cisco防火墙asa拓扑图要求：通过思科防火墙ASA使用内网用户可以-与DMZ中的服务器，DMZ中的服务器可以发布到网络中，供外网用户访问一.思科模拟防火墙的使用因为我们没有真实的设备，所以我们使用一个使用linux内核的虚拟系统来模拟思科的防火墙，模拟防火墙可以自己下载，在使用时我们还要使用一个软件来连接这个模拟防火墙：nptp.ext。首先，我们打开ASA防火墙虚拟机，再安装nptp.exe软件打开nptp，点击”Edit”新建一个连接，参数可如下使用连接工具进行连接连接成功二.IP地址配置外网IP配置ciscoasa>enablePassword:ciscoasa#conftciscoasa(config)#inteth0/0ciscoasa(config-if)#ipadd192.168.101.150255.255.255.0//外网ipciscoasa(config-if)#noshutciscoasa(config-if)#nameifoutside//外网名,一定要配置内网IP配置ciscoasa(config-if)#inteth0/1ciscoasa(config-if)#ipadd192.168.1.1255.255.255.0ciscoasa(config-if)#noshutciscoasa(config-if)#nameifinsideDMZIP配置ciscoasa(config-if)#inteth0/2ciscoasa(config-if)#ipadd192.168.2.1255.255.255.0ciscoasa(config-if)#noshutciscoasa(config-if)#nameifdmz查看路由ciscoasa(config-if)#showrouteC192.168.1.0255.255.255.0isdirectlyconnected,insideC192.168.2.0255.255.255.0isdirectlyconnected,dmzC192.168.101.0255.255.255.0isdirectlyconnected,outside注：在ASA防火墙中一定要配置nameif名字，如果不配置的话，这个端口就不能启动，在配置名字的时候，不同的名字可以有不同的优先级，内网inside是一个系统自带的值，只可配置在内网的端口上，并且它的优先级是100，属于最高的级别，而另外的一些优先级都是0，在优先级高的区域访问优先级低的区域的时候，可以直接做snat就可以通信，而优先级低的访问优先级低的区域的时候，做dnat的同时，还要做访问控制列表。三.内网-ciscoasa(config-if)#exitciscoasa(config)#global(outside)1interface//指定snat使用的外网接口为nameif为outside的端口ciscoasa(config)#nat(inside)1192.168.1.0255.255.255.0/指定内网的网段测试我们使用的192.168.101.0做为外网的网段，但是在测试的时候，不能使用ping命令测试，因为在默认情况下防火墙是把ping作为一种攻击手段给拒绝掉的。我现在在192.168.101.105上做了一个RDP服务器，可以进行测试可以测试成功四.内网访问DMZ服务器基于前面的设置，我们只需要再做一条指令指明dmz区域即可ciscoasa(config)#global(dmz)1interface测试一下访问DMZ中的www服务器五.DMZ中服务器发布RDP服务器发布ciscoasa(config)#inteth0/2ciscoasa(config-if)#security-level50//修改DMZ区域的优先级大于outside区域ciscoasa(config)#static(dmz,outside)tcpinterface3389192.168.2.23389//创建dmz与outside的dnatRDP服务ciscoasa(config)#access-list100permittcpanyhost192.168.101.150eq3389//创建访问控制列表，允许访问outside端口ciscoasa(config)#access-group100ininterfaceoutside//在outside端口上应用访问控制列表测试www服务器发布ciscoasa(config)#static(dmz,outside)tcpinterfacewww192.168.2.2wwwciscoasa(config)#access-list100permittcpanyhost192.168.101.1