CCNP_SEC_ASA 第三天作业
实验需求:
- ASA 使用列表放行 Outside 路由器到 DMZ 路由器的 WWW 流量并拒绝 Telnet 流量,当放行和拒绝流量匹配后产生日志通告。
提示:需要使能 ASA的日志功能和 DMZ路由器的 HTTP功能。
设备配置:
##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
access-list Outside_access_in extended permit tcp 202.100.1.0 255.255.255.0 192.168.1.0 255.255.255.0 eq www
access-list Outside_access_in extended deny tcp interface Outside interface DMZ eq telnet
access-group Outside_access_in in interface Outside
测试现象:
##此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图##
拒绝流量
- ASA 使用 Object Group 放行 Inside 区域去往 Outside 区域的流量:HTTP(20100.1.1),FTP(20100.1.2),DNS(20100.1.3),并在 PC上测试 HTTP访问。
提示:最后需要放行 SSH流量,否则WIN7 CRT无法管理。
设备配置:
##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
object network Outside-http
host 202.100.1.1
object network Outside-ftp
host 202.100.1.2
object network Outside-dns
host 202.100.1.3
object-group network Outside-app
network-object object Outside-dns
network-object object Outside-ftp
network-object object Outside-http
network-object object Outside-ssh
object-group service Outside-service
service-object tcp destination eq ftp
service-object tcp destination eq http
service-object udp destination eq domain
access-list Inside_access_in line 1 extended permit object-group Outside-service 10.1.1.0 255.255.255.0 object-group Outside-app
access-group Inside_access_in in interface Inside
outside路由器配置
ip http server
ip http authentication local
测试现象:
##此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图##
- 放行 Inbound的 ICMP流量并测试。
设备配置:
##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
access-list global_access line 1 extended permit icmp any any
测试现象:
##此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图##
- 网管人员怀疑内网中一台主机(10.1.1.100)有问题,想暂时禁止此主机访问(同时也拒绝其他人访问此主机),请给出解决方案。
提示:可用 ping命令和 debug命令展示效果,截图后 no掉该配置即可,以免影响后续实验。
设备配置:
##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
shun 10.1.1.100
测试现象:
##此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图##
- 禁止 Outside路由器 ping ASA防火墙的 Outside接口(202.100.1.10),但是不影响防火墙 ping Outside路由器(202.100.1.1)。
设备配置:
##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
Outside配置
ip access-list extended ping
1 deny icmp host 202.100.1.10 host 202.100.1.1 echo-reply
5 permit icmp any any
interface GigabitEthernet1
ip access-group ping in
测试现象:
##此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图##
- 参考如下拓扑配置配置防火墙和路由器,将 ASA防火墙的 Outside和 Outside2 口加入 zone,完成 Traffic Zone实验,并配置路由,使去往 1.1.1.1的流量实现负载均衡(zone-name:outside)
提示:在原实验拓扑上完成此实验即可,202.100.2.0/24网络分别接在 ASA的 Gi0/3接口和 Outside路由器的 Gi2接口,并用 Telnet测试输出如下结果。
ASA# sh conn zone outside | in 1.1.1.1
TCP outside:Outside(Outside) 1.1.1.1:23 Inside 10.1.1.1:22529, idle 0:00:05,bytes 178, flags UIO
TCP outside:Outside(Outside2) 1.1.1.1:23 Inside 10.1.1.100:49186, idle0:04:32, bytes 195, flags UIO
设备配置:
##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
Outside 配置
interface GigabitEthernet2
ip address 202.100.2.1 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 202.100.1.10
ip route 0.0.0.0 0.0.0.0 202.100.2.10
ASA配置
zone outside
interface GigabitEthernet0/0
nameif Outside
security-level 0
zone-member outside
ip address 202.100.1.10 255.255.255.0
interface GigabitEthernet0/3
nameif Outside2
security-level 0
zone-member outside
ip address 202.100.2.10 255.255.255.0
route Outside 0.0.0.0 0.0.0.0 202.100.1.1 1
route Outside2 0.0.0.0 0.0.0.0 202.100.2.1 1
测试现象:
##此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图##
access-list ASA-ZONE-PBR extended permit icmp host 10.1.1.100 host 1.1.1.1
route-map PBR-ASA-ZONE permit 10
match ip address ASA-ZONE-PBR
set ip next-hop 202.100.2.1
interface GigabitEthernet0/0
policy-route route-map PBR-ASA-ZONE
删除outside 路由
no ip route 0.0.0.0 0.0.0.0 202.100.2.10
- 参考如下拓扑配置配置防火墙,按照教主视频完成 Identity Firewall实验。(建议从零预配开始配置,更接近于实际生产环境)
提示:需要看到如下输出:
ASA# show user-identity user active domain QYTANG list detail
Total active users: 2 Total IP addresses: 2
QYTANG: 2 users, 2 IP addresses
QYTANG\Administrator: 1 active conns; idle 0 mins
192.168.1.200: login 0 mins, idle 0 mins, 1 active conns
QYTANG\aduser: 3 active conns; idle 0 mins
10.1.1.1: login 0 mins, idle 0 mins, 3 active conns
设备配置:
##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
服务器开启ad服务 添加aduser用户等
ASA
dns domain-lookup DMZ
dns server-group DefaultDNS
name-server 192.168.1.100
domain-name qytang.com
aaa-server QYTAD protocol ldap
aaa-server QYTAD (DMZ) host 192.168.1.100
server-port 389
ldap-base-dn DC=qytang,DC=com
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password Cisc0123
ldap-login-dn cn=administrator,cn=users,dc=qytang,dc=com
server-type auto-detect
ADagent
CMD:adacfg dc create -name QYTAD -host ad.qytang.com -domain qytang.com -user administrator -password Cisc0123
CMD:adacfg syslog create -name kiwi-server -ip 192.168.1.200
AD域控
aaa-server adagent protocol radius
ad-agent-mode
aaa-server adagent (DMZ) host 192.168.1.200
key cisco
!
user-identity domain QYTANG aaa-server QYTAD
user-identity default-domain QYTANG
user-identity ad-agent aaa-server adagent
aaa authentication ssh console LOCAL
!
object-group user qytang-aduser
user QYTANG\aduser
object-group user qytang-group
user-group QYTANG\\adgroup
access-list in extended deny icmp object-group-user qytang-aduser any host 192.168.1.200
access-list in extended permit ip any any
access-group in in interface Inside
policy-map global_policy
class inspection_default
inspect icmp
确保client和ad server通信正常
show user-identity user active domain qytang list detail
测试现象:
##此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图##
相关文章:
CCNP_SEC_ASA 第三天作业
实验需求: ASA 使用列表放行 Outside 路由器到 DMZ 路由器的 WWW 流量并拒绝 Telnet 流量,当放行和拒绝流量匹配后产生日志通告。 提示:需要使能 ASA的日志功能和 DMZ路由器的 HTTP功能。 设备配置: ##此处展示各设备的配置&am…...
TypeError: Cannot read properties of null (reading ‘ce‘)
vue项目本地跑不起来,但是build之后能运行,本地报错 是因为你的vue版本不对,你的package可能是这样写的 这个表示你允许你的npm安装vue3的任意版本,但是build是按照这个版本来的,所以build之后能运行,本地运…...
AdminJS - 集成 MySQL 的现代化管理面板开发指南
AdminJS - 集成 MySQL 的现代化管理面板开发指南 MySQL 集成配置 首先需要安装必要的依赖: npm install adminjs adminjs/express express npm install adminjs/sequelize sequelize mysql2基础配置示例 const AdminJS require(adminjs) const AdminJSExpress …...
上传文件(vue3)
使用el-upload 先上传到文件服务器,生成url 然后点击确定按钮: 保存数据 <template><el-dialog top"48px" width"500" title"新增协议" :modelValue"visible" close"handleClose()">…...
【Win10 环境vscode配置boost】
文章目录 Boost exe版本windows环境安装vscode配置安装测试总结 Boost exe版本windows环境安装 这里不介绍boost源码安装,请自行网络搜索。本文要介绍的是window下单c文件(cpp),调用boost库的执行配置。不涉及多文件。 安装文件下…...
中间件 redis安装
redis官网地址:Redis - The Real-time Data Platform 环境 CentOS Linux release 7.9.2009 (Core) java version "17.0.12" 2024-07-16 LTS 1、通过压缩包安装redis 1,远程下载redis压缩包,或去官网下载:Downloads …...
[java] 简单的熔断器scala语言案例
failureRateInterval时间内如果addEx(错误)达到 maxFailuresPerInterval 次数,则fused方法返回true,表示触发熔断,进入冷却期coolingInterval,冷却期内fused方法返回true,冷却期过后进入下一个错误统计周期。 scala语言完成 imp…...
【java】序列化的种类和使用场景
文章目录 序列化概述什么是序列化?序列化的作用 Java内置序列化java.io.Serializable接口使用ObjectOutputStream和ObjectInputStream优缺点分析 自定义序列化实现Externalizable接口自定义序列化方法适用场景 第三方序列化框架KryoProtobuf (Google Protocol Buffe…...
Qt5与Qt6中的高DPI缩放属性解析
在Qt5中,高DPI缩放默认是禁用的。为了启用它,开发者需要设置Qt::AA_EnableHighDpiScaling应用程序属性。然而,在Qt6中,高DPI缩放默认是启用的,并且不能被禁用。这种变化使得开发者在处理高分辨率屏幕时更加方便&#x…...
Mac使用总结
Mac 常用快捷键 复制:Cmdc粘贴:Cmdv只粘贴文档: ShiftCmdv行首: Cmd<行尾:Cmd>鼠标处选中到行首:ShiftCmd<鼠标处选中到行尾:ShiftCmd>选中整行:上面两个命令组合鼠标处…...
【日期规则】EXCEl 自定义日期匹配规则,学习基础知识,自由匹配场景
excel 新建规则工具路径:开始 - 条件格式 - 新建规则 B$1TODAY() 注意:新建规则后,要点击 条件格式 - 管理规则 - 应用于 要选择规则应用范围 使用场景: excel 做进度管理当中可以查看当天的情况;每周的学习规划 或…...
苹果电脑可以安装windows操作系统吗?Mac OS X/OS X/macOS傻傻分不清?macOS系统的Java支持?什么是macOS的五大API法王?
苹果电脑可以安装windows操作系统吗? 先抛开虚拟机安装,苹果电脑可以安装Windows操作系统。苹果公司提供了一个名为Boot Camp的软件,它允许用户在Mac电脑上安装Windows操作系统。通过Boot Camp,用户可以在启动电脑时选择是要进入macOS还是Wi…...
芋道SpringBoot配置Maven、创建SpringBoot项目、创建Web接口、读取配置信息
🌹作者主页:青花锁 🌹简介:Java领域优质创作者🏆、Java微服务架构公号作者😄 🌹简历模板、学习资料、面试题库、技术互助 🌹文末获取联系方式 📝 系列文章目录 第一章 芋…...
物理机内网穿透
前言: 本文主要讲述如何使用内网穿透以及其安全性。 将带领大家在公网上搭建几个常用靶场。 一,什么是内网穿透。 大多数情况下,我们的个人电脑都处于内网,即没有可公开访问的独立 IP 地址,因此其他内网用户找不到…...
Vue 3: 通过图片链接获取图片颜色,间接设置背景颜色
在现代Web开发中,动态获取和处理图像数据是一个常见的需求。例如,你可能希望自动提取一张图片的主色调,以便根据这些颜色进行UI主题调整或其他视觉效果的处理。本文将介绍如何在Vue 3项目中,通过一个图片链接获取图片的颜色信息。…...
opencv-python的简单练习
题目1.读取一张彩色图像并将其转换为灰度图。 import cv2 # 读取图片文件 img cv2.imread(./1.png)# 将原图灰度化 img_gray cv2.cvtColor(img,cv2.COLOR_BGR2GRAY)# 输出图片 cv2.imshow(img,img) cv2.imshow(img_g,img_gray) # 进行阻塞 cv2.waitKey(0) 题目2:…...
如何使用生成式AI实现跨领域内容生成
文章目录 引言生成式AI的基本概念定义与分类技术发展现状 跨领域内容生成的技术实现数据准备模型选择与设计训练策略 应用案例分析教育培训新闻媒体文化创意产业 实践建议确定明确的目标构建合适的团队持续迭代改进遵守法律法规 结论 引言 在当今数字化时代,信息的…...
【Linux】socket编程1
socket编程1 1. 网络字节序2. ip地址转换函数3. sockaddr数据结构 1. 网络字节序 多字节数据有大端和小端之分,网络数据流采用大端字节序,如果主机采用的是小端字节序,那么需要转换。 大端:低地址存高字节,高地址存低…...
Linux文件属性 --- 七种文件类型---文件.目录、软硬链接、字符设备文件
目录 七种文件类型 1、普通文件和目录 2、链接文件 2.1硬链接 2.2软链接 3、字符设备文件 一、七种文件类型 Linux的文件属性中一共有以下七种类型 : 符号类型含义解释-普通文件纯文本文件(ASCII)和二进制文件(binaryÿ…...
Tree-of-Counterfactual Prompting for Zero-Shot Stance Detection
论文地址:Tree-of-Counterfactual Prompting for Zero-Shot Stance Detection - ACL Anthologyhttps://aclanthology.org/2024.acl-long.49/ 1. 概述 立场检测被定义为对文本中立场态度的自动推断。根据 Biber 和 Finegan (1988) 的定义,立场包含两个主…...
NextJs 路由管理
NextJs 路由管理 Defining Routes 1. Creating Routes 2. Creating UI export default function Page() {return <h1>Hello, Next.js!</h1> }Route Groups 路由组 1. 在不影响 URL 路径的情况下组织路由 要在不影响 URL 的情况下组织路由,请创建一…...
hive 小文件分析
1、获取fsimage文件: hdfs dfsadmin -fetchImage /data/xy/ 2、从二进制文件解析: hdfs oiv -i /data/xy/fsimage_0000000019891608958 -t /data/xy/tmpdir -o /data/xy/out -p Delimited -delimiter “,” 3、创建hive表 create database if not exists…...
【JavaWeb后端学习笔记】WebSocket通信
WebSocket是基于TCP的一种新的网络协议。它实现了浏览器与服务器全双工通信——浏览器和服务器只需要完成一次握手,两者之间就可以创建持久性的连接,并进行双向数据传输。 主要应用场景:视频弹幕、网页聊天、体育实况更新、股票基金报价实时…...
搭建springmvc项目
什么是springmvc MVC它是一种设计理念。把程序按照指定的结构来划分: Model模型 View视图 Controller控制层 springmvc框架是spring框架的一个分支。它是按照mvc架构思想设计的一款框架。 springmvc的主要作用: 接收浏览器的请求数据,对数据进行处理,…...
Springboot3.x配置类(Configuration)和单元测试
配置类在Spring Boot框架中扮演着关键角色,它使开发者能够利用Java代码定义Bean、设定属性及调整其他Spring相关设置,取代了早期版本中依赖的XML配置文件。 集中化管理:借助Configuration注解,Spring Boot让用户能在一个或几个配…...
java后端环境配置
因为现在升学了,以前本来想毕业干java的,很多java的环境配置早就忘掉了(比如mysql maven jdk idea),想写个博客记录下来,以后方便自己快速搭建环境 JAVA后端开发配置 环境配置jdkideamavenMySQLnavicate17…...
手眼标定工具操作文档
1.手眼标定原理介绍 术语介绍 手眼标定:为了获取相机与机器人坐标系之间得位姿转换关系,需要对相机和机器人坐标系进行标定,该标定过程成为手眼标定,用于存储这一组转换关系的文件称为手眼标定文件。 ETH:即Eye To …...
WebGIS城市停水及影响范围可视化实践
目录 前言 一、相关信息介绍 1、停水信息的来源 2、停水包含的相关信息 二、功能简介 1、基础小区的整理 2、停水计划的管理 三、WebGIS空间可视化 1、使用到的组件 2、停水计划的展示 3、影响小区的展示 4、实际效果 四、总结 前言 城市停水,一个看似…...
无管理员权限 LCU auth-token、port 获取(全网首发 go)
一: 提要: 参考项目: https://github.com/Zzaphkiel/Seraphine 想做一个 lol 查战绩的软件,并且满足自己的需求(把混子和大爹都表示出来),做的第一步就是获取 lcu token ,网上清一色…...
【数字花园】数字花园(个人网站、博客)搭建经历教程
目录 写在最最前面数字花园的定义第一章:netlify免费搭建数字花园相关教程使用的平台步骤信息管理 第二章:本地部署数字花园数字花园网站本地手动部署方案1. 获取网站源码2.2 安装 Node.js 3. 项目部署3.1 安装项目依赖3.2 构建项目3.3 启动http服务器 4…...