一、设备登录
登录方式:
内网使用协议:telnet
内网登录IP地址:192.168.201.6
外网使用协议:ssh
外网登录IP地址:XXX.XXX.XXX.XXX
用户名:cisco
密码:123456
特权密码:123456
文章插图
二、安全区域及IP地址
interface GigabitEthernet0/1 //进入接口
nameif outside1 //配置安全区域名称(可自行编写)
security-level 0 //配置安全区域安全等级(默认outside为0,inside为100,高安全等级能够访问低安全等级,低安全等级不能访问高安全等级内容,除非使用访问控制列表permit)
ip address 218.246.213.75 255.255.255.240 //配置接口IP地址
DMZ区也是一个安全区域,创建区域的目的是为了区域之间做访问控制、攻击检测和隔离,外网outside1到inside区域需要做攻击检测,创建DMZ区域的目的是将一部分需要隔离的主机访问其他区域也做检测,类似于交换机的VLAN,内网分为DMZ VLAN和inside VLAN,这样就可以给DMZ VLAN和inside VLAN之间做访问控制策略了 。
DMZ区域举例:
interface GigabitEthernet0/7 //进入接口
nameif DMZ //配置安全区域名称(可自行编写)
security-level 50 //配置安全区域安全等级(默认outside为0,inside为100,高安全等级能够访问低安全等级,低安全等级不能访问高安全等级内容,除非使用访问控制列表permit)
ip address 172.16.50.1 //配置接口IP地址
三、配置路由(路由冗余)路由优先级数字越小,优先级越高
route outside2 0.0.0.0 0.0.0.0 181.12.111.1 2 //outside2安全区域默认路由
route outside1 0.0.0.0 0.0.0.0 238.201.237.1 3 //outside1安全区域默认路由
route inside 172.16.1.0 255.255.255.0 192.168.202.25 1
//inside安全区域明细路由,访问172.16.1.0网段,下一条为192.168.202.25(核心交换机)
四、配置上网NATobject network internet1 //创建允许上网的网段
subnet 0.0.0.0 0.0.0.0
object network internet2
subnet 0.0.0.0 0.0.0.0
object network internet1
nat (inside,outside1) dynamic interface //允许所有网段均可上网
object network internet2
nat (inside,outside2) dynamic interface
不允许上网网段通过访问控制列表限制
五、端口映射object network mailowa110 //创建映射内网地址的object项,名称自取
host 192.168.203.12 //添加需要映射的内网服务器地址
nat (inside,outside1) static 238.106.237.19 service tcp pop3 pop3
//配置端口映射,外网可以通过238.106.237.19地址访问192.168.203.12服务器的pop3(110)端口
开放相关访问控制(需要添加在deny条目之前)
access-list outside1-inside extended permit permit tcp any host 238.106.237.19 eq 110
access-list outside1-inside extended deny ip any any
默认访问控制列表禁用所有IP,端口映射后需要在访问控制列表中添加
六、反向映射(用于内网访问外网端口)same-security-traffic permit inter-interface
same-security-traffic permit intra-interface //打开反向映射功能
object network oa_outside-inside //创建映射内网地址的object项,名称自取
host 192.168.202.53 //添加需要映射的内网服务器地址
object network oa-outside //创建映射外网地址的object项,名称自取
host 238.106.237.19 //添加需要映射的外网服务器地址
object service tcp80 //创建映射的服务object项,名称自取
service tcp destination eq www //添加80端口
nat (inside,inside) source static any interface destination static oa-outside oa_outside-inside service tcp80 tcp80
//映射服务,调用上面所创建object,让访问inside区域访问outside区域端口映射的主机直接通过内网服务器端口访问
七、访问控制列表例:内网172.16.110.0段(厂房扫码使用)不允许访问外网
access-list inside-outside extended deny ip 172.16.110.0 255.255.255.0 any
//创建名称为"inside-outside"的禁止172.16.110.0段访问任何网络的表项
access-list inside-outside extended permit ip any any
//创建允许所有网段都允许的表项
access-group inside-outside in interface inside
//应用在防火墙"inside"区域"in"方向,即可
八、双联路负载(策略路由)access-list yidong1 extended permit ip 172.16.200.0 255.255.255.0 any
access-list yidong1 extended permit ip 172.16.30.0 255.255.254.0 any
推荐阅读
- 原创:思科交换机常用配置
- 思科路由重发布配置小案例,新手入门级,值得学习
- 思科交换机IOS升级
- 服务器/防火墙远程监控模块
- 华三防火墙内网用户通过公网地址访问服务器
- 华三防火墙IPS、AV、ACG特征库授权License申请注册流程
- 华三防火墙Telnet登录方法
- 华三防火墙使用默认证书配置SSL VPN IP资源典型案例
- 华三防火墙外网使用固定IP地址方式上网配置方法
- 华三防火墙发布内网服务器配置案例