安全级别:0-100
从高安全级别到低安全级别的流量放行的
从低安全到高安全级别流量禁止的
ASA防火墙的特性是基于TCP和UDP链路状态的,会话列表,记录出去的TCP或者UDP 流量,这些流量返回的时候,防火墙是放行的。
ASA防火墙的基本配置
!
interface Ethernet0/0
nameif inside
security-level 99
ip address 192.168.1.2 255.255.255.0
!
interface Ethernet0/1
nameif dmz
security-level 50
ip address 172.16.1.2 255.255.255.0
!
interface Ethernet0/2
nameif outside
security-level 1
ip address 200.1.1.2 255.255.255.0
ciscoasa# show nameif
Interface Name Security
Ethernet0/0 inside 99
Ethernet0/1 dmz 50
Ethernet0/2 outside 1
2、路由器上配置
配置接口地址
路由--默认、静态
配置VTY 远程登录
R3:
interface FastEthernet0/0
ip address 200.1.1.1 255.255.255.0
no shutdown
配置去内网络的路由
ip route 192.168.1.0 255.255.255.0 200.1.1.2配置去DMZ区域的路由
ip route 172.161.0 255.255.255.0 200.1.1.2
配置远程登录VTY
R3(config)#line vty 0 2
R3(config-line)#password 666
R3(config-line)#login
R2:
interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
no shutdown
配置默认路由
IP route 0.0.0.0 0.0.0.0 172.16.1.2
配置远程登录VTY
R3(config)#line vty 0 2
R3(config-line)#password 666
R3(config-line)#login
R2:
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
配置默认路由
IP route 0.0.0.0 0.0.0.0 192.168.1.2
配置远程登录VTY
R3(config)#line vty 0 2
R3(config-line)#password 666
R3(config-line)#login
R1可以Telnet R3 ,反过来不行
R1不可以ping通R3
防火墙放行流量
防火墙能放行R3低安全级别的---R1高安全级别区域--Telnet流量
ciscoasa(config)# access-list 100 permit tcp host 200.1.1.1 host 192.168.1.1 eq 23应用列表到接口
ciscoasa(config)# access-group 100 in interface outside
验证:
防火墙能放行R3低安全级别的---R1高安全级别区域--ICMP流量
ciscoasa(config)# access-list 100 permit icmp host 200.1.1.1 host 192.168.1.1
验证。