ASA防火墙基本配置
更新时间:2023-11-10 23:23:01 阅读量: 教育文库 文档下载
一、基本配置
#hostname name //名字的设置
#interface gigabitethernet0/0 //进入接口0/0
#nameif outside //配置接口名为outside
#security-level 0 //设置安全级别。 级别从0--100,级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown
#interface ethernet0/1 //进入接口0/1
#nameif inside //配置接口名为inside
#security-level 100 //设置安全级别。 级别从0--100,级别越高安全级别越高 #ip address 192.168.10.1 255.255.255.0 //设置ip地址 #duplex full //全双工 #speed 100 //速率 #no shutdown
#interface ethernet0/2 //进入接口0/2 #nameif dmz //配置接口名为dmz
#security-level 50 //设置安全级别。 级别从0--100,级别越高安全级别越高 #ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址 #no shutdown
#interface Management0/0 //进入管理接口 # nameif guanli //接口名 # security-level 100 //安全级别
#ip address 192.168.1.1 255.255.255.0 //IP地址
注意:security-level 配置安全级别。默认外网接口为 0/0 安全级别默认为 0 内网接口为 0/1 安全级别默认为 100 dmz 接口为 0/2 安全级别默认为 50
默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令:
#same-security-traffic permit interface //允许相同安全级别接口之间互相通信。
较高安全接口访问较低安全接口:允许所有基于IP的数据流通过,除非有ACL访问控制列表,认证或授权的限制。
较低安全接口访问较高安全接口:除非有conduit或acl进行明确的许可,否则丢弃所有的数据包。
二、global、nat、static、route命令
1、global命令
global (if_name) nat_id ipaddress--ipaddress [netmask mask]
if_name:指的是接口
nat_id:为地址池的ID标识号
ipaddress--ipaddress [netmask mask]:指定的IP地址池范围,也可以是一个地址 例:
global(outside) 1 218.106.236.247-218.106.236.249 //配置一个地址池
global(outside) 1 interface //配置单个地址为outside接口的地址
global(outside) 1 218.106.236.237 netmask 255.255.255.248 //配置一个地址池,为255.255.255.248所有子网范围内的地址
2、nat命令
(1)基本用法
nat (if_name) nat_id local_ip [netmask]
if_name:指的是接口
nat_id:为地址池的ID标识号,即global中定义的nat_id local_ip [netmask] :哪些地址转换到nat_id这个地址池上。
(2)动态内部nat转换(多对多) 例:
global(outside) 1 218.106.236.247-218.106.236.249 //配置一个地址池
nat (inside) 1 192.168.9.0 255.255.255.0 //和上面的global配置一起使用,即把192.168.9.0 这个网段的地址转换为218.106.236.247-218.106.236.249这个网段
(3) pat (多对一nat)
当多个ip地址转换为一个ip地址时,就自动在外部IP地址的后面加上大于1024的端口号,以区别不同的转换访问。
global(outside) 1 218.106.236.247 //配置一个外部地址
nat (inside) 1 192.168.9.0 255.255.255.0 //和上面的global配置一起使用,即把192.168.9.0 这个网段的地址转换为218.106.236.247这个外部IP地址。外部人看到的是自动加了端口号的地址。
(4)策略nat
access-list extended net1 permit ip 192.168.9.0 255.255.255.0 host 209.165.200.1 //定义一个策略
global(outside) 1 209.165.200.100 //定义一个地址
nat (inside) 1 access-list net1 //当192.168.9.0 网段的地址访问 209.165.200.1这台电脑时,转换为209.165.200.100这个ip地址。
(5)动态外部nat转换
当低级别的想往高级别的转换时,在后面加outside关键字即可。
nat (dmz) 1 192.168.7.0 255.255.255.0 outside //把dmz接口下的地址nat 到inside接口中 global(inside) 1 192.168.9.10-192.168.9.20 //即dmz接口中的192.168.7.0 网段的地址访问内网时,将转换为内网地址为192.168.9.10-192.168.9.20
(6)nat 0 即nat 免除
nat 0 表示穿过防火墙而不进行nat转换。即表示地址不经过转换直接作为源地址发送穿过防火墙达到低级别安全接口。
nat (dmz) 0 192.168.0.9 255.255.255.255
注意:执行nat的顺序:
nat 0 (nat免除)
静态nat和静态pat (即static命令) 策略动态 nat (nat access-list) 正常的动态nat和pat (nat)
3、static映射命令
充许一个位于低安全级别接口的流量,穿过防火墙达到一个较高级别的接口。即数据流从较低安全级别接口到较高安全级别。
(1)常用方法:
static (real_ifname mapped_ifname) {mapped_ip|interface} real_ip [netmask mask]
real_ifname :较高级别接口名 mapped_ifname:较低级别接口名
mapped_ip:较低级别接口ip地址 interface:较低级别接口 real_ip:较高级别ip地址 扩号内的顺序是:先高级别后低级别,扩号外的顺序是先低级别后高级别,正好相反。
例: static (inside outside) 218.107.233.234 192.167.9.1 //即把218.107.233.234这个外部地址映射到内部地址192.168.9.1上。
(2)静态端口映射
static (real_ifname mapped_ifname) {tcp | udp} {mapped_ip|interface} mapped_port real_ip real_port [netmask mask]
real_ifname :较高级别接口名 mapped_ifname:较低级别接口名 tcp|udp :要映射的端口协议名
mapped_ip:较低级别接口ip地址 interface:较低级别接口 mapped_port:端口名或端口号 real_ip:较高级别ip地址 real_port:端口名或端口号
注意一点很重要:并不是配置了static就可以从外部访问内部了,必须要定义一个访问控制列表来实现一个通道,允许哪些服务或端口,或哪些地址可以访问。 例:
static (inside,outside) tcp interface ftp 192.168.10.4 ftp netmask 255.255.255.255 //把outside接口ip地址的ftp端口映射到192.168.10.4 内部IP的FTP端口。
access-list ftp extended permit tcp any interface outside eq ftp //定议一个访问控制列表,以允许ftp数据流通过。
access-group ftp in interface outside //把访问控制列表应用于接口
4、route 命令
route if_name destination_ip gateway [metric]
if_name: 接口名 destination_ip: 目的地 gateway: 网关 metric: 跳数
例:route outside 0 0 218.102.33.247 1 //即默认网关为 218.102.33.247 ,只有一跳
route inside 192.168.9.0 255.255.255.0 192.168.10.1 //设置到目标192.168.9.0网段的网关为192.168.10.1
三、访问控制
访问控制的方法与路由器的没有区别。基本步骤是先定义访问控制列表,然后再应用到接口
即可。在此不多作解释,在路由器模块里,会单独把访问列表作解释。
四、防火墙基本管理
1、telnet 配置
#usename name password password //设置登入的帐号和密码 #aaa authentication telnet console LOCAL //设置AAA验证方式。 此处为LOCAL本地。也可以用AAA服务器进入验证。
#telnet 0.0.0.0 0.0.0.0 inside //哪些地址可telnet进此接口 #telnet timeout 10 //超时时长,以分钟为单位
2、ssh登录配置
#usename name password password //设置登入的帐号和密码
#aaa authentication ssh console LOCAL //设置AAA验证方式。 此处为LOCAL本地。也可以用其他服务器进入验证。 #ssh timeout 10
#crypto key generate rsa modulus 1024 //指定rsa密钥的大小,这个值越大,产生rsa的时间越长,cisco推荐使用1024.
# write mem //保存刚才产生的密钥
#ciscoasa(config)#ssh 0.0.0.0 0.0.0.0 {inside|outside} //允许哪些IP可以通过SSH登录此防火墙。 inside为内网接口,outside为外网接口。0.0.0.0 0.0.0.0 表示所有IP,可配置单个IP,也可以配置某段IP。
#ssh timeout 30 //设置超时时间,单位为分钟
#ssh version 1 //指定SSH版本,可以选择版本2
#passwd 密码 //passwd命令所指定的密码为远程访问密码
show ssh //查看SSH配置信息 crypto key zeroize //清空密钥
show crypto key mypubkersa //查看产生的rsa密钥值
3、asdm配置
先上传相应asdm版本到防火墙中。
正在阅读:
ASA防火墙基本配置11-10
晚上好QQ表情图片02-09
毕业论文摘要书写案例分析08-16
交换路由CCIE之路 - vrf业务隔离04-10
2013年岩土工程师综合辅导:人造景观水体的污染与处理技术06-05
首诊负责制及流程09-05
火锅岗位职责大全(1)12-25
管理沟通网上作业205-19
2013年东北农业大学硕士研究生招生目录03-08
双容水箱动态特性测试 - 图文12-07
- exercise2
- 铅锌矿详查地质设计 - 图文
- 厨余垃圾、餐厨垃圾堆肥系统设计方案
- 陈明珠开题报告
- 化工原理精选例题
- 政府形象宣传册营销案例
- 小学一至三年级语文阅读专项练习题
- 2014.民诉 期末考试 复习题
- 巅峰智业 - 做好顶层设计对建设城市的重要意义
- (三起)冀教版三年级英语上册Unit4 Lesson24练习题及答案
- 2017年实心轮胎现状及发展趋势分析(目录)
- 基于GIS的农用地定级技术研究定稿
- 2017-2022年中国医疗保健市场调查与市场前景预测报告(目录) - 图文
- 作业
- OFDM技术仿真(MATLAB代码) - 图文
- Android工程师笔试题及答案
- 生命密码联合密码
- 空间地上权若干法律问题探究
- 江苏学业水平测试《机械基础》模拟试题
- 选课走班实施方案
- 基本配置
- 防火墙
- ASA
- 王岗乡卫生院xxx妇产科病历 - 图文
- 第二章习题
- 中考语文记叙文阅读综合试题(二)
- 建筑节能工程监理细则范本(doc 54页)(优质版)
- 地大《单片机原理及应用》离线作业答案
- 最新2019届高考数学大二轮复习 第1部分 专题1 集合、常用逻辑用语等 第1讲 集合与常用逻辑用语练习考试必
- 我的煮米饭史
- 期中复习诗歌、名著、综合性学习
- 关于公示泰顺一中历届校友名录的说明
- 仓储式商场 优衣库
- 各类食物成分表(很全) - 图文
- 军训期间请假假条
- 新小班家长会发言稿
- 山东费县胡阳镇湖心岛旅游景区项目推介书
- 市场营销学试卷1-10及答案
- 2019年贵阳市中考适应性考试物理试卷
- 某道路跨济广高速X互通立交施工方案
- 一级建造师历年真题精讲(建设工程项目管理)历年真题及答案(2004-2009)
- 快速清洗硫酸盐垢
- 台湾省对国际工程咨询工程师认识的误区每日一讲(10月1日)