网络设备安全部署-PPT03-v1.0.ppt

* * * * * * * * * * * * * * * 通过提问进行复习和小结。 * * * * 这里应该重点提醒学员用户名默认为pix，密码则是课程开始是配置的远程登录密码“passwd 密码”。相关查询命令有show ssh session show crypto key mypubkey rsa （查看产生的rsa密钥） asa#sh crypto key mypubkey rsa Key pair was generated at: 14:37:47 UTC Jun 12 2010 Key name: Default-RSA-Key Usage: General Purpose Key Modulus Size (bits): 1024 Key Data: 30819f30 0d06092a 864886f7 0d0101018d00308100cd9fb3 831e0fdd 91da59dd 62207a1c 0336f253 0878615c 56a9cc47 e79f9f5b 8bf22eae 2da28736 affec8e9 09f63761 87b423ac e72b1355 a474b137 b89edc49 5d39f05d f12ecada cf74f140 c5f8df62 c164a720 848cf278 8766c8e2 2a4ac6e8 c3bd9d78 3f871f6a c0c044b6 f559497e a3f3135c d76c9a0c 560536c1 c5a527b80001 通过crypto key zeroize rsa命令可以清除所有产生的密钥 扩展内容： 通过username 用户名 password 密码可以配置用户名和密码，就不用默认使用pix当用户名了，但是需要通过AAA对ssh做一个本地认证，具体命令如下： aaa authentication ssh console LOCAL(这里必须大写) * * * * * * * B e n e t BENET 4.0 B e n e t BENET 4.0 */26 BENET 4.0 B e n e t BENET 4.0 */29 B e n e t BENET 4.0 */26 第三章 Cisco ASA应用 —— 理论部分 状态化防火墙的原理是什么？ ASA上不同安全级别的接口之间互相访问时，遵从的默认规则是什么？ 在ASA上配置ACL的作用是什么？ 课程回顾 理解NAT控制 会配置NAT规则 会远程管理ASA 技能展示 本章结构 Cisco ASA应用 网络地址转换（NAT） 配置Telnet接入 配置SSH接入 远程管理ASA 动态NAT 动态PAT 静态NAT 静态PAT NAT控制 NAT豁免 配置ASDM接入 网络地址转换（NAT） ASA上的NAT类型 动态NAT 动态PAT 静态NAT 静态PAT 动态NAT Inside Outside /24 /24 R1 DMZ /24 PC3 PC4 /24 PC2 PC1 NAT地址池：00－200 配置动态NAT实现网段/24访问PC4 配置步骤： 1）指定需要进行地址转换的网段 asa(config)# nat (inside) 1 2）定义全局地址池 asa(config)# global (outside) 1 00-00 nat-id相同 使用show xlate detail命令查看NAT转换表： asa# show xlate detail 1 in use, 1 most used Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random, r - portmap, s - static NAT from inside: to outside:00 flags i 要清除xlate表，可以使用clear xlate命令 如果要求配置动态NAT实现网段/24访问DMZ区的主机PC3 时也进行地址转换，NAT地址池为00－00， 应该如何配置？ asa(config)# global (dmz) 1 00-00 PC2能访问PC4吗？是否进行地址转换？ 由于PC2所在的网段是/24，并没有匹配NAT规则， 所以不进行地址转换 但PC2是可以访问PC4的，只不过它使用的是自身的IP地址 为Inside区域内的所有网段实施动态NAT的配置命令： asa(config)# nat (inside) 1 0 0 动态PAT Inside O