收藏
下载资源

思科asa防火墙配置

上传人:ldj****22 文档编号:32651823 上传时间:2018-02-12 格式:DOC 页数:25 大小:216.50KB
返回 下载 相关 举报
思科asa防火墙配置_第1页
第1页 / 共25页
思科asa防火墙配置_第2页
第2页 / 共25页
思科asa防火墙配置_第3页
第3页 / 共25页
思科asa防火墙配置_第4页
第4页 / 共25页
思科asa防火墙配置_第5页
第5页 / 共25页
点击查看更多>>
资源描述

《思科asa防火墙配置》由会员分享,可在线阅读,更多相关《思科asa防火墙配置(25页珍藏版)》请在金锄头文库上搜索。

1、思科 ASA 防火墙配置要想配置思科的防火墙得先了解这些命令:常用命令有:nameif、interface、ip address、nat、global、route 、static 等。global指定公网地址范围:定义地址池。Global 命令的配置语法:global (if_name) nat_id ip_address-ip_address netmark global_mask其中:(if_name):表示外网接口名称,一般为 outside。nat_id :建立的地址池标识(nat 要引用)。ip_address-ip_address:表示一段 ip 地址范围。netmark glob

2、al_mask :表示全局 ip 地址的网络掩码。nat地址转换命令,将内网的私有 ip 转换为外网公网 ip。nat 命令配置语法:nat (if_name) nat_id local_ip netmark其中:(if_name):表示接口名称,一般为 inside.nat_id : 表示地址池,由 global 命令定义。local_ip: 表示内网的 ip 地址。对于 0.0.0.0 表示内网所有主机。netmark:表示内网 ip 地址的子网掩码。routeroute 命令定义静态路由。语法:route (if_name) 0 0 gateway_ip metric其中:(if_nam

3、e):表示接口名称。0 0 :表示所有主机Gateway_ip:表示网关路由器的 ip 地址或下一跳。metric:路由花费。缺省值是 1。static配置静态 IP 地址翻译,使内部地址与外部地址一一对应。语法:static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address其中:internal_if_name 表示内部网络接口,安全级别较高,如 inside。external_if_name 表示外部网络接口,安全级别较低,如 outside。outside_ip_address 表示外部网络的公有

4、ip 地址。inside_ ip_address 表示内部网络的本地 ip 地址。(括号内序顺是先内后外,外边的顺序是先外后内)例如:asa(config)#static (inside,outside) 133.0.0.1 192.168.0.8表示内部 ip 地址 192.168.0.8,访问外部时被翻译成 133.0.0.1 全局地址*asa#conf tasa(config)# hostname asa /设置主机名asa(config)#enable password cisco /设置密码配置外网的接口,名字是 outside,安全级别 0,输入 ISP 给您提供的地址就行了。as

5、a(config)#interface GigabitEthernet0/0asa(config)#nameif outside /名字是 outsideasa(config)#securit-level 0 /安全级别 0asa(config)#ip address *.*.*.* 255.255.255.0 /配置公网 IP 地址asa(config)#duplex fullasa(config)#asa(config)#no shutdown配置内网的接口,名字是 inside,安全级别 100asa(config)#interface GigabitEthernet0/1asa(con

6、fig)#nameif insideasa(config)#securit-level 100asa(config)#duplex fullasa(config)#speed 100asa(config)#no shutdown配置 DMZ 的接口,名字是 dmz,安全级别 50asa(config)#interface GigabitEthernet0/2asa(config)#nameif dmzasa(config)#securit-level 50asa(config)#duplex fullasa(config)#asa(config)#no shutdown网络部分设置asa(co

7、nfig)#nat(inside) 1 192.168.1.1 255.255.255.0asa(config)#global(outside) 1 222.240.254.193 255.255.255.248asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255 /表示 192.168.1.1 这个地址不需要转换。直接转发出去。asa(config)#global (outside) 1 133.1.0.1-133.1.0.14 /定义的地址池asa(config)#nat (inside) 1 0 0 /0 0 表示转换网段中的所有地

8、址。定义内部网络地址将要翻译成的全局地址或地址范围配置静态路由asa(config)#route outside 0 0 133.0.0.2 /设置默认路由 133.0.0.2 为下一跳如果内部网段不是直接接在防火墙内口,则需要配置到内部的路由。asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1地址转换asa(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ;静态 NATasa(config)#static (dmz,outside) 133.1.0.2 10.

9、65.1.102 ;静态 NATasa(config)#static (inside,dmz) 10.66.1.200 10.66.1.200 ;静态 NAT如果内部有服务器需要映射到公网地址(外网访问内网) 则需要 staticasa(config)#static (inside, outside) 222.240.254.194 192.168.1.240asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240 10000 10 / 后面的 10000为限制连接数,10 为限制的半开连接数ACL 实现策略访问asa

10、(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置 ACLasa(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;设置 ACLasa(config)#access-list 101 deny ip any any ;设置 ACLasa(config)#access-group 101 in interface outside ;将 ACL 应用在 outside 端口当内部主机访问外部主机时,通过 nat 转换成公网 IP,访问 internet。

11、当内部主机访问中间区域 dmz 时,将自己映射成自己访问服务器,否则内部主机将会映射成地址池的 IP,到外部去找。当外部主机访问中间区域 dmz 时,对 133.0.0.1 映射成 10.65.1.101,static 是双向的。PIX 的所有端口默认是关闭的,进入 PIX 要经过 acl 入口过滤。静态路由指示内部的主机和 dmz 的数据包从 outside 口出去。思科 ASA 和 PIX 防火墙配置手册一、 配置基础1.1 用户接口思科防火墙支持下列用户配置方式:Console,Telnet ,SSH(1.x 或者 2.0,2.0 为 7.x 新特性,PDM 的 http 方式(7.x

12、以后称为 ASDM)和VMS 的 Firewall Management Center。支持进入 Rom Monitor 模式,权限分为用户模式和特权模式,支持 Help,History 和命令输出的搜索和过滤。注:Catalyst6500 的 FWSM 没有物理接口接入,通过下面 CLI 命令进入:Switch# session slot slot/i processor 1 (FWSM 所在 slot 号)用户模式:Firewall 为用户模式,输入 enable 进入特权模式 Firewall#。特权模式下可以进入配置模式,在 6.x 所有的配置都在一个全局模式下进行,7.x 以后改成和

13、 IOS 类似的全局配置模式和相应的子模式。通过exit,ctrl-z 退回上级模式。配置特性:在原有命令前加 no 可以取消该命令。Show running-config 或者 write terminal 显示当前配置,7.x 后可以对 show run 的命令输出进行搜索和过滤。 Show running-config all 显示所有配置,包含缺省配置。Tab 可以用于命令补全,ctrl-l 可以用于重新显示输入的命令(适用于还没有输入完命令被系统输出打乱的情况) ,help 和 history 相同于 IOS 命令集。Show 命令支持 begin,include , exclude

14、,grep 加正则表达式的方式对输出进行过滤和搜索。Terminal width 命令用于修改终端屏幕显示宽度,缺省为 80 个字符,pager 命令用于修改终端显示屏幕显示行数,缺省为 24 行,pager lines 0 命令什么效果可以自己试试。1.2 防火墙许可介绍防火墙具有下列几种许可形式,通过使用 show version 命令可以看设备所支持的特性:Unrestricted (UR) 所有的限制仅限于设备自身的性能,也支持 FailoverRestricted (R) 防火墙的内存和允许使用的最多端口数有限制,不支持 FailoverFailover (FO) 不能单独使用的防火

15、墙,只能用于 FailoverFailover-Active/Active (FO-AA) 只能和 UR 类型的防火墙一起使用,支持 active/active failover 注:FWSM 内置 UR 许可。activation-key 命令用于升级设备的许可,该许可和设备的 serial number 有关(show version 输出可以看到) ,6.x 为 16 字节,7.x 为 20 字节。1.3 初始配置跟路由器一样可以使用 setup 进行对话式的基本配置。二、 配置连接性2.1 配置接口接口基础:防火墙的接口都必须配置接口名称,接口 IP 地址和掩码(7.x 开始支持 IP

16、v6)和安全等级。接口可以是物理接口也可以是逻辑接口(vlan) ,从 6.3 贾 ?lt;/SPANtrunk,但只支持 802.1Q 封装,不支持DTP 协商。接口基本配置:注:对于 FWSM 所有的接口都为逻辑接口,名字也是 vlan 后面加上 vlanid。例如 FWSM 位于 6500 的第三槽,配置三个接口,分别属于 vlan 100,200,300.Switch(config)# firewall vlan-group 1 100,200,300/iSwitch(config)# firewall module 3/i vlan-group 1/iSwitch(config)# exitSwitch# session slot 3/i processor 1经过此配置后形成三

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号