收藏
下载资源下载资源 加入VIP,免费下载

CO防火墙配置实例完整版.docx

上传人:b****5 文档编号:6719246 上传时间:2023-01-09 格式:DOCX 页数:7 大小:16.66KB
下载 相关 举报
CO防火墙配置实例完整版.docx_第1页
第1页 / 共7页
CO防火墙配置实例完整版.docx_第2页
第2页 / 共7页
CO防火墙配置实例完整版.docx_第3页
第3页 / 共7页
CO防火墙配置实例完整版.docx_第4页
第4页 / 共7页
CO防火墙配置实例完整版.docx_第5页
第5页 / 共7页
点击查看更多>>
下载资源
资源描述

CO防火墙配置实例完整版.docx

《CO防火墙配置实例完整版.docx》由会员分享,可在线阅读,更多相关《CO防火墙配置实例完整版.docx(7页珍藏版)》请在冰豆网上搜索。

CO防火墙配置实例完整版.docx

CO防火墙配置实例完整版

HENsystemofficeroom【HEN16H-HENS2AHENS8Q8-HENH1688】

 

CO防火墙配置实例

CISCO5520防火墙配置实例

本人在项目中已经两次接触到思科5500系列防火墙的配置应用了,根据项目的需求不同,详细的配置也不一样,因此汇总了一个通用版本的思科5500系列防火墙的配置,不详之处,请各位大虾给予指点,谢谢!

CD-ASA5520#showrun

:

Saved

:

ASAVersion

(2)

!

hostnameCD-ASA5520&

nbsp;

//给防火墙命名

enablepassword9jNfZuG3TC5tCVH0encrypted

//进入特权模式的密码

names

dns-guard

!

interfaceGigabitEthernet0/0

//内网接口:

duplexfull//接口作工模式:

全双工,半双,自适应

nameifinside

//为端口命名:

内部接口inside

security-level100

//设置安全级别0~100值越大越安全

!

interfaceGigabitEthernet0/1

//外网接口

nameifoutside

//为外部端口命名:

外部接口outside

security-level0

!

interfaceGigabitEthernet0/2

nameifdmz

security-level50

!

interfaceGigabitEthernet0/3

shutdown

nonameif

nosecurity-level

noipaddress

!

interfaceManagement0/0

//防火墙管理地址

shutdown

nonameif

nosecurity-level

noipaddress

!

passwdencrypted

ftpmodepassive

clocktimezoneCST8

dnsserver-groupDefaultDNS

access-listoutside_permitextendedpermittcpanyinterfaceoutsideeq3389

//访问控制列表

access-listoutside_permitextendedpermittcpanyinterfaceoutsiderange3000030010

//允许外部任何用户可以访问outside接口的30000-30010的端口。

pagerlines24

loggingenable

//启动日志功能

loggingasdminformational

mtuinside1500

内部最大传输单元为1500字节

mtuoutside1500

mtudmz1500

//定义一个命名为vpnclient的IP地址池,为remote用户分配IP地址

nofailover

icmpunreachablerate-limit1burst-size1

asdmimagedisk0:

/

noasdmhistoryenable

arptimeout14400

//arp空闲时间为14400秒

global(outside)1interface

//由于没有配置NAT故这里是不允许内部用户上INTERNET

//端口映射

可以解决内部要公布的服务太多,而申请公网IP少问题。

 

access-groupoutside_permitininterfaceoutside

//把outside_permit控制列表运用在外部接口的入口方向。

timeoutconn1:

00:

00half-closed0:

10:

00udp0:

02:

00icmp0:

00:

02

timeoutsunrpc0:

10:

00h3230:

05:

00h2251:

00:

00mgcp0:

05:

00mgcp-pat0:

05:

00

timeoutsip0:

30:

00sip_media0:

02:

00sip-invite0:

03:

00sip-disconnect0:

02:

00

timeoutuauth0:

05:

00absolute

------------定义一个命名为vpnclient的组策略-------------------------

group-policyvpnclientinternal//创建一个内部的组策略。

group-policyvpnclientattributes

//设置vpnclient组策略的参数

 

vpn-idle-timeoutnone//终止连接时间设为默认值

vpn-session-timeoutnone

//会话超时采用默认值

vpn-tunnel-protocolIPSec

//定义通道使用协议为IPSEC。

split-tunnel-policytunnelspecified

//定义。

default-domainvalue//定义默认域名为

------------定义一个命名为l2lvpn的组策略-------------------------

group-policyl2lvpninternal

group-policyl2lvpnattributes

 

vpn-simultaneous-logins3

vpn-idle-timeoutnone

vpn-session-timeoutnone

vpn-tunnel-protocolIPSec

usernametestpasswordP4ttSyrm33SV8TYpencryptedprivilege0

//创建一个远程访问用户来访问安全应用

usernameciscopassword3USUcOPFUiMCO4Jkencrypted

httpserverenable

//启动HTTP服务

nosnmp-serverlocation

nosnmp-servercontact

snmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstart

//snmp的默认配置

cryptoipsectransform-setESP-DES-MD5esp-desesp-md5-hmac

//配置转集(定义了IPSC隧道使用的加密和信息完整性算法集合)

cryptodynamic-mapvpn_dyn_map10settransform-setESP-DES-MD5

//为动态加密图条目定义传换集

cryptomapoutside_map10ipsec-isakmpdynamicvpn_dyn_map

//创建一个使用动态加密条目的加密图

cryptomapoutside_mapinterfaceoutside

//将outside_map加密图应用到outside端口

------------配置IKE--------------

cryptoisakmpenableoutside

//在ostside接口启动ISAKMP

cryptoisakmppolicy20

//isakmmp权值,值越小权值越高

authenticationpre-share

//指定同位体认证方法是共享密钥

encryptiondes

//指定加密算法

hashmd5

//指定使用MD5散列算法

group2

//指定diffie-hellman组2

lifetime86400//指定SA(协商安全关联)的生存时间

cryptoisakmppolicy65535

authenticationpre-share

encryptiondes

hashmd5

group2

lifetime86400

-------------调用组策略-----------------

cryptoisakmpnat-traversal20

tunnel-groupDefaultL2LGroupgeneral-attributes//配置这个通道组的认证方法

default-group-policyl2lvpn

//指定默认组策略名称。

tunnel-groupDefaultL2LGroupipsec-attributes

//配置认证方法为IPSEC

pre-shared-key*//提供IKE连接的预共享密钥

tunnel-groupvpnclienttypeipsec-ra//设置连接类型为远程访问。

tunnel-groupvpnclientgeneral-attributes

//配置这个通道组的认证方法

address-poolvpnclient

//定义所用的地址池

default-group-policyvpnclient

//定义默认组策略

-----设置认证方式和共享密钥-------------

tunnel-groupvpnclientipsec-attributes

//配置认证方法为IPSEC

pre-shared-key*//提供IKE连接的预共享密钥

telnettimeout5

//telnet超时设置

sshtimeout60

//SSH连接超时设置

consoletimeout0//控制台超时设置

dhcp-clientupdatednsserverboth

!

dhcpdenableinside

//启动DHCP服务。

!

!

class-mapinspection_default

matchdefault-inspection-traffic

!

!

policy-maptypeinspectdnsmigrated_dns_map_1

parameters

message-lengthmaximum512

policy-mapglobal_policy

classinspection_default 

inspectdnsmigrated_dns_map_1

inspectftp

inspecth323h225

inspecth323ras

inspectnetbios

inspectrsh

inspectrtsp

inspectskinny

inspectesmtp

inspectsqlnet

inspectsunrpc

inspecttftp

inspectsip

inspectxdmcp

!

service-policyglobal_policyglobal

prompthostnamecontext

:

end

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 职业教育 > 职高对口

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1