登录方式:
内网使用协议:telnet
内网登录IP地址:192.168.201.6
外网使用协议:ssh
外网登录IP地址:XXX.XXX.XXX.XXX
用户名:cisco
密码:123456
特权密码:123456
interface GigabitEthernet0/1 //进入接口
nameif outside1 //配置安全区域名称(可自行编写)
security-level 0 //配置安全区域安全等级(默认outside为0,inside为100,高安全等级能够访问低安全等级,低安全等级不能访问高安全等级内容,除非使用访问控制列表permit)
ip address 218.246.213.75 255.255.255.240 //配置接口IP地址
DMZ区也是一个安全区域,创建区域的目的是为了区域之间做访问控制、攻击检测和隔离,外网outside1到inside区域需要做攻击检测,创建DMZ区域的目的是将一部分需要隔离的主机访问其他区域也做检测,类似于交换机的VLAN,内网分为DMZ VLAN和inside VLAN,这样就可以给DMZ VLAN和inside VLAN之间做访问控制策略了。
DMZ区域举例:
interface GigabitEthernet0/7 //进入接口
nameif DMZ //配置安全区域名称(可自行编写)
security-level 50 //配置安全区域安全等级(默认outside为0,inside为100,高安全等级能够访问低安全等级,低安全等级不能访问高安全等级内容,除非使用访问控制列表permit)
ip address 172.16.50.1 //配置接口IP地址
路由优先级数字越小,优先级越高
route outside2 0.0.0.0 0.0.0.0 181.12.111.1 2 //outside2安全区域默认路由
route outside1 0.0.0.0 0.0.0.0 238.201.237.1 3 //outside1安全区域默认路由
route inside 172.16.1.0 255.255.255.0 192.168.202.25 1
//inside安全区域明细路由,访问172.16.1.0网段,下一条为192.168.202.25(核心交换机)
object network internet1 //创建允许上网的网段
subnet 0.0.0.0 0.0.0.0
object network internet2
subnet 0.0.0.0 0.0.0.0
object network internet1
nat (inside,outside1) dynamic interface //允许所有网段均可上网
object network internet2
nat (inside,outside2) dynamic interface
不允许上网网段通过访问控制列表限制
object network mailowa110 //创建映射内网地址的object项,名称自取
host 192.168.203.12 //添加需要映射的内网服务器地址
nat (inside,outside1) static 238.106.237.19 service tcp pop3 pop3
//配置端口映射,外网可以通过238.106.237.19地址访问192.168.203.12服务器的pop3(110)端口
开放相关访问控制(需要添加在deny条目之前)
access-list outside1-inside extended permit permit tcp any host 238.106.237.19 eq 110
access-list outside1-inside extended deny ip any any
默认访问控制列表禁用所有IP,端口映射后需要在访问控制列表中添加
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface //打开反向映射功能
object network oa_outside-inside //创建映射内网地址的object项,名称自取
host 192.168.202.53 //添加需要映射的内网服务器地址
object network oa-outside //创建映射外网地址的object项,名称自取
host 238.106.237.19 //添加需要映射的外网服务器地址
object service tcp80 //创建映射的服务object项,名称自取
service tcp destination eq www //添加80端口
nat (inside,inside) source static any interface destination static oa-outside oa_outside-inside service tcp80 tcp80
//映射服务,调用上面所创建object,让访问inside区域访问outside区域端口映射的主机直接通过内网服务器端口访问
例:内网172.16.110.0段(厂房扫码使用)不允许访问外网
access-list inside-outside extended deny ip 172.16.110.0 255.255.255.0 any
//创建名称为"inside-outside"的禁止172.16.110.0段访问任何网络的表项
access-list inside-outside extended permit ip any any
//创建允许所有网段都允许的表项
access-group inside-outside in interface inside
//应用在防火墙"inside"区域"in"方向,即可
access-list yidong1 extended permit ip 172.16.200.0 255.255.255.0 any
access-list yidong1 extended permit ip 172.16.30.0 255.255.254.0 any
access-list yidong1 extended permit ip 172.16.100.0 255.255.254.0 any
access-list yidong1 extended permit ip 172.16.110.0 255.255.255.0 any
access-list yidong1 extended permit ip 172.16.111.0 255.255.255.0 any
access-list yidong1 extended permit ip 172.16.120.0 255.255.255.0 any
//创建名为yidong1的访问控制列表,列表中为需要指定走那条公网的内网网段
route-map yidong permit 10 //创建名为yidong的策略
match ip address yidong1 //匹配上面创建的"yidong1"列表
set ip default next-hop 238.106.237.19 //指定匹配"yiding1"列表的下一条指向"238.106.237.19"(移动IP)
interface GigabitEthernet0/0 //进入inside接口
policy-route route-map yidong //调用"yidong"策略,即可
防火墙DHCP配置不能配置网关,网关已经被指定为相应安全区域接口地址
dhcpd address 192.168.1.2-192.168.1.254 management
//为management安全区域分配IP地址段为"192.168.1.2到192.168.1.254"
dhcpd enable management
//为management安全区域开启DHCP功能
dhcpd DNS 114.114.114.114 8.8.8.8 interface management
//为management安全区域配置DNS