ASA8.4的Inside区域同时访问DMZ公网地址和真实地址测试

最新推荐文章于 2021-01-05 13:51:22 发布
最新推荐文章于 2021-01-05 13:51:22 发布
阅读量427 收藏 1
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_34259232/article/details/85094673
本文介绍了一种利用ASA防火墙进行Twice-NAT配置的方法,使得内部网络可以通过转换访问DMZ区域的真实地址。通过详细步骤说明如何设置静态NAT及Twice-NAT,并验证配置的有效性。

一.测试拓扑

   R1---Outside----ASA842----Inside-----R2

                                    |

                                  DMZ

                                    |

                                  R3


二.测试思路

  利用ASA的twice nat实现访问DMZ的公网地址时转向DMZ的真实地址。

三.基本配置

A.R1:

interface FastEthernet0/0
 ip address 202.100.1.1 255.255.255.0
 no shut

B.R2:

interface FastEthernet0/0
 ip address 10.1.1.1 255.255.255.0

 no shut

ip route 0.0.0.0 0.0.0.0 10.1.1.10

C.R3:

interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.0

 no shut

ip route 0.0.0.0 0.0.0.0 192.168.1.10

line vty 0 4

 password cisco

 login

D.ASA842:

interface GigabitEthernet0
 nameif Outside
 security-level 0
 ip address 202.100.1.10 255.255.255.0
 no shut
interface GigabitEthernet1
 nameif DMZ
 security-level 50
 ip address 192.168.1.10 255.255.255.0
 no shut
interface GigabitEthernet2
 nameif Inside
 security-level 100
 ip address 10.1.1.10 255.255.255.0
 no shut

四.ASA静态NAT,twice-NAT和策略配置

A.定义对象:

object network R3-dmz
 host 192.168.1.1
object network R3-outside
 host 202.100.1.8
object network Inside-net
 subnet 10.1.1.0 255.255.255.0

B.配置DMZ到Outside的静态NAT:

object network R3-dmz
    nat (DMZ,Outside) static R3-outside

C.配置inside到DMZ的的twice-nat:

nat (Inside,DMZ) source static Inside-net Inside-net destination static R3-outside R3-dmz

D.配置并应用outside接口策略:

-----Inside访问DMZ默认放行

access-list Outside extended permit ip any object R3-dmz
access-group Outside in interface Outside

五.验证:

A.从Ouside访问DMZ的公网地址:

R1#telnet 202.100.1.8
Trying 202.100.1.8 ... Open


User Access Verification

Password:
R3>show users
    Line       User       Host(s)              Idle       Location
   0 con 0                idle                 00:14:22   
*  2 vty 0                idle                 00:00:00 202.100.1.1

  Interface    User               Mode         Idle     Peer Address

R3>

B.从Inside访问DMZ的公网地址:

R2#telnet 202.100.1.8
Trying 202.100.1.8 ... Open


User Access Verification

Password:
R3>show users
    Line       User       Host(s)              Idle       Location
   0 con 0                idle                 00:16:37   
*  2 vty 0                idle                 00:00:00 10.1.1.1

  Interface    User               Mode         Idle     Peer Address

R3>

C.从Inside访问DMZ真实地址:

R2#telnet 192.168.1.1
Trying 192.168.1.1 ... Open


User Access Verification

Password:
R3>show users
    Line       User       Host(s)              Idle       Location
   0 con 0                idle                 00:17:03   
*  2 vty 0                idle                 00:00:00 10.1.1.1

  Interface    User               Mode         Idle     Peer Address

R3>


【路由交换】思科5506防火墙三区域互通
baidu_22774701的博客
10-24 5685
思科 5506 inside outside dmz 互通
ASA防火墙之NAT的实例配置
热门推荐
Stephen_jj的博客
04-30 1万+
ASA防火墙之NAT的实例配置 关于nat的知识点我们在讲路由器的时候已经讲述过了,具体为啥配置NAT技术这里不再讲述,本篇讲述的关于ASA防火墙的各个NAT配置实例的分析,包括static NAT、network static NAT、static PAT、static NAT DNS rewrite、dynamic NAT、dynamic PAT、twice NAT。 动态NAT(dynami...
内网访问DMZ映射后的公网地址--ASA8.0
weixin_34232363的博客
02-04 296
http://www.routsec.com/?p=80 一共三种方法: 1)      Alias command 2)      DNS re-write using Static command 3)      Hairpinning traffic with DNAT 前两种需要用域名访问,并且DNS服务器在外网,通过改写DNS记录,实际做了源地址转换,用DMZ接口地址访问DM...
Cisco ASA 5510 从inside访问dmz
weixin_33766168的博客
11-27 1026
拓扑很简单. 一台5510配置了2个接口,1个inside口(10.0.0.0/8),1个dmz口(20.0.0.0/8),两个接口下各接了一台PC地址为10.0.0.220.0.0.2,配置如下: interface Ethernet0/2 nameif dmz security-level 50 ip address 20.0.0.1 255.0.0.0 ...
思科ASA防火墙8.4版本NAT的配置方法(转自新浪 刀光剑影)
weixin_33998125的博客
10-05 1422
思科ASA防火墙8.4版本NAT的配置方法ASA防火墙新版本8.4-工程实用手册注意,现在思科ASA防火墙已经升级到8.4,从8.3开始很多配置都有颠覆性的不同,特别是NAT配置很不一样,使用了object /object-group的新方式这里为了大家工程实施起来方便,特别总结了如下NAT应用,希望能够帮助大家。ASA 8.3 NAT 转化新语法:Topology :...
网络安全篇 ASA的管理访问-06
佐德将军的博客
01-05 1426
实验难度 3 实验复杂度 4 一、实验原理 ASA防火墙的管理方式有很多种,比如有Telnet、SSH、HTTPS、SNMP等,现在我们在进行实验的时候主要是使用Telnet的方式进行管理的。当然除了使用远程的方式进行管理外,我们也可以使用带外网管,在初始化设备时,是需要使用这种方式来管理配置的。ASA的带外网络管口的特点与建议如下: 1.可以配置任何一个接口成为专用的管理接口; 2.流量不能够穿越管理接口,但是可以到达; 3.需要应用管理访问策略来允许访问...
关于Cisco ASDM中配置STATIC NAT顺序的问题-By 年糕泰迪
qq_38461724的博客
06-29 734
在使用ASDM配置外网到内网的STATIC NAT时需要注意其配置的顺序,否则配置的该NAT策略不会生效,具体参看下图,测试结论在文末说明。 上图中的NAT配置只有三条,先配置了内网到外网的NAT(1),再配置了DMZ到外网的NAT(2),最后配置了外网到DMZ的NAT(3)。 以上NAT配置后,测试内网到外网,DMZ到外网的的连通性均正常,只有DMZ映射出去的www服务在外网无法测试访问(排除outside ACL路由问题,已放行)。 在外网测试结果如下,无法联通。 接下来将外网到DMZ的映射条目调
思科ASA防火墙让内网用户能通过域名访问内网WEB服务器
海笑天涯
04-08 8554
当主机与某WEB服务器同在防火墙的INSIDE口,但DNS服务器只存在于公网中,(OUTSIDE口)且防火墙上对内网的WEB服务器进行了静态NAT映射以与外界通信并被外界DNS解析,为了防止本地用户在访问WEB服务器URL时被外网解析DNS为防火墙映射公网地址,需要对外网DNS reply进行修改。 1.用户穿过查询web服务器DNS 2.DNS回应给用户WEB服务器的公网地址 3.
inside、outsidedmz之间的访问
weixin_30716141的博客
09-22 889
 现有条件:100M宽带接入,分配一个合法的IP(222.134.135.98)(只有1个静态IP是否够用?);Cisco防火墙PiX515e-r-DMZ-BUN1台(具有Inside、Outside、DMZ三个RJ45接口)!请问能否实现以下功能:   1、内网中的所有用户可以防问InternetDMZ中的WEB服务器。   2、外网的用户可以防问DMZ区的Web平台。   3、DMZ...
DMZ
weixin_34112208的博客
05-05 621
DMZ区 基本介绍   DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服...
思科asa5515端口映射_思科防火墙ASA端口映射
weixin_39759441的博客
12-21 698
ASA 端口映射:将DMZ区内的主机192.168.169.2映射到防火墙outside接口的interface地址:设置需要映射的主机object network server1host 192.168.169.2设置需要映射的端口ciscoasa(config)# object service 3389ciscoasa(config-service-object)# service tcp s...
利用ASA的Twice NAT解决内网无法访问映射后的公网地址
weixin_33809981的博客
07-30 1027
.概述:    默认情况下,不管是Inside还是DMZ区映射到Outside区的地址或服务,InsideDMZ区都无法通过映射后地址访问内部服务器。ASA8.3版本之后有一种新的NAT叫Twice-NAT,它可以在一个NAT语句中既匹配源地址,又匹配目标地址,并且可以对源地址、目标地址,端口号,三个参数中一~三个参数的转换。二.基本思路:A.Inside区映射到Outside区①Outsi...
思科防火墙ASA端口映射
weixin_30929195的博客
04-18 592
ASA 端口映射: 将DMZ区内的主机192.168.169.2映射到防火墙outside接口的interface地址: 设置需要映射的主机 object network server1 host 192.168.169.2 设置需要映射的端口 ciscoasa(config)# object service 3389 ciscoasa(config-service-object...
ASA防火墙 NAT新版老版的配置方法对比
weixin_33759269的博客
09-20 502
ASA 8.3 以后,NAT 算是发生了很大的改变,之前也看过8.4ASA,改变的还有×××,加入了Ikev2 。MPF 方法加入了新的东西,QOS 策略都加强了,这算是Cisco把CCSP 的课程改为CCNPSecurity 的改革吧!拓扑图就是上面的,基本配置都是一样,地址每个路由器上一条默认路由指向ASA。基本通信没问题,关于8.3 以后推出了两个概念,一个...
ASA NAT 新旧版本区别
weixin_33898876的博客
06-05 369
ASA 8.3 以后,NAT 算是发生了很大的改变,之前也看过8.4ASA,改变的还有×××,加入了Ikev2 。MPF 方法加入了新的东西,QOS 策略都加强了,这算是Cisco把CCSP 的课程改为CCNPSecurity 的改革吧!拓扑图就是上面的,基本配置都是一样,地址每个路由器上一条默认路由指向ASA。基本通信没问题,关于8.3 以后推出了两个概念,一...
ASA 5525X NAT 问题
jinspo的专栏
11-19 5028
先上配置: DORM-ASA5525# sh run  : Saved : ASA Version 8.6(1)2  ! hostname DORM-ASA5525 enable password 3Kx6i0ZjebTlNnOn encrypted passwd uQKhs3FzwvMk3o3b encrypted names ! interface GigabitEthe
配置ASA实现内网、DMZ外网的访问
weixin_34008784的博客
01-16 2762
配置ASA实现内网、DMZ外网之间的访问需求描述1、只能从PC1通过SSH访问ASA2、从PC1可以访问outsidedmz区的网站,从Out主机可以访问DMZ区的Web站点3、从PC1可以ping通Out主机实现思路1)在ASA上配置只允许PC1进行SSH接入2)配置natglobal命令实现从PC1可以访问outsidedmz区的网站,配置staticac...
配置ASA实现内网、Dmz外网的访问
weixin_34309435的博客
08-21 999
需求描述 只能从PC1通过SSH访问ASA 从PC1可以访问outsidedmz区的网站,从Out主机可以访问DMZ区的Web站点 从PC1可以ping通Out主机 实现思路 在ASA上配置只允许PC1进行SSH接入 配置natglobal命令实现从PC1可以访问outside ...
ensp上untrust区域如何访问dmz区域
最新发布
04-02
<think>好的,我现在需要帮助用户解决在ENSP中配置从Untrust区域访问DMZ区域的问题。首先,我得回忆一下防火墙的区域划分策略配置的基本知识。根据用户提供的引用内容,Trust区域是内部可信区域,Untrust是不可信的外部区域,而DMZ则是放置对外服务的区域,比如Web服务器。通常,默认情况下,Untrust不能直接访问Trust,但可能需要访问DMZ。 用户的问题是要让Untrust区域能够访问DMZ区域,所以需要配置适当的安全策略。首先,我得确认在ENSP中如何设置区域间策略。根据引用中的命令,安全策略规则需要指定源区域目标区域,这里是源是Untrust,目标是DMZ。然后需要允许特定的服务或端口,比如HTTP或HTTPS。 接下来,可能需要检查接口是否正确划分到相应的区域。例如,连接外部网络的接口应该属于Untrust区域,而DMZ区域的接口连接到服务器。如果接口划分错误,策略可能不会生效。 另外,要确保策略的动作是允许(permit),并且规则的顺序正确,因为防火墙通常按顺序匹配规则。如果有其他拒绝规则在之前,可能会阻止流量。同时,可能需要配置NAT,尤其是当DMZ服务器的IP是私有地址时,需要做目的NAT转换,将公网IP映射到内部服务器地址。 还要考虑是否启用了域间策略默认动作,如果默认是拒绝的话,必须显式允许UntrustDMZ的流量。此外,测试配置是否生效,可以通过ping或访问服务来验证,但需注意防火墙可能默认禁止ping,需要额外允许ICMP。 现在,我需要把这些步骤整理成一个清晰的流程,确保用户能够逐步操作。同时,生成相关的问题,帮助用户深入理解配置背后的原理可能遇到的问题。</think>在eNSP中配置从Untrust区域访问DMZ区域需要通过安全策略实现域间访问控制,以下是具体步骤: ### 配置步骤 1. **划分安全区域** - 将连接互联网的接口加入Untrust区域:`[FW] interface GigabitEthernet 0/0/1` → `[FW-GigabitEthernet0/0/1] zone untrust` - 将服务器接口加入DMZ区域:`[FW] interface GigabitEthernet 0/0/2` → `[FW-GigabitEthernet0/0/2] zone dmz` 2. **创建安全策略** ```python [FW] security-policy [FW-policy-security] rule name untrust_to_dmz # 创建规则名称 [FW-policy-security-rule-untrust_to_dmz] source-zone untrust # 源区域 [FW-policy-security-rule-untrust_to_dmz] destination-zone dmz # 目标区域 [FW-policy-security-rule-untrust_to_dmz] action permit # 允许流量 [FW-policy-security-rule-untrust_to_dmz] service http https # 允许的服务类型 ``` 3. **配置NAT转换**(若DMZ使用私有地址) ```python [FW] nat-policy interzone untrust dmz [FW-policy-nat-interzone-untrust-dmz] policy 0 [FW-policy-nat-interzone-untrust-dmz-0] action nat server # 启用NAT服务 [FW-policy-nat-interzone-untrust-dmz-0] protocol tcp # 协议类型 [FW-policy-nat-interzone-untrust-dmz-0] global 202.100.1.100 80 # 公网IP及端口 [FW-policy-nat-interzone-untrust-dmz-0] inside 192.168.1.100 8080 # 内网IP及端口 ``` ### 验证配置 1. 执行`display security-policy rule all`查看策略是否生效 2. 从外网测试访问:`telnet 202.100.1.100 80` 3. 抓包检查流量路径:`capture-packet interface GigabitEthernet 0/0/2` ### 注意事项 - 默认域间策略为拒绝时需手动放行流量[^2] - DMZTrust区域访问仍需单独策略控制 - 建议开启日志记录功能`logging enable`用于故障排查
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值