服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 思科ASA 5505configuration
Intereting Posts
/ var / www下的Apache目录 在自定义path上安装Apache模块 Amazon ECS负载均衡器设置为端口9090不起作用 Windows 2012.只启用文件系统访问权限启用networking适配器 Mac OS X LDAPv3实现提交了错误的searchRequest ubuntu – 用于远程服务器pipe理的自定义shell 无法使用OpenVPN连接到工作networking IIS – 如何强制Windows身份validation,然后回落到匿名身份validation 如何在ubuntu 11.04上configurationldap服务器? (用于颠覆和trac) 无法启动wlan0 问题与Tomcat的应用程序的URL 服务 – 状态 – 通过显示列表部分冻结 在AWS ELBs之前使用HAProxy的好处 如何在OS X Server 10.6上安装DBD :: mysql? 我需要什么权限才能移动文件夹?

思科ASA 5505configuration

我查看了很多思科ASA5505上的这些post,并上线了。 我正在寻找一些直接的一步一步的指示来完成以下任务。

我知道如何使用内部和外部界面来实现它,所以这太棒了!

我需要一步一步来完成以下任务

  1. configuration防火墙 将有两个服务器连接到内部接口:一个是Web服务器,所以端口80,25等…另一个是DC,所以所有的标准端口需要打开。 我们还需要RDP对这两台机器打开我们使用的非标准端口。 我觉得如果我看到一个像80端口的例子,我可以复制它。 有没有其他的configuration,我应该知道,以确保实际的防火墙,或者它来设置相当不错的框?

  2. 从我们的主办公室和我们的非现场实验室安装设备。 我也可以RDP到内部接口的DC然后连接,如果这是更安全的。

这是我目前的状态。 现在它只是安装在我的工作机器上进行一些testing。 所以外部接口只是去办公室networking

命令结果:“show running-config” 

: Saved : ASA Version 8.2(1) ! hostname superasa domain-name somedomainname enable password /****** encrypted passwd ******************** encrypted names ! interface Vlan1 nameif inside security-level 100 ip address 192.168.2.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 192.168.1.9 255.255.255.252 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! ftp mode passive clock timezone EST -5 clock summer-time EDT recurring dns domain-lookup inside dns domain-lookup outside dns server-group DefaultDNS name-server 192.168.1.120 domain-name somedomain pager lines 24 logging asdm informational mtu inside 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 route outside 0.0.0.0 0.0.0.0 192.168.1.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy http server enable http 192.168.1.0 255.255.255.0 inside http 192.168.2.0 255.255.255.0 inside http 192.168.2.4 255.255.255.255 inside http 192.168.1.108 255.255.255.255 outside http internetip 255.255.255.255 outside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd dns 192.168.1.120 208.67.222.222 dhcpd domain somedomain dhcpd auto_config outside ! dhcpd address 192.168.2.2-192.168.2.33 inside dhcpd dns 192.168.1.120 interface inside dhcpd auto_config outside interface inside dhcpd enable inside ! dhcpd dns 192.168.1.120 interface outside dhcpd domain supernova interface outside ! dhcprelay timeout 60 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn ! ! prompt hostname context Cryptochecksum:abunchofnumbersgohere : end

在你的第一点上,防火墙部分已经安装好了。 您为接口发出的那些“安全级别”命令已经完成了。 更高的层次能够与更低层次的沟通,但更低的层次需要获得更高层次的资源。 要授予访问权限,请创build一个访问列表,并使用access-group命令将其分配给一个接口。 既然你是NAT,那么你需要创build一些静态映射,以便防火墙知道去哪里发送stream量。 我已经离开了DC,因为你不需要向DC暴露任何东西(这是一个安全问题)。 如果您的远程办公室需要进行身份validation,请设置站点到站点VPN。 以下是它的样子:

access-list outside_access_in扩展许可证tcp任何主机192.168.1.153 eq 80
访问列表outside_access_in扩展许可tcp任何主机192.168.1.153 eq 25
接口外部的access-group outside_access_in
静态(内部,外部)192.168.1.153 192.168.2.5networking掩码255.255.255.255

您也可以使用PAT,而不是将服务器分配给自己的外部IP地址。 我build议不要这样做,如果可能的话,因为它是更多的命令configuration和保持自己的IP地址的电子邮件服务器可以帮助您不被列入黑名单。 如果你想这样做,这是你要做的(注意在这个configuration中你必须为每个端口创build一个静态映射):

访问列表outside_access_in扩展许可证tcp任何主机[防火墙的外部IP地址]公式80
访问列表outside_access_in扩展许可证tcp任何主机[防火墙的外部IP地址]公式25
接口外部的access-group outside_access_in
静态(内部,外部)tcp接口80 [服务器的内部IP地址] 80networking掩码255.255.255.255
静态(内部,外部)tcp接口25 [服务器的内部IP地址] 25networking掩码255.255.255.255

为了启用访问,您只需告诉ssh在哪里听,如何进行身份validation(本地数据库最容易设置),并生成密钥:

ssh [总局的ip地址] 255.255.255.255外面
ssh [远程实验室networking的IP地址] [远程实验室networking的子网掩码]外部
ssh [内部networking子网] [内部networking子网掩码]里面
用户名companyadmin密码[创build一个好的密码]权限15
aaa身份validationSSH控制台本地
encryption密钥生成rsa

编辑

您无法在ASA上执行您正在寻找的故障转移types。 它可以故障转移ISP的,但不是主机。 您可能想要了解的是Windows上的networking负载平衡器或专用硬件负载平衡器。

代码的第一部分不是关于站点到站点的VPN。 对困惑感到抱歉。 它用于转发具有专用IP(也称为静态NAT)的端口,而不是与防火墙共享的IP地址。 当它是一个共享的IP时,它被称为端口地址转换(PAT),因为端口号和types决定了它被转发到哪个主机。 当你有一个专用的IP地址时,它被称为静态NAT。 您已经在使用NAT,您可以将PAT或静态NAT与NAT结合使用。

我使用ASDM和“公共服务器”完成了这两个任务。 通过configuration这个设置,它可以configuration所有必要的防火墙规则! 这是简单而直接的。

我可以用这一节完成我所有的问题。

这是一个屏幕截图。 替代文字