51CTO下载CiscoASA5540和5520防火墙图文配置.docx
《51CTO下载CiscoASA5540和5520防火墙图文配置.docx》由会员分享,可在线阅读,更多相关《51CTO下载CiscoASA5540和5520防火墙图文配置.docx(10页珍藏版)》请在冰豆网上搜索。
51CTO下载CiscoASA5540和5520防火墙图文配置
CiscoASA防火墙图文配置实例
2010年2月15日
本文是基于笔者2008年在原单位配置ASA5540和ASA5520的配置
截图所做的一篇配置文档,从最初始的配置开始:
1、连接防火墙登陆
与其他的Cisco设备一样,用Console线连接到防火墙,初始特权密
码为空。
2、配置内部接口和IP地址
进入到接口配置模式,配置接口的IP地址,并指定为inside。
防火墙的地址配置好后,进行测试,确认可以和防火墙通讯。
3、用dir命令查看当前的Image文件版本。
4、更新Image文件。
准备好TFTP服务器和新的Image文件,开始更新。
5、更新ASDM。
6、更新完成后,再用dir命令查看
7、修改启动文件。
以便于ASA防火墙能够从新的Image启动
8、存盘,重启
9、用shversion命令验证启动文件,可以发现当前的Image文件
就是更新后的
10、设置允许用图形界面来管理ASA防火墙
表示内部接口的任意地址都可以通过http的方式来管理防火墙。
11、打开浏览器,在地址栏输入防火墙内部接口的IP地址
选择“是”按钮。
12、出现安装ASDM的画面
选择“InstallASDMLauncherandRunASDM”按钮,开始安装过程。
13、安装完成后会在程序菜单中添加一个程序组
14、运行ASDMLauncher,出现登陆画面
15、验证证书
单击“是”按钮后,开始登陆过程
16、登陆进去后,出现防火墙的配置画面,就可以在图形界面下完
成ASA防火墙的配置
17、选择工具栏的“Configuration”按钮
18、选择“Interface”,对防火墙的接口进行配置,这里配置g0/3
接口
选择g0/3接口,并单击右边的“Edit”按钮
19、配置接口的IP地址,并将该接口指定为outside
单击OK后,弹出“SecurityLevelChange”对话框,单击OK
20、编辑g0/1接口,并定义为DMZ区域
21、接口配置完成后,要单击apply按钮,以应用刚才的改变,这
一步一定不能忘
22、设置静态路由
单击Routing->StaticRoute->Add
23、设置enable密码
24、允许ssh方式登录防火墙
25、增加用户
定义ssh用本地数据库验证
26、用ssh登录测试
登录成功
27、建立动态NAT转换
选择AddDynamicNATRule
Interface选择inside,Source处输入any
单击Manage按钮
单击add,增加一个地址池
Interface选择Outside,选择PAT,单击Add按钮
单击OK
完成了添加动态NAT转换
28、静态NAT转换
由于笔者2009年离开了原单位,有些配置的截图没有做,新单位又
没有ASA防火墙,只好参考《ASA8.0/ASDM6.0测试报告》的截图
和文档来完成本文,并将该文档中部分常用的配置联接在本文后,对
该文的作者表示感谢。
关于在ASA上配置IPSecVPN和SSLVPN的
截图都没有,所以本文中就只好省略掉这一部分了。
为172.16.1.10添加静态NAT转换。
29、免除NAT
当穿过防火墙的访问某些区域而不需要进行NAT转换时就需要用到
免除NAT功能。
如为inside访问DMZ区域的服务器时就不需要进行
NAT转换,这时就可以配置免除NAT。
以下为《ASA8.0/ASDM6.0测试报告》文档的部分内容,对原文档中
的序号等未作修改。
7定义安全策略
注意缺省情况下高安全级别到低安全级别安全策略是允许通过的,所
以inside到ouside,DMZ到ouside不用设置安全策略流量就可以
通过
此时我们只需要建立outside到DMZ的HTTPserver
(172.16.1.10)的安全策略
PDFcreatedwithpdfFactoryProtrialversion
8multi-context模式
PDFcreatedwithpdfFactoryProtrialversion
将管理PC接到M0/0口
添加context在本例中我们加两个contextA和B
PDFcreatedwithpdfFactoryProtrialversion
PDFcreatedwithpdfFactoryProtrialversion
此时contextA已经配置完毕,contextB的配置方法一样。
登陆contextA
PDFcreatedwithpdfFactoryProtrialversion
对于context的其他配置和配置single模式是一样的。
9透明模式
9.1设置透明模式
转换模式
定义接口
设置管理IP
PDFcreatedwithpdfFactoryProtrialversion
透明模式下安全策略的定义和路由模式的设置是一样的。
9.2透明模式下的NAT
PDFcreatedwithpdfFactoryProtrialversion
ASA上设置如下:
PDFcreatedwithpdfFactoryProtrialversion
10应用层协议检测
PDFcreatedwithpdfFactoryProtrialversion
10.1过滤InstantMessengers
此次我们用YAHOOmessenger做测试
将YahooMessenger的连接配置修改为Firewallwithnoproxies,然后我们将利用ASA的
应用安全策略进行控制.
PDFcreatedwithpdfFactoryProtrialversion
PDFcreatedwithpdfFactoryProtrialversion
PDFcreatedwithpdfFactoryProtrialversion
PDFcreatedwithpdfFactoryProtrialversion
此时Yahoomessenger无法登陆。
我们可以通过CLI验证配置
PDFcreatedwithpdfFactoryProtrialversion
10.2过滤longURL
PDFcreatedwithpdfFactoryProtrialversion
PDFcreatedwithpdfFactoryProtrialversion
PDFcreatedwithpdfFactoryProtrialversion
PDFcreatedwithpdfFactoryProtrialversion
PDFcreatedwithpdfFactoryProtrialversion
此时URI长度超过20Bytes将无法正常显示。
通过CLI验证
PDFcreatedwithpdfFactoryProtrialversion
10.3通过QOS对应用进行限速
PDFcreatedwithpdfFactoryProtrialversion
PDFcreatedwithpdfFactoryProtrialversion
PDFcreatedwithpdfFactoryProtrialversion
观察限速结果
10.4对应用程序命令进行过滤
此次我们防止客户上传文件到FTPSERVER
PDFcreatedwithpdfFactoryProtrialversion
PDFcreatedwithpdfFactoryProtrialversion
通过CLI进行配置验证
PDFcreatedwithpdfFactoryProtrialversion
验证结果:
11对HTTP进行应用过滤
11.1FilteringJavaApplets
PDFcreatedwithpdfFactoryProtrialversion
PDFcreatedwithpdfFactoryProtrialversion
过滤前:
过滤后:
PDFcreatedwithpdfFactoryProtrialversion
11.2filteractiveX
PDFcreatedwithpdfFactoryProtrialversion
11.4基于表达式过滤URL
通过CLI配置:
通过ASDM配置:
PDFcreatedwithpdfFactoryProtrialversion
PDFcreatedwithpdfFactoryProtrialversion
PDFcreatedwithpdfFactoryProtrialversion
PDFcreatedwithpdfFactoryProtrialversion
12High-Availability
12.1active/standby
PDFcreatedwithpdfFactoryProtrialversion
PDFcreatedwithpdfFactoryProtrialversion
12.2active/active
PDFcreatedwithpdfFactoryProtrialversion
建立组1如下图
建立组2如下图
PDFcreatedwithpdfFactoryProtrialversion
PDFcreatedwithpdfFactoryProtrialversion
PDFcreatedwithpdfFactoryProtrialversion
通过CLI验证配置
PDFcreatedwithpdfFactoryProtrialversion
升级会员 