ASA配置命令.docx

1、ASA配置命令要想配置思科得防火墙得先了解这些命令: 常用命令有:nami、interface、i address、nat、globl、rote、stati等。global 指定公网地址范围:定义地址池、lobal命令得配置语法:globa (f_name) t_id ip_addressip_addres netmarkglobal_msk 其中: (fae):表示外网接口名称,一般为ouide。 na_d:建立得地址池标识(nt要引用)。i_ddssip_adrss:表示一段i地址范围。 nemar glo_msk:表示全局ip地址得网络掩码。at 地址转换命令,将内网得私有ip转换为外网

2、公网ip。 na命令配置语法:nt (ifnam) nat_idlcal_ip ntmk其中: (f_na):表示接口名称,一般为inide。 atid: 表示地址池,由globa命令定义。 lcal_ip: 表示内网得p地址。对于0、0.0。0表示内网所有主机。 ntmark:表示内网p地址得子网掩码。 rout rute命令定义静态路由。 语法: route (iame)00 gatewa_meti 其中: (if_me):表示接口名称。 0 0 :表示所有主机 ateayip:表示网关路由器得ip地址或下一跳。 mric:路由花费。缺省值就是1。 satic配置静态IP地址翻译,使内部地

3、址与外部地址一一对应。 语法:sttic(itrnalifame,externl_f_ne)outs_i_adr nsid ip_addrss 其中: interal_if_nae表示内部网络接口,安全级别较高,如ise。 external_ifnae表示外部网络接口,安全级别较低,如outside。 utsieip_ddress表示外部网络得公有ip地址。 isie_ ipaddress表示内部网络得本地ip地址、(括号内序顺就是先内后外,外边得顺序就是先外后内) 例如: aa(config)#satic (nde,utide)133.0。0、112.68.8 表示内部ip地址12。168。

4、0。8,访问外部时被翻译成、0、0。全局地址*aacof t asa(confi)# hostame as /设置主机名 asa(cnig)ealepasswrd cico /设置密码配置外网得接口,名字就是ousid,安全级别0,输入IS给您提供得地址就行了。 asa(config)iterfGigabitEthernt0/ asa(conig)namf utside/名字就是oti sa(config)seitel /安全级别0 asa(conig)ipddress 、*.、* 55.25、255。0/配置公网IP地址asa(coig)uplex fullasa(onfg)#asa(oni

5、g)n shuton配置内网得接口,名字就是inside,安全级别100 asa(confi)#inefaceGigabitEthn/ aa(config)#nameif inde asa(config)secuitlvel 10 aa(nfi)dule fll asa(confi)sed 100 asa(conig)n sutdown 配置M得接口,名字就是mz,安全级别5asa(cfg)#nterac GgbitEthernet02 asa(conig)ameif dmzasa(config)securitevl 50sa(confi)duplex fl as(cfi) aa(cnfi)n

6、 shuon 网络部分设置asa(onig)#nat(nse) 1 192.168、1.1 25.255、25。0 asa(coni)globl(utse) 22、240。24。9 255。25、5。48 a(cofig)#n (inside) 0 192、168、1、1 2、25、255。255 /表示192。68、1。这个地址不需要转换。直接转发出去。as(nfig)gobal (usid) 1 133.1、1133。、0。14 /定义得地址池 as(onfi)#at(inside)1 00 /0 0表示转换网段中得所有地址。定义内部网络地址将要翻译成得全局地址或地址范围 配置静态路由 s

7、a(onfig)rote ouside 00 1。、0. /设置默认路由 13、0。、2为下一跳 如果内部网段不就是直接接在防火墙内口,则需要配置到内部得路由、 aa(confg)#Rut inside192、16、0.0 25、55、255.0 .168、1 1 地址转换 aa(confi)stai (dmz,outsid) 133、1.。1 10。5。101;静态NAT asa(cofg)#tatic (d,otsde) 33。1。0.10、65、1。102 ;静态NAT asa(cof)#statc (iid,dm) 10、66。1、20 10.66、1、20 ;静态AT 如果内部有服务

8、器需要映射到公网地址(外网访问内网)则需要satic aa(cofig)i (iside, outsid) 222。、25.194 192。.。240sa(onig)stac (iside, tside) 222、20.24。194 192、168、1。2401000 10 /后面得10000为限制连接数,0为限制得半开连接数 C实现策略访问 asa(cong)accesslis 10 prit i anhost 133。.0.1 eq;设置ACL as(cnig)acessst 0 permt ia hst 3.1、。 eq ftp;设置ACL asa(onfg)acessi 10 dny

9、ip any an;设置CL asa(nfig)accs-group 01 in intrfe otsd ;将AC应用在usie端口 当内部主机访问外部主机时,通过at转换成公网IP,访问interet。当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会映射成地址池得IP,到外部去找。 当外部主机访问中间区域dmz时,对133。0、0。映射成0、6。.101,stat就是双向得。 PI得所有端口默认就是关闭得,进入PI要经过acl入口过滤、 静态路由指示内部得主机与d得数据包从outside口出去。思科ASA与PI防火墙配置手册一、 配置基础1.1用户接口思科防火墙支

10、持下列用户配置方式:Console,Telne,SH(1.x或者2.0,、0为.x新特性,PDM得方式(7。以后称为ASDM)与VMS得Firew Mangement eter、支持进入om Mntr模式,权限分为用户模式与特权模式,支持Hel,Hioy与命令输出得搜索与过滤、注:Catayst650得FWSM没有物理接口接入,通过下面CLI命令进入:Swicsessio slo sot rocessor1 (FSM所在ot号)用户模式:Firewal 为用户模式,输入enable进入特权模式Firell#。特权模式下可以进入配置模式,在6.x所有得配置都在一个全局模式下进行,7。x以后改成与

11、IOS类似得全局配置模式与相应得子模式、通过xit,ctrlz退回上级模式。配置特性:在原有命令前加n可以取消该命令。Show runing-conig或者 rite temial显示当前配置,。x后可以对sh un 得命令输出进行搜索与过滤。Sow runng-cofig al显示所有配置,包含缺省配置。Tb可以用于命令补全,trll可以用于重新显示输入得命令(适用于还没有输入完命令被系统输出打乱得情况),help与hitry相同于IOS命令集、how命令支持 bgi,incd,exlud,gr 加正则表达式得方式对输出进行过滤与搜索。einal width 命令用于修改终端屏幕显示宽度,缺

12、省为8个字符,ger命令用于修改终端显示屏幕显示行数,缺省为4行,pger ine0命令什么效果可以自己试试。1.防火墙许可介绍防火墙具有下列几种许可形式,通过使用how verin命令可以瞧设备所支持得特性:Unretited () 所有得限制仅限于设备自身得性能,也支持FilovrRtrcte (R) 防火墙得内存与允许使用得最多端口数有限制,不支持Fiviloer (FO)不能单独使用得防火墙,只能用于FailoverFailovr-Active/Actie (FOAA) 只能与R类型得防火墙一起使用,支持acve/ve alover注:WS内置R许可。ativaion-e 命令用于升级

13、设备得许可,该许可与设备得seial numbr有关(ow versin输出可以瞧到),6。x为16字节,7、x为20字节。1。3初始配置跟路由器一样可以使用etp进行对话式得基本配置。二、 配置连接性。配置接口接口基础:防火墙得接口都必须配置接口名称,接口P地址与掩码(、x开始支持IPv)与安全等级。接口可以就是物理接口也可以就是逻辑接口(van),从6、3 贾？t;/SPANtrunk,但只支持02。1Q封装,不支持DT协商。接口基本配置:注:对于S所有得接口都为逻辑接口,名字也就是vla后面加上vln。例如WSM位于得第三槽,配置三个接口,分别属于vlan 100,200,0、with(

14、onfig)firewall van-grp10,0,0Swtch(oni)# fireallmodule 3 vou witch(nf) exitwchsession slot rocso 1经过此配置后形成三个端口vlan100。vlan20,vlan300PIX 。xFrewall(cofg) interface arw-id haraesped shtdn (Hardwarei可以用s version命令瞧到)PX7。xFrewall(coni)# inteface hwre-idFirwa(cofigif) sped auto | 1 | 10 nonegotaFirewal(con

15、gif) duplexato | fll | hlfFirewall(configf) nhudown命名接口FWSM 2。xrwal(cnfig) namiflnidif_name ecurivelI 。xFrewll(confg)# nameiharare-i | vlan-id i_nmscurtylevlI 7。xFirewal(cofig)inerac arwr_id、subntraceFireal(cofigi)naeif if_nameiewall(cfif)secuityeelleel注:Pix 7、x与FWSM 2、x开始支持不同接口有相同得scurt le,前提就是全局配置

16、模式下使用ameseut-rfic permitter-ntrfae命令。配置I地址静态地址:irewall(cofig) paddress if_nme ip_addressnetsk动态地址:Firwll(of)i adre outsid dhcp srue ry trycn注:etrout参数可以同时获得来自HCP服务器得缺省路由,再次输入此命令可以enw地址。PPPO:Firewll(cofi)vpnusername JohnDo asswod DseFirwall(config)pdn roup SP1 calnameJohnDeFrewl(confg) vpdn gru SPppa

17、uhtiatin hpFrewal(ong) vpd grop I1 equest dalout pppoeFirewal(conig)#ip adress outie pppoe setr验证接口Few sho Pv6地址配置(。x新特性)暂略AR配置配置一个静态得RP条目:Firwll(confi) arp f_name ip_adssmac_dress aias配置tout时间:Fewl(cnfig) ap tieutseons 缺省为4小时注:一般情况下使用clear rp会清除所有得P缓存,不能针对单个得条目,但就是可以通过以下变通方法:配置一个静态得条目,映射有问题得为一个假得mc

18、地址,然后n掉该命令就会重新建立一个arp条目。TU与分段配置MU:Firell(onfig) mtuif_nam bys 使用sowu (.3) 或者how unnin-config mt (。x)来验证分段(fragment)得几个命令:限制等待重组得分段数Fireal(conig) rage sze dabase-iit _name限制每个包得分段数Frll(cof)#fragmet cinn-lmit f_nam限制一个数据包分段到达得时间Frewall(config)# agnimeout secods _me配置接口得优先队列(7、x新特性)暂略2.2配置路由启用PF防止地址欺骗

19、Firewall(config)# ipveriy evrset nterface if_name配置静态路由Freal(conig) rte_na ip_addressntask ateay_ip metic配置RI被动听I更新(v1,2)iewall(confg)#ri ifame sie version 1(rewall(conig)#r inme psie erion authticton ext| md5 ke(ky_id)宣告该接口为缺省路由Firel(onfig)# r if_name deful rsion 1 |2 autenticion text m5 key keyd配置

20、SPF定义OSPF进程 Fial(nfig) routerspf id指定相应网络到SPF区域 iall(cnfi-roter) network i_adres netak are area_id可选:定义Router IFiewal(oigroue)# rterid padres记录SPF邻居状态更新 irwll(ofgroutr) adjchangsdeal启用OPF更新认证Fireall(confrouer) areareaid authenticionssage-dgest宣告缺省路由irewall(nfig-roter) dfuinormation originae ala mtc

21、lue eticype rotea name调节O参数 Frewall(onig-route) times spf spf_dlayp_odtimlsagrouain seconds。3 DCP配置成为DHCPServ:配置地址池 Firewal(cofi) dcpd addres p1-i2 if_me(最多256个客户端)配置HCP参数 iwal(conig)dhcpd ds dn1 dns2 Firewll(nfi) hcpd wi ins1wns Firwall(cnfig)# dhpddoain man_am Fial(coni) dhpd lase ease_lengt Firew

22、al(nfig) hpping_tuttimeo启用DHCP服务 Fiewal(cofig) dhp enblei_nme验证:shw dhcdp, sow dhcp bindings, so dhcd statiics配置HC中继:定义真实HC See iewall(cog) dhcprea erver dcp_servr_i serer_ic(最多个)中继参数Frea(config) dhcrlaytimeou sconds iewall(nfg)# dcrely setroueclen_ifc启用中继 ieall(cofi)dhcrey enale cien_ic验证 show dhcp

23、rlay statisis2、组播得支持暂略一、防火墙得管理3. 使用eurityConxt建立虚拟防火墙(7、特性)特性介绍:从PIX7、0与WM 2。2()开始,可以把物理得一个防火墙配置出多个虚拟得防火墙,每个防火墙称为onxt,这样一个防火墙就支持两种工作模式:ngle-ott与multplontext,处于后者工作模式得防火墙被分为三个功能模块:syst executio spac(虽然没有cont得功能,但就是就是所有得基础),admistrativ ontex(被用来管理物理得防火墙) 与 uer conexs(虚拟出来得防火墙,所有配置防火墙得命令都适用)配置:首先使用sow

24、atvation-key来验证就是否有mliecontext得许可,然后通过mode ultiple与mode sigle命令在这两个模式之间进行切换,当然也可以用hwmode来验证现在工作在什么模式下。在不同cotext下进行切换使用Fireall cangeto ssem cntetname,由于所有得cotxt得定义都必须在sstem excuio spac下,所以要首先使用chageto sem转入该模式,Firewall(cng)# contet e接着要把物理接口映射到context中只要这样才能在相应得ott下显示出物理接口,从而配置其属性 Firwal(cnfigctx) ll

25、ateintae pyscalitrfacemanme最后定义contex 得starup-cnfig得存放位置Feall(confgx) confgu url 通过shconex验证注:当防火墙工作在ultiplcntex模式下,admincext就自动生成、(show conext来验证)由于所有得context都共享设备得资源,所以要限制各个cntext得资源分配首先定义clas Fiwall(config)cl nme 然后Frewal(coniclss)# lmi-esorce al number% Frea(cofgla)# limitresouce rat ource_nme nmber 最后在相应得cntex配置下Frwall(confg-t)# mecass通过以下命令验证 hw class,sho reoure allotion,shw rsource usage等注:缺省elet,ssh,se5 sesions,MAC address 6555条目、 管理Flas文件系统6。x文