虚拟防火墙实验

1:虚拟防火墙

1.4 虚拟防火墙实验

1)实验拓扑

2)实验需求

2.1)首先完成交换网络的VLAN 和TRUNK 设置,保证连通性

2.2)ASA1 要求是HR 部分的主防火墙,ASA2 是备份
ASA2 要求是ENG 部分的主防火墙,ASA1 是备份

2.3)要求R1 R2 身后的网络可以自如的访问3.3.3.3

3)实验步骤

步骤1:完成所有路由器的配置

步骤2:完成交换机的VLAN 和TRUNK 设置

SW1

1 VLAN 10

2 VLAN 20

3 4 TRUNK

57 VLAN 22

68 VLAN 33

SW2

1 2 3 TRUNK

步骤3:防火墙上输入序列号,激活故障倒换和虚拟防火墙

activation-key 0x4a3ec071 0x0d86fbf6 0x7cb1bc48 0x8b48b8b0 0xf317c0b5

步骤4:将防火墙的模式切换到多模式

ciscoasa(config)# mode multiple

步骤5:将防火墙所有接口全部激活

不要命名,不要添加IP

步骤6:在防火墙上设置逻辑子接口

不添加IP

步骤7:完成虚拟防火墙配置

7.1 查看现存的虚拟防火墙信息

ciscoasa# show context

Context Name Class Interfaces URL

*admin default disk0:/admin.cfg

 

Total active Security Contexts: 1

!!注意

系统自建的ADMIN 虚拟防火墙实际上是用来管理所有其它虚拟防火墙的

7.2 创建虚拟防火墙

ASA1/ ASA2

context ENG

allocate-interface GigabitEthernet0.100 outside

allocate-interface GigabitEthernet1.10 inside

config-url disk0:/ENG.cfg

!

 

context SALE

allocate-interface GigabitEthernet0.200 outside

allocate-interface GigabitEthernet1.20 inside

config-url disk0:/SALE.cfg

7.3 进入虚拟防火墙完成防火墙常规配置

ASA1 ENG 虚拟防火墙

!

hostname ENG

!

interface inside

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2

!

interface outside

nameif outside

security-level 0

ip address 100.100.100.1 255.255.255.0 standby 100.100.100.2

!

object network INSIDE

subnet 10.1.1.0 255.255.255.0

object-group network G

network-object object INSIDE

nat (inside,outside) source dynamic G interface

access-list FO extended permit icmp any any echo-reply

access-group FO in interface outside

route outside 0.0.0.0 0.0.0.0 100.100.100.3 1

route inside 10.1.1.0 255.255.255.0 192.168.1.3 1

 

ASA1 SALE

!

hostname SALE

!

interface inside

nameif inside

security-level 100

ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2

!

interface outside

nameif outside

security-level 0

ip address 200.200.200.1 255.255.255.0 standby 200.200.200.2

!

object network INSIDE

subnet 20.2.2.0 255.255.255.0

object-group network G

network-object object INSIDE

nat (inside,outside) source dynamic G interface

access-list FO extended permit icmp any any echo-reply

access-group FO in interface outside

route outside 0.0.0.0 0.0.0.0 200.200.200.3

route inside 20.2.2.0 255.255.255.0 192.168.2.3

 

此时R1 R2 带着源PING 3.3.3.3 流量经过ASA 1 的两个虚拟防火墙都是可达的。

 

7.4 故障倒换的配置,实现虚拟防火墙的AA 故障倒换

!!注意

故障倒换并不是配置在自创的虚拟防火墙下的,

是在ADMIN 下配置

ASA1

failover lan unit primary

failover lan interface LAN GigabitEthernet2

failover link LINK GigabitEthernet3

failover interface ip LAN 172.16.12.1 255.255.255.0 standby 172.16.12.2

failover interface ip LINK 172.16.21.1 255.255.255.0 standby 172.16.21.2

failover group 1

preempt

failover group 2

secondary

preempt

!

context ENG

join-failover-group 1

context SALE

join-failover-group 2

 

ASA2

failover lan unit secondary

failover lan interface LAN GigabitEthernet2

failover link LINK GigabitEthernet3

failover interface ip LAN 172.16.12.1 255.255.255.0 standby 172.16.12.2

failover interface ip LINK 172.16.21.1 255.255.255.0 standby 172.16.21.2

 

7.5 启用故障倒换,确认A/A 模式虚拟防火墙工作

ASA1 ASA 2

(config)# failover

此时校验是否实现了A/A

 

ASA1

ciscoasa# show failover

……………………………………

 

This host: Primary

Group 1 State: Active

Active time: 86 (sec)

Group 2 State: Standby Ready

Active time: 0 (sec)

………………………………………………

 

ASA2

ciscoasa# show failover

………………………………

 

This host: Secondary

Group 1 State: Standby Ready

Active time: 0 (sec)

Group 2 State: Active

Active time: 126 (sec)

……………………………………

时间: 2024-12-09 13:48:16

虚拟防火墙实验的相关文章

评估虚拟防火墙的方法

随着虚拟化基础设施的发展,众多企业感到在这些环境中,需要利用并扩展现有的物理网络安全工具来提供更大的可视性和功能性.虚拟防火墙是当今可用的主要的虚拟安全产品之一,也有很多选择性:Check Point有VPN-1防火墙的虚拟版本(VE),思科提供的虚拟网关产品仿真ASA防火墙.Juniper拥有更具特色的虚拟网关(the vGW line),来源于其Altor Networks收购项目,Catbird和Reflex Systems都有虚拟防火墙产品和功能.因此,在评估虚拟防火墙技术的时候我们要考

更好的实施虚拟防火墙策略

任何企业网络都会有很多虚拟环境.有趣的是,我发现大多数虚拟服务器和VLAN环境都没有对攻击进行任何的防范.仅仅是因为虚拟环境是你"四堵墙"内事,并不是所有人都可以自由访问.而这也正是虚拟防火墙策略可以对你有所帮助的地方. 想要让虚拟防火墙策略实施得更加有意义,以下几个因素是需要考虑的: 1.在每一个虚拟环境中都有什么样的业务需求?哪些人需要访问哪个虚拟环境? 2.目前你的虚拟环境所面临着怎样的风险?是否存在错误配置,是否有遗漏的系统补丁,是否存在可二次开发的开放端口. 3.如何应用或改

《Cisco防火墙》一6.5 虚拟防火墙的管理访问

6.5 虚拟防火墙的管理访问 Cisco防火墙 在学习了如何将防火墙的操作模式从单防火墙模式修改为多防火墙模式,并介绍了虚拟防火墙的一些设置之后,在下面的内容中,本书会着重介绍虚拟防火墙的管理访问. 在前面的一节中,本书已经介绍了系统分区和admin-context对于访问物理成份的重要作用.那一节也介绍了命令changeto context可以让授权用户访问admin-context以查看(并修改)所有普通虚拟防火墙的配置信息.虽然这已经可以满足大多数环境的管理需求,但是在有些情况下,直接访问

《Cisco防火墙》一6.4 超越数据平面—虚拟防火墙

6.4 超越数据平面-虚拟防火墙 Cisco防火墙前面两节对VLAN和VRF技术实现(2层及3层)数据平面虚拟化的方式进行了概述.尽管这些方法已经为当今的网络和安全设计带来了巨大的利好,但必须在这里说明的是,设备的配置文件是在所有虚拟成份之间共享的. 本节将会对虚拟防火墙的概念进行介绍,尤其会(尽可能直白地)介绍虚拟设备的工作方式.对于ASA和FWSM等设备,每个虚拟防火墙都有拥有多个接口.一个路由表.多个安全策略(ACL.NAT规则及监控策略)及管理设置(配置文件.管理用户等). ASA和FW

虚拟化安全 虚拟防火墙四问四答

下面的文章主要是对虚拟化安全威胁的阐述,并对虚拟防火墙产生的原因以及与其他防火墙的区别与部署的介绍.以下就是文章的主要内容的详细描述,望大家在浏览之后会对其有更深的了解.虚拟化存在安全威胁服务器虚拟化给人一种势不可挡的感觉.需要注意的是,虚拟技术可能成黑客的帮手.如果企业一味扩大虚拟化产品,而对虚拟机与物理服务器的本质区别熟视无睹的话, 那么他们迟早会给入侵者开辟 新的方便之门,使之顺利进入到数据中心.业界目前还无法精准地确定这类威胁的本质,因为它们尚未切实发生过.一位安全高手表示:虚拟化技术存

虚拟化安全焦点:四问虚拟防火墙

虚拟化存在安全威胁 服务器虚拟化给人一种势不可挡的感觉.市场调研公司IDC预测,到2011年底这个市场的平均年增长率为27%,全球销售额 预计将达到35亿美元. 需要注意的是,虚拟技术可能成黑客的帮手.如果企业一味扩大虚拟化产品,而对虚拟机与物理服务器的本质区别熟视无睹的话, 那么他们迟早会给入侵者开辟 新的方便之门,使之顺利进入到数据中心.业界目前还无法精准地确定这类威胁的本质,因为它们尚未切实发生过. 一位安全高手表示:虚拟化技术存在安全漏洞,这在VMware和AMD公司的产品中都曾出现过.

搭建基于netfilter/iptables的防火墙实验环境

防火墙作为一种网络或系统之间强制实行访问控制的机制,是确保网络安全的重要手段.针对不同的需求和应用环境,可以量身定制出不同的防火墙系统.防火墙大到可由若干路由器和堡垒主机构成,也可小到仅仅是网络操作系统上一个防火墙软件包所提供的包过滤功能. 在众多网络防火墙产品中,Linux操作系统上的防火墙软件特点显著.首先是Linux操作系统作为一个类Unix网络操作系统,在系统的稳定性.健壮性及价格的低廉性方面都独具优势.更为重要的是,Linux不但本身的源代码完全开放,而且系统包含了建立Internet

《Cisco防火墙》一6.7 虚拟成分之间的互联

6.7 虚拟成分之间的互联 Cisco防火墙在上文中分析了虚拟成份的一些基本行为,下面我们开始介绍它们之间的互联方式. 6.7.1 将VRF与外部路由器互联 VRF互联的标准方式是使用外部路由成份.在图6-11中,路由器R1就是这样的外部设备.虽然6500B上的每个VRF都有一条穿过R1指向汇总地址172.20.0.0/14的静态路由,但是R1知道每个VRF所连接的网络. 例6-17使用了图6-11所示的拓扑,并提供了下述细节. 例6-17 使用外部路由器连接VRF 6500B上每个VRF的静态

首都师范大学虚拟化实验教学平台解决方案

强大.灵活.高效 首都师范大学基于AMD双核皓龙TM 计算平台搭建新一代实验教学平台 为了能够让学生掌握实用的IT技术,我校在培养计算机人才时非常注重实验教学.开展实验教学离不开由各种硬件设备构成的实验平台,由于教学资金有限,我们在打造实验教学平台时不仅要考虑先进性的问题,还要兼顾如何让有限的资金发挥出最大的价值.最近我们基于AMD强大的双核计算技术,仅利用一台服务器和一套虚拟软件,就以非常经济的投入搭建出了一个先进的实验教学平台.该平台不仅能够以简单的方式模拟出各种IT环境,高效地支持各学科的