CO防火墙配置实例完整版.docx
《CO防火墙配置实例完整版.docx》由会员分享,可在线阅读,更多相关《CO防火墙配置实例完整版.docx(7页珍藏版)》请在冰豆网上搜索。
CO防火墙配置实例完整版
HENsystemofficeroom【HEN16H-HENS2AHENS8Q8-HENH1688】
CO防火墙配置实例
CISCO5520防火墙配置实例
本人在项目中已经两次接触到思科5500系列防火墙的配置应用了,根据项目的需求不同,详细的配置也不一样,因此汇总了一个通用版本的思科5500系列防火墙的配置,不详之处,请各位大虾给予指点,谢谢!
CD-ASA5520#showrun
:
Saved
:
ASAVersion
(2)
!
hostnameCD-ASA5520&
nbsp;
//给防火墙命名
enablepassword9jNfZuG3TC5tCVH0encrypted
//进入特权模式的密码
names
dns-guard
!
interfaceGigabitEthernet0/0
//内网接口:
duplexfull//接口作工模式:
全双工,半双,自适应
nameifinside
//为端口命名:
内部接口inside
security-level100
//设置安全级别0~100值越大越安全
!
interfaceGigabitEthernet0/1
//外网接口
nameifoutside
//为外部端口命名:
外部接口outside
security-level0
!
interfaceGigabitEthernet0/2
nameifdmz
security-level50
!
interfaceGigabitEthernet0/3
shutdown
nonameif
nosecurity-level
noipaddress
!
interfaceManagement0/0
//防火墙管理地址
shutdown
nonameif
nosecurity-level
noipaddress
!
passwdencrypted
ftpmodepassive
clocktimezoneCST8
dnsserver-groupDefaultDNS
access-listoutside_permitextendedpermittcpanyinterfaceoutsideeq3389
//访问控制列表
access-listoutside_permitextendedpermittcpanyinterfaceoutsiderange3000030010
//允许外部任何用户可以访问outside接口的30000-30010的端口。
pagerlines24
loggingenable
//启动日志功能
loggingasdminformational
mtuinside1500
内部最大传输单元为1500字节
mtuoutside1500
mtudmz1500
//定义一个命名为vpnclient的IP地址池,为remote用户分配IP地址
nofailover
icmpunreachablerate-limit1burst-size1
asdmimagedisk0:
/
noasdmhistoryenable
arptimeout14400
//arp空闲时间为14400秒
global(outside)1interface
//由于没有配置NAT故这里是不允许内部用户上INTERNET
//端口映射
可以解决内部要公布的服务太多,而申请公网IP少问题。
access-groupoutside_permitininterfaceoutside
//把outside_permit控制列表运用在外部接口的入口方向。
timeoutconn1:
00:
00half-closed0:
10:
00udp0:
02:
00icmp0:
00:
02
timeoutsunrpc0:
10:
00h3230:
05:
00h2251:
00:
00mgcp0:
05:
00mgcp-pat0:
05:
00
timeoutsip0:
30:
00sip_media0:
02:
00sip-invite0:
03:
00sip-disconnect0:
02:
00
timeoutuauth0:
05:
00absolute
------------定义一个命名为vpnclient的组策略-------------------------
group-policyvpnclientinternal//创建一个内部的组策略。
group-policyvpnclientattributes
//设置vpnclient组策略的参数
vpn-idle-timeoutnone//终止连接时间设为默认值
vpn-session-timeoutnone
//会话超时采用默认值
vpn-tunnel-protocolIPSec
//定义通道使用协议为IPSEC。
split-tunnel-policytunnelspecified
//定义。
default-domainvalue//定义默认域名为
------------定义一个命名为l2lvpn的组策略-------------------------
group-policyl2lvpninternal
group-policyl2lvpnattributes
vpn-simultaneous-logins3
vpn-idle-timeoutnone
vpn-session-timeoutnone
vpn-tunnel-protocolIPSec
usernametestpasswordP4ttSyrm33SV8TYpencryptedprivilege0
//创建一个远程访问用户来访问安全应用
usernameciscopassword3USUcOPFUiMCO4Jkencrypted
httpserverenable
//启动HTTP服务
nosnmp-serverlocation
nosnmp-servercontact
snmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstart
//snmp的默认配置
cryptoipsectransform-setESP-DES-MD5esp-desesp-md5-hmac
//配置转集(定义了IPSC隧道使用的加密和信息完整性算法集合)
cryptodynamic-mapvpn_dyn_map10settransform-setESP-DES-MD5
//为动态加密图条目定义传换集
cryptomapoutside_map10ipsec-isakmpdynamicvpn_dyn_map
//创建一个使用动态加密条目的加密图
cryptomapoutside_mapinterfaceoutside
//将outside_map加密图应用到outside端口
------------配置IKE--------------
cryptoisakmpenableoutside
//在ostside接口启动ISAKMP
cryptoisakmppolicy20
//isakmmp权值,值越小权值越高
authenticationpre-share
//指定同位体认证方法是共享密钥
encryptiondes
//指定加密算法
hashmd5
//指定使用MD5散列算法
group2
//指定diffie-hellman组2
lifetime86400//指定SA(协商安全关联)的生存时间
cryptoisakmppolicy65535
authenticationpre-share
encryptiondes
hashmd5
group2
lifetime86400
-------------调用组策略-----------------
cryptoisakmpnat-traversal20
tunnel-groupDefaultL2LGroupgeneral-attributes//配置这个通道组的认证方法
default-group-policyl2lvpn
//指定默认组策略名称。
tunnel-groupDefaultL2LGroupipsec-attributes
//配置认证方法为IPSEC
pre-shared-key*//提供IKE连接的预共享密钥
tunnel-groupvpnclienttypeipsec-ra//设置连接类型为远程访问。
tunnel-groupvpnclientgeneral-attributes
//配置这个通道组的认证方法
address-poolvpnclient
//定义所用的地址池
default-group-policyvpnclient
//定义默认组策略
-----设置认证方式和共享密钥-------------
tunnel-groupvpnclientipsec-attributes
//配置认证方法为IPSEC
pre-shared-key*//提供IKE连接的预共享密钥
telnettimeout5
//telnet超时设置
sshtimeout60
//SSH连接超时设置
consoletimeout0//控制台超时设置
dhcp-clientupdatednsserverboth
!
dhcpdenableinside
//启动DHCP服务。
!
!
class-mapinspection_default
matchdefault-inspection-traffic
!
!
policy-maptypeinspectdnsmigrated_dns_map_1
parameters
message-lengthmaximum512
policy-mapglobal_policy
classinspection_default
inspectdnsmigrated_dns_map_1
inspectftp
inspecth323h225
inspecth323ras
inspectnetbios
inspectrsh
inspectrtsp
inspectskinny
inspectesmtp
inspectsqlnet
inspectsunrpc
inspecttftp
inspectsip
inspectxdmcp
!
service-policyglobal_policyglobal
prompthostnamecontext
:
end