第十七期ASA【防火墙】基本配置

实验目的：1. DMZ发布Web服务器，Client2可以访问Server3

成都创新互联专注为客户提供全方位的互联网综合服务，包含不限于成都网站建设、做网站、未央网络推广、小程序定制开发、未央网络营销、未央企业策划、未央品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等，从售前售中售后，我们都将竭诚为您服务，您的肯定，是我们最大的嘉奖；成都创新互联为所有大学生创业者提供未央建站搭建服务，24小时服务热线：028-86922220，官方网址：www.cdcxhl.com

2. 使用命令show conn detail查看Conn表
3. 查看ASA和AR【R1】的路由表

4. 配置ACL禁止Client3访问Sever2
   实验步骤：

   1. 配置ASA及路由器：
      R1：配置IP地址：interface GigabitEthernet0/0/0
      ip address 192.168.1.1 255.255.255.0
      interface GigabitEthernet0/0/1
      ip address 10.1.1.254 255.255.255.0
      interface GigabitEthernet0/0/2
      ip address 10.2.2.254 255.255.255.0
      配置下一跳: ip route-static 0.0.0.0 0.0.0.0 192.168.1.254

   2. 配置ASA及端口：
      ASA：配置接口:
      interface GigabitEthernet0
      nameif inside
      security-level 100\inside默认安全级别为100
      ip address 192.168.1.254 255.255.255.0
      interface GigabitEthernet1
      nameif outside
      security-level 0\outside默认安全级别为0
      ip address 192.168.8.254 255.255.255.0

        interface GigabitEthernet2
        nameif DMZ
        security-level 50\\DMZ默认安全级别为0-100之间即可
        ip address 192.168.3.254 255.255.255.0
      route inside 10.1.1.0 255.255.255.0 192.168.1.1 1\\配置下一跳

      route inside 10.2.2.0 255.255.255.0 192.168.1.1 1\配置下一跳

3. 配置ACL：ASA(config)# show ru access-list
   access-list ICMP extended permit icmp any any \设置ping包成功【ping为ICMP】
   access-list in-to-out extended deny ip 10.1.1.0 255.255.255.0 any
   access-list in-to-out extended permit ip any any
   access-list DMZ extended permit tcp host 192.168.8.1 host 192.168.3.100
   access-list C3-S2 extended deny tcp host 192.168.3.1 host 192.168.8.100
   access-list C3-S2 extended deny tcp host 192.168.3.1 host 192.168.8.100
4. 调用ACL：access-group C3-S2 in interface outside
   access-group DMZ in interface outside
   实验结果：
   使用命令show conn detail查看Conn表
   
   查看ASA的路由表
   
   DMZ发布Web服务器，Client2可以访问Server3
   
   配置ACL禁止Client3访问Server2
   
   
   查看AR【R1】路由表
   
   实验拓扑图：
   
   谢谢大家支持