ASA虚拟防火墙综合实训

如何使用vmware和GNS3模拟ASA第一部分：首先手头的文件：1.GNS 32.ASA模拟器3.Vmware4.5.ASDM软件6.7.8.rules 文件接口分布规则：R0 F0/0 172.16.0.100R1 F0/0 172.16.1.100R2 F0/0 172.16.2.100ASA E0/0 172.16.0.200ASA E0/1 172.16.1.200ASA E0/2 172.16.2.200Loopback0 172.16.0.2Loopback1 172.16.1.2Loopback2 172.16.2.2第二部分，具体实施，分成几个步骤来做：第一：在装有windows的主机上建立3个环回口，并且为每个接口配置地址。

第二：运行安装有asa软件的linux系统，此系统安装在vmware上，其实就是启动vmware。

第三：实现asa的E0/0----Loopback 0, E0/1----Loopback 1, E0/2----Loopback 2之间的桥接3.1.首先实现vmware中vmnet和loopback口的桥接Vmnet 0-----Loopback 0，Vmnet 1-----Loopback 1，Vmnet 2-----Loopback 2，3.2 再实现vmware中vmnet和E0/0口的桥接Vmnet 0----E0/0，Vmnet 1----E0/1，Vmnet 2----E0/2第四，实现本地环回口和路由器的桥接，即：Loopback 0-----R0 F0/0,Loopback 1-----R1 F0/0,Loopback 2-----R2 F0/04.1,首先运行GNS 3，取出三个路由分别和本地接口互联实际上C0桥接到R0，C1桥接到R1……，就像下图最后效果就如下所示啦！第五最后，如果使用telnet 登陆到asa服务器和用asdm来管理asa呢？5.1 用telnet 来登陆到asa首先进入vmware 设置串口连接管道，注意 \\.\pipe\ASA注意，设置管道以后不能通过telnet直接登陆到ASA，需要借助一个软件nptp.exe,安装好以后,edit-new添加一个新连接，做好如图设置，端口号4000 保存连接后，状态为ready；然后打开vmware中的ASA系统，会显示如下状态，放置不用管他【内核已运行】！使用telnet 登录127.0.0.1 port 4000 即可！6、如何实现asdm来界面管理ASA呢？Asa需要一个bin文件的支持才可以页面式管理！首先为asa打开http服务：ciscoasa(config)# int e0/1 【dmz接口】ciscoasa(config-if)# http server enableciscoasa(config)# http 0 0 insideciscoasa(config)# username fanghao password fanghao privilege 15接下来利用tftp服务器拷贝一个bin文件补丁到ASA的ios中来支持页面管理。

基于GNS3模拟器的Cisco ASA防火墙技术应用仿真实现刘景林【摘要】利用GNS3模拟器搭建Cisco ASA防火墙应用的网络场景,仿真模拟ASA防火墙的工作过程并测试验证防火墙内部网络、外部网络以及DMZ三个区域主机间的相互通信.通过配置ASA防火墙实现内网主机可访问外部网络以及对外发布内网服务器,同时也可针对来自外网的非法访问进行拦截过滤,有效地保护内网的安全.【期刊名称】《河北软件职业技术学院学报》【年(卷),期】2018(020)003【总页数】5页(P12-16)【关键词】GNS3模拟器;ASA防火墙;内网安全【作者】刘景林【作者单位】泉州经贸职业技术学院信息技术系,福建泉州 362000【正文语种】中文【中图分类】TP393.0820 引言在网络与信息安全形势日益复杂的今天，如何更好地保护内网的安全成了网络安全技术人员研究的热点，防火墙作为保护内网安全的第一道门槛，担负着数据包的检查与过滤功能，其作用是隔离不同的网络区域，并针对不同的信任区域制定不同的限制规则[1]。

防火墙可根据预先配置好的策略和规则，来阻塞和放行试图进入网络的流量[2]。

通过配置防火墙的ACL功能，实现内网、外网以及DMZ三个区域数据包的访问控制，同时利用防火墙的NAT功能，实现内网私有地址的主机访问外部网络以及对外发布内网服务器。

利用GNS3模拟器搭建ASA防火墙的应用场景，实现内网主机可访问DMZ区域主机和外网主机，DMZ区域主机与外网主机之间也可以相互访问，同时能够针对来自外网的非法流量进行过滤，从而保障内网的安全。

1 ASA防火墙应用场景的搭建GNS3是一款具有图形化界面的网络搭建虚拟仿真软件，可以运行在Windows和Linux平台上，它通过模拟路由器和交换机来创建复杂的物理网络的模拟环境[3]。

利用GNS3模拟器搭建包含自适应安全设备（ASA）防火墙的如下网络场景的拓扑，整个网络分为内网、外网与DMZ三个区域，每个区域都有其相应的主机，如图1所示。

南京信息工程大学实验（实习）报告实验（实习）名称防火墙实验（实习）日期2012.10.12指导教师朱节中专业10软件工程年级三班次 2 班姓名曾艺学号20102344070 得分一．实验目的：1. 了解防火墙的相关知识2. 防火墙的简单实验二．实验步骤：1. 了解防火墙的概念，类型及作用2. 防火墙的实验三．实验内容：1.防火墙的概念防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。

由计算机硬件或软件系统构成防火墙，来保护敏感的数据部被窃取和篡改。

防火墙是设置在可信任的企业内部和不可信任的公共网或网络安全域之间的以系列部件的组合，它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力。

它是提供信息安全服务，实现网络和信息安全的基础设施。

2防火墙的类型技术上看，防火墙有三种基本类型：包过滤型、代理服务器型和复合型。

它们之间各有所长，具体使用哪一种或是否混合使用，要根据具体需求确定。

包过滤型防火墙(Packet Filter Firewall)通常建立在路由器上，在服务器或计算机上也可以安装包过滤防火墙软件。

包过滤型防火墙工作在网络层，基于单个IP包实施网络控制。

它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与网络管理员预先设定的访问控制表进行比较，确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。

这种防火墙的优点是简单、方便、速度快、透明性好，对网络性能影响不大，可以用于禁止外部不合法用户对企业内部网的访问，也可以用来禁止访问某些服务类型，但是不能识别内容有危险的信息包，无法实施对应用级协议的安全处理。

代理服务器型防火墙(Proxy Service Firewall)通过在计算机或服务器上运行代理的服务程序，直接对特定的应用层进行服务，因此也称为应用层网关级防火墙。

一、实训目的本次实训旨在使学生掌握企业防火墙的基本配置与调试方法，熟悉防火墙在企业网络安全中的重要作用，提高学生在实际工作中解决网络问题的能力。

二、实训环境1. 软件环境：使用华为防火墙设备，模拟企业网络环境。

2. 硬件环境：两台服务器、两台路由器、一台防火墙、若干交换机、若干PC。

三、实训内容1. 防火墙基本配置2. 防火墙安全策略配置3. 防火墙NAT配置4. 防火墙VPN配置5. 防火墙故障排除四、实训步骤1. 防火墙基本配置（1）登录防火墙设备，进入系统视图。

（2）配置设备名称、设备时间、设备密码等信息。

（3）配置接口IP地址，确保设备与其他设备互联互通。

（4）配置VLAN，实现网络隔离。

2. 防火墙安全策略配置（1）创建安全区域，如内部网络、DMZ区、外部网络等。

（2）配置访问控制策略，如允许、拒绝、告警等。

（3）配置入侵检测、防病毒、防木马等安全功能。

3. 防火墙NAT配置（1）配置内部网络IP地址池，为内部设备分配公网IP地址。

（2）配置NAT转换规则，实现内部设备访问外部网络。

（3）配置静态NAT，将特定内部设备映射到公网IP地址。

4. 防火墙VPN配置（1）配置VPN设备，建立VPN隧道。

（2）配置VPN用户，为用户分配VPN访问权限。

（3）配置VPN策略，实现安全访问远程网络。

5. 防火墙故障排除（1）检查设备配置，确保配置正确。

（2）检查网络连通性，排除网络故障。

（3）检查防火墙日志，定位故障原因。

五、实训结果1. 成功配置防火墙基本功能，实现网络隔离、安全防护。

2. 配置防火墙安全策略，有效控制网络访问。

3. 实现NAT转换，使内部设备访问外部网络。

4. 建立VPN隧道，实现远程访问。

5. 排除防火墙故障，确保网络稳定运行。

六、实训心得通过本次实训，我对企业防火墙的配置与调试有了更深入的了解。

以下是我的一些心得体会：1. 防火墙在企业网络安全中具有重要作用，可以有效防止网络攻击、病毒入侵等安全风险。

防火墙实训总结800字在防火墙实训中，我学到了很多关于防火墙的知识和技能，并且通过实际操作加深了对防火墙的理解。

以下是我对这次实训的总结。

我学习了防火墙的基本原理和工作原理。

防火墙是一种网络安全设备，用于监控和控制网络流量，以保护网络免受恶意攻击和未经授权的访问。

它通过过滤和检查网络流量来确定是否允许流量通过。

我了解到防火墙可以根据不同的规则和策略来控制流量，并且可以实现网络地址转换（NAT）等功能。

我学习了如何配置和管理防火墙。

在实训中，我使用了一种常见的防火墙软件，了解了它的基本配置和管理界面。

我学会了如何创建和编辑防火墙策略，包括设置允许和拒绝的规则、定义网络对象和服务等。

我还学会了如何监视防火墙日志，以便及时发现和处理网络攻击和异常行为。

我还学习了一些常见的防火墙配置技巧。

例如，我学会了如何创建网络地址转换规则，以便在内部网络和外部网络之间进行通信。

我还学会了如何配置端口转发和端口映射，以便将外部请求转发到内部服务器。

通过这次实训，我明白了防火墙在网络安全中的重要性。

防火墙可以帮助我们保护网络免受恶意攻击，防止未经授权的访问，并且可以提供日志和报警功能，帮助我们及时发现和处理安全事件。

我发现在配置和管理防火墙时需要非常小心和谨慎。

一个错误的配置可能导致网络不可用或者使网络容易受到攻击。

因此，我们在配置防火墙时需要仔细考虑每个规则和策略，并且定期进行安全审计和更新。

总的来说，这次防火墙实训让我对防火墙有了更深入的了解，并且掌握了一些基本的配置和管理技巧。

我相信这些知识和技能将对我的网络安全职业发展有很大帮助。

我也将继续学习和探索更多关于防火墙和其他网络安全技术的知识。

防火墙实验报告一、实验目的随着网络技术的飞速发展，网络安全问题日益凸显。

防火墙作为一种重要的网络安全设备，能够有效地保护内部网络免受外部网络的攻击和非法访问。

本次实验的目的在于深入了解防火墙的工作原理和功能，掌握防火墙的配置和管理方法，通过实际操作提高网络安全防护能力。

二、实验环境本次实验在实验室环境中进行，使用了以下设备和软件：1、计算机若干台，操作系统为 Windows 10。

2、防火墙设备：Cisco ASA 5506-X。

3、网络拓扑模拟软件：Packet Tracer。

三、实验原理防火墙是位于计算机和它所连接的网络之间的软件或硬件。

其主要功能是根据预定的安全策略，对网络流量进行过滤和控制，阻止未经授权的访问和恶意攻击。

防火墙可以基于数据包的源地址、目的地址、端口号、协议类型等信息进行过滤，同时还可以实现网络地址转换（NAT）、虚拟专用网络（VPN）等功能。

四、实验步骤1、网络拓扑搭建使用 Packet Tracer 软件搭建如下网络拓扑：内部网络包含一台服务器（Web Server）和多台客户端计算机（Client），通过防火墙连接到外部网络（Internet）。

2、防火墙基本配置（1）通过 Console 线连接到防火墙，进入配置模式。

（2）配置防火墙的主机名、管理接口的 IP 地址和子网掩码。

（3）设置特权模式密码和远程登录密码。

3、接口配置（1）配置防火墙的内部接口（Inside）和外部接口（Outside）的 IP 地址和子网掩码。

（2）将接口分配到相应的安全区域（Security Zone），如 Inside 区域和 Outside 区域。

4、访问控制列表（ACL）配置（1）创建一个名为“Inside_To_Outside_ACL”的访问控制列表，允许内部网络的客户端访问外部网络的 HTTP（端口 80）和 HTTPS（端口 443）服务。

（2）应用访问控制列表到外部接口的出站方向（Outbound）。

实验四 ASA 5505 从内网访问DMZ区服务器（真实防火墙）一、实验目标在这个实验中朋友你将要完成下列任务：1．创建vlan2．给vlan命名3．给vlan分配IP4．把接口加入到相应的VLAN，并配置接口的速率、双工（半工）5．配置内部转化地址池（nat）外部转换地址globla6．配置WWW和FTP服务器二、实验拓扑------------------------------------------------------------------------------------------------------------------------三、实验过程1. ASA 5505基本配置：ciscoasa>ciscoasa> enablePassword:ciscoasa#ciscoasa# configure terminalciscoasa(config)# interface vlan44 *建立ID为44的虚拟局域网（vlan）ciscoasa(config-if)# nameif dmz *把vlan44的接口名称配置为dmzciscoasa(config-if)# security-level 50 *配置dmz 安全级别为50ciscoasa(config-if)# ip address 11.0.0.1 255.0.0.0 *给vlan44配置IP地址ciscoasa(config-if)# interface vlan33 *建立ID为33的虚拟局域网（vlan）ciscoasa(config-if)# nameif inside *把vla33的接口名称配置为inside，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。

在默认情况下，inside安全级别为100。

INFO: Security level for "inside" set to 100 by default.ciscoasa(config-if)# ip address 192.168.0.211 255.255.255.0 *给vlan33配置IP地址ciscoasa(config-if)# exitciscoasa(config)# interface ethernet0/2 *进入e0/2接口的配置模式ciscoasa(config-if)# switchport access vlan 44 *把e0/2接口划分到vlan22中ciscoasa(config-if)# speed auto *设置e0/2接口的速率为自动协商ciscoasa(config-if)# duplex auto *设置e0/2接口的工作模式为自动协商ciscoasa(config-if)# no shutdown *打开e0/2接口ciscoasa(config-if)# interface e0/0 *进入e0/1接口的配置模式ciscoasa(config-if)# switchport access vlan 33 *把e0/0接口划分到vlan33中ciscoasa(config-if)# speed auto *设置e0/0接口的速率为自动协商ciscoasa(config-if)# duplex auto *设置e0/0接口的工作模式为自动协商ciscoasa(config-if)# no shutdown *打开e0/0接口ciscoasa(config-if)# exitciscoasa(config)#2. ASA 5505本身接口的连通性测试①测试防火墙本身vlan44接口连通性ciscoasa# ping 11.0.0.1Sending 5, 100-byte ICMP Echos to 11.0.0.1, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms②测试防火墙本身vlan33接口连通性ciscoasa# ping 192.168.0.211Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.0.211, timeout is 2 seconds:3. 配置PC：具体网络参数如拓扑图所示。

防火墙的使用一．实验目的：通过对天网防火墙软件的熟悉与使用了解在网络安全中防火墙的重要性，并学会简单的防火墙配置。

二．实验步骤：1.首先，按照步骤装好天王防火墙；2.依据不同的安全要求设置对天网进行设置并实现相应的安全要求。

三．实验内容：写在前面：219.219.61.1641.缺省IP规则：允许ping通结果如下：不允许ping通：结果如下：在缺省IP规则设置中还可以进行许多其他设置。

2.自定义IP规则在这里列出了所有的规则的名称，该规则所对应的数据包的方向，该规则所控制的协议，本机端口，对方地址和对方端口，以及当数据包满足本规则时所采取的策略。

在列表的左边为该规则是否有效的标志，勾选表示该规则有效。

改变后，请保存。

修改IP规则：点开相应的按钮可以进行相关设置，如下：导出规则：3.高级应用程序规则设置：对应用程序发送数据传输包的监控，可以使了解到系统目前有那些程序正在进行通讯进行相关设置：4.自定义应用程序规则：列出了所有的应用程序规则的名称，该规则版本号，该规则路径，等信息。

在列表的右边为该规则访问权限选项，勾选表示一直允许该规则访问网络，问号选表示该规则每次访问网络的时候会出现询问是否让该规则访问网络对话框，叉选表示一直禁止该规则访问网络。

用户可以根据自己的需要点击勾、问号、叉来设定应用程序规则访问网络的权限。

5.网络访问监控功能：由于通常的危险进程都是采用TCP传输层协议，所以基本上只要对使用TCP 协议的应用程序进程监控就可以了。

一旦发现有不法进程在访问网络，用户可以用结束进程钮来禁止它们6.断开/接通网络:断开：连接7.日志查看与分析:Ping百度，得到百度的IP：119.75.218.77在日志中可以捕获到连接的信息四．实验体会：本次试验进行的是对天网防火墙的了解和使用，通过一下午的摸索和实验，我对该防火墙有了一定程度上的认识，并学会了它的一些功能和相关的设置，知道了它在我们日常网络安全中的重要性。