作业v4第五天答案

1、第五天作业SEC-V4-FW实验题注意:请把所有相关配置和测试过程粘贴到作业中一，拓扑网络设备和网段以及 IP 地址如拓扑所示ASA&RouterWin7DNS二，各设备初始化完毕后，完成以下需求：1，配置基于用户的 MPFa，当yesalbuser1 b，当yeslabuser2外部 HTTP 服务器 Out.R1 时，在 URI 中不能出现“sh/run”关键字。外部 HTTP 服务器 Out.R2 时，在 URI 中不能出现“who关键字。2，配置Botnet Traffic Filtera，配置位于 DMZ 区域的 DNS 服务器（00）：主机：b，在ASA 上启用 Botnet Tr

2、affic Filter，来过滤和 c，完成需求后，使用 Win7 做net/http 测试流量3，配置 NATa，为保障用户能够ernet，请把 /24 网络动态转换到外部地址池00-00，如果地址池耗尽后，PAT 到 01。b，当 Win7 使用当Win7 使用HTTP c，把 DMZ 区域内的Out.R1 服务器（物理口）时，转换为 00。 Out.R2 服务器（物理口）时，转换为 01。net 服务器（DMZ.R1 的 loack0）转换到外部 ，确保 Out.R1 设备能够。d，把HTTP 服务器 In.R1（Lookback0）的 80 和DMZ 区域的 HTTP 服务器 Out.

3、R1（物理口）的 80，分别静态转换到 ASA 的 Outside 接口的 8002 和 8003 端口上。确保 Out.R2 能测试通过。解法：*需求 1*username yeslabuser2 passwordciscousername yeslabuser1 passwordciscoobject-group user yeslabgroup1user LOCALyeslabuser1 object-group user yeslabgroup2 user LOCALyeslabuser2acs-list yeslabuser1.acl extended permit tcp obje

4、ct-group-user yeslabgroup1 any host eq wwwacs-list yeslabuser2.acl extended permit tcp object-group-user yeslabgroup2 any host eq wwwclass-map yeslabgroup2.classmatch acs-list yeslabuser2.aclclass-map yeslabgroup1.classmatch acs-list yeslabuser1.aclclass-map inspection_defaultmatch default-inspectio

5、n-trafficpolicy-map global_policyclass yeslabgroup1.class inspect http sh/runclass yeslabgroup2.classinspect http who*需求 2* DNS 配置ASA 配置dns-lookup DMZDNS server-group DefauNSname-server 00-name policy-map global_policyclass inspection_defaultno inspect dns preset_dns_mapinspect dns preset_dns_map dy

6、namic-filter-snoopacs-list yeslab extended permit ip any host dynamic-filter enableerface inside classify-list yeslabdynamic-filter drdynamic-filter drlacklistlacklisterface insideerface inside threevel range high very-highdynamic-filter ambiguous-is-black测试：*需求 3*在 ASA 上首先 NO 掉 Botnet 配置no dynamic-

7、filter enableerface inside classify-list yeslabno dynamic-filter drno dynamic-filter drlacklistlacklisterface insideerface inside threevel range high very-higha，object network Outside.Nat.Pool range 00 00object network Outside.PAT.Address host 01object-group network Outside.Address network-object ob

8、ject Outside.Nat.Pool network-object object Outside.PAT.Address object network Inside.Networksubnet nat (Inside,Outside) dynamic Outside.Address测试：erfaceb，object network dst.address.R1host object network dst.address.R2 host object network PAT.100 host 00object network PAT.101 host 01object network I

9、nside.addresshost object servicenet.23service tcp destination eqobject service http.80netservice tcp destination eq wwwnat (Inside,Outside) source dynamic Inside.address PAT.100 destination sic dst.address .R1dst.address.R1servicenet.23net.23nat (Inside,Outside) source dynamic Inside.address PAT.101

10、 destination sic dst.address .R2dst.address.R2测试：:service http.80 http.80ASA 上查看转换HTTP：ASA 上查看转换：c，Out.R1 上配置：ip route 0ASA 上配置：route DMZ 55 object network Outside.addresshost object network DMZ.address host nat (DMZ,Outside) sic Outside.addressacacs-list out per tcp any host eq 23s-group out inerface outside测试：d，route inside 55 object network DMZ.address host nat (DMZ,Outside) sicerfaervice tcp www 8003object network Inside.addresshost nat (Inside,Outside) sicerfaervice tc