环境:上图环境
win10 内 ip:192.168.1.1 /24 网关 : 192.168.1.254
win10 外 ip: 172.12.12.1 /24 网关 :172.12.12.254
asa e0/0接口 : 192.168.1.254 e0/1 接口 : 172.12.12.254
1.基础配置
现在asa上无任何 两台win10也只是配置了ip
防火墙上的接口ip配置也是和路由器一样的
内e0/0
外e0/1
2.接口命名 && 安全等级
asa进入e0/0接口
nameif ru
nameif + 自定义接口名称
security-level 100
security-level + (0 - 100数越高安全等级越高,如果你不知道安全等级是干什么的或者一些通信规则可以直接去网上搜索)
这样f0/0就配置完了 以下 :ip , 命名 , 安全等级 由于防火墙规则对某些协议只出不进目前还没做acl可以相互通信:所以内网192.168.1.1 只能ping通自己的192.168.1.254网关
进入asa e0/1接口
nameif chu
nameif 后面加名称 名称自己定义
security-level 0
security-level + 安全等级
现在基本的都配置好了,但是内网只能ping通自己的网关,外网也是只能ping通网关
但是:用内网远程连接外网可以连接上(因为没有对某些协议进行记录,所以不会让外面的回包进来,但是自己发的可以出去,这样就造成的无法得到回应,设备就以为外网设备不存在,使用acl就可以解决)
可以远程连接但是ping不通
3.acl命名
进入asa全局模式
控制外到内
access-list wai-nei permit ip host 172.12.12.1 any
access-list + 自定义acl名称+ permit + ip host 源ip host 目标ip (any是全部 上边那个意思是 172.12.12.1 到内网全部)
如果源ip 改成any 目标 ip也是 any 那就是外网全部可以和内网全部通信
access-list wai-nei permit ip any any
access-group wai-nei in interface chu
access-group + 刚刚定义的name +in (入)+interface + 刚刚接口名称(e0/1)
----------------------
控制拒绝内到外
access-list nei-wai deny ip host 192.168.1.1 any
access-list nei-wai permit ip any any
access-group nei-wai in interface ru
内网再ping外网就ping不通了
如果内网换个ip 就可以ping通了
如果上边acl不是 192.168.1.1 而是 any 那你怎么换都不能和外变通信因为上边只控制了一个ip不能个外边通信
如果想控制单个ip也可以
access-list nei-wai deny ip host 192.168.1.1 hsot 172.12.12.1
