gns3 模拟asa防火墙配置(详细教程)
设计目标:信息安全,使用asa防火墙,网络拓扑如下图。要求内部局域网用户共享nat上网,dns使用isp的dns服务器,web服务器放在dmz区域。拓扑图如下:
区域web服务器上安装windows2003系统(虚拟网卡为vnet1),启用iis6.0搭建。
区域web_dns服务器上安装windows2003系统(虚拟网卡为vnet2),启用iis使用不同主机头搭建并配置dns服务器(由于内存有限配置在同一台服务器),负责解析地址为200.1.1.
253/29), ip地址为200.2.2.
1/24)。
3.在pc1(虚拟网卡为vnet3)安装windows2003系统,配置dns指向200.2.2.1。
4. asa开启telnet、ssh服务器,允许inside区域内pc1(ip:192.168.0.1)访问管理设备。
5. asa配置asdm(自适应安全设备管理器),允许inside区域内192.168.0.0/24网段使用https接入。
6. asa配置inside用户共享nat上网,配置acl策略限制192.168.0.200-254/24访问外网。
配置静态nat使outside用户访问dmz区域的websrv
配置url访问策略,ip地址范围在192.168.0.1-192.168.0.15中的主机只能访问和不能访问其它任何**。
9.禁止所有主机访问。
注:红色部分将提供详细的实验步骤,并在步骤中提供相应的软件**链接)
实施步骤:一、使用虚拟机搭建iis**,配置**的dns解析(如会搭建可跳第二步-p10)
1.首先是安装配置2003的iis应用程序和dns服务器。
2.搭建inside和outside区域的web服务器。
后面的设置使用默认设置完成就可以了,接下来肯定就是新建网页文件,和配置**的默认启用的文档。
3.配置outside的dns服务。
正向查找区域建立后,建立主机解析。
在iis和dns的搭建完成后就可通过浏览器浏览网页。
二、gns3的基础配置。
1 、c3640镜像配置。
**文件,文件地址如下:
gns3中选择“编辑” -ios和hypervisors” -iso” 选项卡,如图 :
2、模拟pc&websrv图标配置。
gns3中选择“编辑” -标示符管理器”,如图 :
3、asa镜像配置。
**解压过的 文件,实验中使用的解压后的 kernel 是 ,启动文件 initrd 使用单模式 asa ,请** ;使用多模式 asa 请** 。****解压过的 文件地址如下:
gns3中选择“编辑” -首选项” -qemu ” asa” 选项卡,如图 :
注:initrd选择: ,qemu option填入:-hdachs 980,16,32 -vnc :1)
三、搭建实验拓扑图。
1、pc&websrv虚拟网卡配置,右击所需配置的服务器选择“配置”--以太网nio”选中国所需的虚拟网卡,进入如下图界面:
注:如果下拉菜单中没有虚拟网卡可在virtual network editor中设置添加虚拟网卡,设置后重启电脑即可出现)
2、isp路由器配置,右击所需配置的路由器选择“配置”,进入如下图界面:
四、进入设备控制台配置。
1.路由器isp配置。
注:重点在于静态路由,访问200.1.1.248/29的网段指向200.0.0.2的地址)
初始化配置。
如果不能出现下面初始化的界面,先执行:
重启asa,此时将直接启动到 ciscoasa> 的状态下,输入en进入特权模式,执行执 show flash,可看到flash 文件已被加载,如下图。
为了保证使用命令 wr 、 copy run start 时不出现错误,输入conf t进入全局配置模式下执行。
3. asa在全局配置模式下配置asa的主机名、域名、特权模式密码和远程登录密码。
4.配置asa接口及默认路由。
注:inside接口安全级别为100,dmz接口安全级别为50,outside接口安全级别为0)
5.配置asa的telnet、ssh远程管理接入。
空闲超时时间均为10min,ssh的rsa密匙长度为1024,ssh版本为2。
注:由于telnet是明文传输,一般不建议使用)
在pc中使用putty通过ssh登陆asa服务器,如图。
所需软件**地址:
6.配置asdm接入。
首先上传镜像文件,在pc中使用cisco tftp server建立一个tftp服务器,然后把文件放入tftp的根目录下:
在asa的特权配置模式下输入。
连接tftp服务器192.168.0.1,上载文件。
启用https服务器功能,允许192.168.0.0/24网段访问,指定asdm镜像以及配置登陆账户(至少要4位)、密码。
在pc中使用客户端asdm远程访问管理asa服务器,首先需在pc中**安装j**a的jdk,再在浏览器中输入asdm服务器地址如下图所示。
asdm使用过程中会出现如下错误:
这个错误是因为 asdm 客户端软件需要比对从 asa 发给 http server 的硬件地址 id ,而 gns3 模拟的 asa 是没有硬件 id 的:
所以我们需要使用 fiddler 这个软件对 https 发送的流量进行** :
①首先安装然后打开 fiddler 软件,然后按照以下顺序操作:
“tools”--fiddler options”--https”--check” 然后选中“decrypt https traffic”;
②点击“rules customize rules”使用附件中的 中的内容覆盖 customize 的内容然后保存;
网络安全高级应用
第一章tcp ip高级技术。数据报首部格式中 首部长度 最短为20字节。2.与分片有关的字段有三个 标识 标志 分片偏移。3.标志字段中,第2位是0,表示允许分片 1表示不允许分片。标志字段中,第3位是0,表示这是最后一个分片,1表示还有后续分片。报文分两类 差错报文和查询报文。5.icmp查询报文...
网络安全高级应用 总结
一 tcp ip高级技术。ip数据包结构 首部 固定20b 和数据 可变,最大40b 1.标识 数据包id,标明数据包是否属于同一数据流。标志 是否允许分片 3个比特位 第二位为0,表示允许分片 为1表示不允许分片 第三位为0,表示没有分片 为1表示还有分片。分片偏移 表示重组的先后顺序。协议 pr...
高级网络安全作业
高级安全网络课程设计。题目 校园网络安全规划设计 院 系软件学院。专业年级 软件工程 2010级。姓名刘佳。学号101530446 目录。第一章概述 2 1.1 高校校园网络安全建设意义 2 第二章高校校园网络特点分析 2 第三章网络安全解决方案 3 3.1 高校校园网络安全建设原则 3 3.2部署...