CCNP_SEC_ASA 第三天作业
实验需求:
- ASA 使用列表放行 Outside 路由器到 DMZ 路由器的 WWW 流量并拒绝 Telnet 流量,当放行和拒绝流量匹配后产生日志通告。
提示:需要使能 ASA的日志功能和 DMZ路由器的 HTTP功能。
设备配置:
##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
access-list Outside_access_in extended permit tcp 202.100.1.0 255.255.255.0 192.168.1.0 255.255.255.0 eq www
access-list Outside_access_in extended deny tcp interface Outside interface DMZ eq telnet
access-group Outside_access_in in interface Outside
测试现象:
##此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图##
拒绝流量

- ASA 使用 Object Group 放行 Inside 区域去往 Outside 区域的流量:HTTP(20100.1.1),FTP(20100.1.2),DNS(20100.1.3),并在 PC上测试 HTTP访问。
提示:最后需要放行 SSH流量,否则WIN7 CRT无法管理。
设备配置:
##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
object network Outside-http
host 202.100.1.1
object network Outside-ftp
host 202.100.1.2
object network Outside-dns
host 202.100.1.3
object-group network Outside-app
network-object object Outside-dns
network-object object Outside-ftp
network-object object Outside-http
network-object object Outside-ssh
object-group service Outside-service
service-object tcp destination eq ftp
service-object tcp destination eq http
service-object udp destination eq domain
access-list Inside_access_in line 1 extended permit object-group Outside-service 10.1.1.0 255.255.255.0 object-group Outside-app
access-group Inside_access_in in interface Inside
outside路由器配置
ip http server
ip http authentication local
测试现象:
##此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图##

- 放行 Inbound的 ICMP流量并测试。
设备配置:
##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
access-list global_access line 1 extended permit icmp any any
测试现象:
##此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图##


- 网管人员怀疑内网中一台主机(10.1.1.100)有问题,想暂时禁止此主机访问(同时也拒绝其他人访问此主机),请给出解决方案。
提示:可用 ping命令和 debug命令展示效果,截图后 no掉该配置即可,以免影响后续实验。
设备配置:
##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
shun 10.1.1.100
测试现象:
##此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图##

- 禁止 Outside路由器 ping ASA防火墙的 Outside接口(202.100.1.10),但是不影响防火墙 ping Outside路由器(202.100.1.1)。
设备配置:
##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
Outside配置
ip access-list extended ping
1 deny icmp host 202.100.1.10 host 202.100.1.1 echo-reply
5 permit icmp any any
interface GigabitEthernet1
ip access-group ping in
测试现象:
##此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图##


- 参考如下拓扑配置配置防火墙和路由器,将 ASA防火墙的 Outside和 Outside2 口加入 zone,完成 Traffic Zone实验,并配置路由,使去往 1.1.1.1的流量实现负载均衡(zone-name:outside)
提示:在原实验拓扑上完成此实验即可,202.100.2.0/24网络分别接在 ASA的 Gi0/3接口和 Outside路由器的 Gi2接口,并用 Telnet测试输出如下结果。
ASA# sh conn zone outside | in 1.1.1.1
TCP outside:Outside(Outside) 1.1.1.1:23 Inside 10.1.1.1:22529, idle 0:00:05,bytes 178, flags UIO
TCP outside:Outside(Outside2) 1.1.1.1:23 Inside 10.1.1.100:49186, idle0:04:32, bytes 195, flags UIO
设备配置:
##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
Outside 配置
interface GigabitEthernet2
ip address 202.100.2.1 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 202.100.1.10
ip route 0.0.0.0 0.0.0.0 202.100.2.10
ASA配置
zone outside
interface GigabitEthernet0/0
nameif Outside
security-level 0
zone-member outside
ip address 202.100.1.10 255.255.255.0
interface GigabitEthernet0/3
nameif Outside2
security-level 0
zone-member outside
ip address 202.100.2.10 255.255.255.0
route Outside 0.0.0.0 0.0.0.0 202.100.1.1 1
route Outside2 0.0.0.0 0.0.0.0 202.100.2.1 1
测试现象:
##此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图##
access-list ASA-ZONE-PBR extended permit icmp host 10.1.1.100 host 1.1.1.1
route-map PBR-ASA-ZONE permit 10
match ip address ASA-ZONE-PBR
set ip next-hop 202.100.2.1
interface GigabitEthernet0/0
policy-route route-map PBR-ASA-ZONE
删除outside 路由
no ip route 0.0.0.0 0.0.0.0 202.100.2.10

- 参考如下拓扑配置配置防火墙,按照教主视频完成 Identity Firewall实验。(建议从零预配开始配置,更接近于实际生产环境)
提示:需要看到如下输出:
ASA# show user-identity user active domain QYTANG list detail
Total active users: 2 Total IP addresses: 2
QYTANG: 2 users, 2 IP addresses
QYTANG\Administrator: 1 active conns; idle 0 mins
192.168.1.200: login 0 mins, idle 0 mins, 1 active conns
QYTANG\aduser: 3 active conns; idle 0 mins
10.1.1.1: login 0 mins, idle 0 mins, 3 active conns
设备配置:
##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
服务器开启ad服务 添加aduser用户等
ASA
dns domain-lookup DMZ
dns server-group DefaultDNS
name-server 192.168.1.100
domain-name qytang.com
aaa-server QYTAD protocol ldap
aaa-server QYTAD (DMZ) host 192.168.1.100
server-port 389
ldap-base-dn DC=qytang,DC=com
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password Cisc0123
ldap-login-dn cn=administrator,cn=users,dc=qytang,dc=com
server-type auto-detect
ADagent
CMD:adacfg dc create -name QYTAD -host ad.qytang.com -domain qytang.com -user administrator -password Cisc0123
CMD:adacfg syslog create -name kiwi-server -ip 192.168.1.200
AD域控

aaa-server adagent protocol radius
ad-agent-mode
aaa-server adagent (DMZ) host 192.168.1.200
key cisco
!
user-identity domain QYTANG aaa-server QYTAD
user-identity default-domain QYTANG
user-identity ad-agent aaa-server adagent
aaa authentication ssh console LOCAL
!
object-group user qytang-aduser
user QYTANG\aduser
object-group user qytang-group
user-group QYTANG\\adgroup
access-list in extended deny icmp object-group-user qytang-aduser any host 192.168.1.200
access-list in extended permit ip any any
access-group in in interface Inside
policy-map global_policy
class inspection_default
inspect icmp
确保client和ad server通信正常
show user-identity user active domain qytang list detail
测试现象:
##此处展示实验需求的测试结果,可以粘贴文字,也可以粘贴截图##






相关文章:
CCNP_SEC_ASA 第三天作业
实验需求: ASA 使用列表放行 Outside 路由器到 DMZ 路由器的 WWW 流量并拒绝 Telnet 流量,当放行和拒绝流量匹配后产生日志通告。 提示:需要使能 ASA的日志功能和 DMZ路由器的 HTTP功能。 设备配置: ##此处展示各设备的配置&am…...
TypeError: Cannot read properties of null (reading ‘ce‘)
vue项目本地跑不起来,但是build之后能运行,本地报错 是因为你的vue版本不对,你的package可能是这样写的 这个表示你允许你的npm安装vue3的任意版本,但是build是按照这个版本来的,所以build之后能运行,本地运…...
AdminJS - 集成 MySQL 的现代化管理面板开发指南
AdminJS - 集成 MySQL 的现代化管理面板开发指南 MySQL 集成配置 首先需要安装必要的依赖: npm install adminjs adminjs/express express npm install adminjs/sequelize sequelize mysql2基础配置示例 const AdminJS require(adminjs) const AdminJSExpress …...
上传文件(vue3)
使用el-upload 先上传到文件服务器,生成url 然后点击确定按钮: 保存数据 <template><el-dialog top"48px" width"500" title"新增协议" :modelValue"visible" close"handleClose()">…...
【Win10 环境vscode配置boost】
文章目录 Boost exe版本windows环境安装vscode配置安装测试总结 Boost exe版本windows环境安装 这里不介绍boost源码安装,请自行网络搜索。本文要介绍的是window下单c文件(cpp),调用boost库的执行配置。不涉及多文件。 安装文件下…...
中间件 redis安装
redis官网地址:Redis - The Real-time Data Platform 环境 CentOS Linux release 7.9.2009 (Core) java version "17.0.12" 2024-07-16 LTS 1、通过压缩包安装redis 1,远程下载redis压缩包,或去官网下载:Downloads …...
[java] 简单的熔断器scala语言案例
failureRateInterval时间内如果addEx(错误)达到 maxFailuresPerInterval 次数,则fused方法返回true,表示触发熔断,进入冷却期coolingInterval,冷却期内fused方法返回true,冷却期过后进入下一个错误统计周期。 scala语言完成 imp…...
【java】序列化的种类和使用场景
文章目录 序列化概述什么是序列化?序列化的作用 Java内置序列化java.io.Serializable接口使用ObjectOutputStream和ObjectInputStream优缺点分析 自定义序列化实现Externalizable接口自定义序列化方法适用场景 第三方序列化框架KryoProtobuf (Google Protocol Buffe…...
Qt5与Qt6中的高DPI缩放属性解析
在Qt5中,高DPI缩放默认是禁用的。为了启用它,开发者需要设置Qt::AA_EnableHighDpiScaling应用程序属性。然而,在Qt6中,高DPI缩放默认是启用的,并且不能被禁用。这种变化使得开发者在处理高分辨率屏幕时更加方便&#x…...
Mac使用总结
Mac 常用快捷键 复制:Cmdc粘贴:Cmdv只粘贴文档: ShiftCmdv行首: Cmd<行尾:Cmd>鼠标处选中到行首:ShiftCmd<鼠标处选中到行尾:ShiftCmd>选中整行:上面两个命令组合鼠标处…...
【日期规则】EXCEl 自定义日期匹配规则,学习基础知识,自由匹配场景
excel 新建规则工具路径:开始 - 条件格式 - 新建规则 B$1TODAY() 注意:新建规则后,要点击 条件格式 - 管理规则 - 应用于 要选择规则应用范围 使用场景: excel 做进度管理当中可以查看当天的情况;每周的学习规划 或…...
苹果电脑可以安装windows操作系统吗?Mac OS X/OS X/macOS傻傻分不清?macOS系统的Java支持?什么是macOS的五大API法王?
苹果电脑可以安装windows操作系统吗? 先抛开虚拟机安装,苹果电脑可以安装Windows操作系统。苹果公司提供了一个名为Boot Camp的软件,它允许用户在Mac电脑上安装Windows操作系统。通过Boot Camp,用户可以在启动电脑时选择是要进入macOS还是Wi…...
芋道SpringBoot配置Maven、创建SpringBoot项目、创建Web接口、读取配置信息
🌹作者主页:青花锁 🌹简介:Java领域优质创作者🏆、Java微服务架构公号作者😄 🌹简历模板、学习资料、面试题库、技术互助 🌹文末获取联系方式 📝 系列文章目录 第一章 芋…...
物理机内网穿透
前言: 本文主要讲述如何使用内网穿透以及其安全性。 将带领大家在公网上搭建几个常用靶场。 一,什么是内网穿透。 大多数情况下,我们的个人电脑都处于内网,即没有可公开访问的独立 IP 地址,因此其他内网用户找不到…...
Vue 3: 通过图片链接获取图片颜色,间接设置背景颜色
在现代Web开发中,动态获取和处理图像数据是一个常见的需求。例如,你可能希望自动提取一张图片的主色调,以便根据这些颜色进行UI主题调整或其他视觉效果的处理。本文将介绍如何在Vue 3项目中,通过一个图片链接获取图片的颜色信息。…...
opencv-python的简单练习
题目1.读取一张彩色图像并将其转换为灰度图。 import cv2 # 读取图片文件 img cv2.imread(./1.png)# 将原图灰度化 img_gray cv2.cvtColor(img,cv2.COLOR_BGR2GRAY)# 输出图片 cv2.imshow(img,img) cv2.imshow(img_g,img_gray) # 进行阻塞 cv2.waitKey(0) 题目2:…...
如何使用生成式AI实现跨领域内容生成
文章目录 引言生成式AI的基本概念定义与分类技术发展现状 跨领域内容生成的技术实现数据准备模型选择与设计训练策略 应用案例分析教育培训新闻媒体文化创意产业 实践建议确定明确的目标构建合适的团队持续迭代改进遵守法律法规 结论 引言 在当今数字化时代,信息的…...
【Linux】socket编程1
socket编程1 1. 网络字节序2. ip地址转换函数3. sockaddr数据结构 1. 网络字节序 多字节数据有大端和小端之分,网络数据流采用大端字节序,如果主机采用的是小端字节序,那么需要转换。 大端:低地址存高字节,高地址存低…...
Linux文件属性 --- 七种文件类型---文件.目录、软硬链接、字符设备文件
目录 七种文件类型 1、普通文件和目录 2、链接文件 2.1硬链接 2.2软链接 3、字符设备文件 一、七种文件类型 Linux的文件属性中一共有以下七种类型 : 符号类型含义解释-普通文件纯文本文件(ASCII)和二进制文件(binaryÿ…...
Tree-of-Counterfactual Prompting for Zero-Shot Stance Detection
论文地址:Tree-of-Counterfactual Prompting for Zero-Shot Stance Detection - ACL Anthologyhttps://aclanthology.org/2024.acl-long.49/ 1. 概述 立场检测被定义为对文本中立场态度的自动推断。根据 Biber 和 Finegan (1988) 的定义,立场包含两个主…...
KubeSphere 容器平台高可用:环境搭建与可视化操作指南
Linux_k8s篇 欢迎来到Linux的世界,看笔记好好学多敲多打,每个人都是大神! 题目:KubeSphere 容器平台高可用:环境搭建与可视化操作指南 版本号: 1.0,0 作者: 老王要学习 日期: 2025.06.05 适用环境: Ubuntu22 文档说…...
linux之kylin系统nginx的安装
一、nginx的作用 1.可做高性能的web服务器 直接处理静态资源(HTML/CSS/图片等),响应速度远超传统服务器类似apache支持高并发连接 2.反向代理服务器 隐藏后端服务器IP地址,提高安全性 3.负载均衡服务器 支持多种策略分发流量…...
高频面试之3Zookeeper
高频面试之3Zookeeper 文章目录 高频面试之3Zookeeper3.1 常用命令3.2 选举机制3.3 Zookeeper符合法则中哪两个?3.4 Zookeeper脑裂3.5 Zookeeper用来干嘛了 3.1 常用命令 ls、get、create、delete、deleteall3.2 选举机制 半数机制(过半机制࿰…...
HTML 列表、表格、表单
1 列表标签 作用:布局内容排列整齐的区域 列表分类:无序列表、有序列表、定义列表。 例如: 1.1 无序列表 标签:ul 嵌套 li,ul是无序列表,li是列表条目。 注意事项: ul 标签里面只能包裹 li…...
MVC 数据库
MVC 数据库 引言 在软件开发领域,Model-View-Controller(MVC)是一种流行的软件架构模式,它将应用程序分为三个核心组件:模型(Model)、视图(View)和控制器(Controller)。这种模式有助于提高代码的可维护性和可扩展性。本文将深入探讨MVC架构与数据库之间的关系,以…...
【Go】3、Go语言进阶与依赖管理
前言 本系列文章参考自稀土掘金上的 【字节内部课】公开课,做自我学习总结整理。 Go语言并发编程 Go语言原生支持并发编程,它的核心机制是 Goroutine 协程、Channel 通道,并基于CSP(Communicating Sequential Processes࿰…...
嵌入式常见 CPU 架构
架构类型架构厂商芯片厂商典型芯片特点与应用场景PICRISC (8/16 位)MicrochipMicrochipPIC16F877A、PIC18F4550简化指令集,单周期执行;低功耗、CIP 独立外设;用于家电、小电机控制、安防面板等嵌入式场景8051CISC (8 位)Intel(原始…...
SpringAI实战:ChatModel智能对话全解
一、引言:Spring AI 与 Chat Model 的核心价值 🚀 在 Java 生态中集成大模型能力,Spring AI 提供了高效的解决方案 🤖。其中 Chat Model 作为核心交互组件,通过标准化接口简化了与大语言模型(LLM࿰…...
0x-3-Oracle 23 ai-sqlcl 25.1 集成安装-配置和优化
是不是受够了安装了oracle database之后sqlplus的简陋,无法删除无法上下翻页的苦恼。 可以安装readline和rlwrap插件的话,配置.bahs_profile后也能解决上下翻页这些,但是很多生产环境无法安装rpm包。 oracle提供了sqlcl免费许可,…...
规则与人性的天平——由高考迟到事件引发的思考
当那位身着校服的考生在考场关闭1分钟后狂奔而至,他涨红的脸上写满绝望。铁门内秒针划过的弧度,成为改变人生的残酷抛物线。家长声嘶力竭的哀求与考务人员机械的"这是规定",构成当代中国教育最尖锐的隐喻。 一、刚性规则的必要性 …...
