域的问题。首先,我得回忆一下防火墙的区域划分和策略配置的基本知识。根据用户提供的引用内容,Trust区域是内部可信区域,Untrust是不可信的外部区域,而DMZ则是放置对外服务的区域,比如Web服务器。通常,默认情况下,Untrust不能直接访问Trust,但可能需要访问DMZ。 用户的问题是要让Untrust区域能够访问DMZ区域,所以需要配置适当的安全策略。首先,我得确认在ENSP中如何设置区域间策略。根据引用中的命令,安全策略规则需要指定源区域和目标区域,这里是源是Untrust,目标是DMZ。然后需要允许特定的服务或端口,比如HTTP或HTTPS。 接下来,可能需要检查接口是否正确划分到相应的区域。例如,连接外部网络的接口应该属于Untrust区域,而DMZ区域的接口连接到服务器。如果接口划分错误,策略可能不会生效。 另外,要确保策略的动作是允许(permit),并且规则的顺序正确,因为防火墙通常按顺序匹配规则。如果有其他拒绝规则在之前,可能会阻止流量。同时,可能需要配置NAT,尤其是当DMZ服务器的IP是私有地址时,需要做目的NAT转换,将公网IP映射到内部服务器地址。 还要考虑是否启用了域间策略默认动作,如果默认是拒绝的话,必须显式允许Untrust到DMZ的流量。此外,测试配置是否生效,可以通过ping或访问服务来验证,但需注意防火墙可能默认禁止ping,需要额外允许ICMP。 现在,我需要把这些步骤整理成一个清晰的流程,确保用户能够逐步操作。同时,生成相关的问题,帮助用户深入理解配置背后的原理和可能遇到的问题。</think>在eNSP中配置从Untrust区域访问DMZ区域需要通过安全策略实现域间访问控制,以下是具体步骤: ### 配置步骤 1. **划分安全区域** - 将连接互联网的接口加入Untrust区域:`[FW] interface GigabitEthernet 0/0/1` → `[FW-GigabitEthernet0/0/1] zone untrust` - 将服务器接口加入DMZ区域:`[FW] interface GigabitEthernet 0/0/2` → `[FW-GigabitEthernet0/0/2] zone dmz` 2. **创建安全策略** ```python [FW] security-policy [FW-policy-security] rule name untrust_to_dmz # 创建规则名称 [FW-policy-security-rule-untrust_to_dmz] source-zone untrust # 源区域 [FW-policy-security-rule-untrust_to_dmz] destination-zone dmz # 目标区域 [FW-policy-security-rule-untrust_to_dmz] action permit # 允许流量 [FW-policy-security-rule-untrust_to_dmz] service http https # 允许的服务类型 ``` 3. **配置NAT转换**(若DMZ使用私有地址) ```python [FW] nat-policy interzone untrust dmz [FW-policy-nat-interzone-untrust-dmz] policy 0 [FW-policy-nat-interzone-untrust-dmz-0] action nat server # 启用NAT服务 [FW-policy-nat-interzone-untrust-dmz-0] protocol tcp # 协议类型 [FW-policy-nat-interzone-untrust-dmz-0] global 202.100.1.100 80 # 公网IP及端口 [FW-policy-nat-interzone-untrust-dmz-0] inside 192.168.1.100 8080 # 内网IP及端口 ``` ### 验证配置 1. 执行`display security-policy rule all`查看策略是否生效 2. 从外网测试访问:`telnet 202.100.1.100 80` 3. 抓包检查流量路径:`capture-packet interface GigabitEthernet 0/0/2` ### 注意事项 - 默认域间策略为拒绝时需手动放行流量[^2] - DMZ到Trust区域访问仍需单独策略控制 - 建议开启日志记录功能`logging enable`用于故障排查
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值