1、ASA配置命令要想配置思科的防火墙得先了解这些命令: 常用命令有:nameif、interface、ip address、nat、global、route、static 等。 global 指定公网地址范围:定义地址池。Global 命令的配置语法:global (if_name) nat_id ip_address-ip_address netmarkglobal_mask 其中:(if_name):表示外网接口名称,一般为 outside。 nat_id :建立的地址池标识 (nat 要引用 ) 。 ip_address-ip_address :表示一段 ip 地址范围。netmark g
2、lobal_mask:表示全局 ip 地址的网络掩码。 nat地址转换命令,将内网的私有 ip 转换为外网公网 ip。 nat 命令配置语法: nat (if_name) nat_id local_ip netmark 其中:(if_name):表示接口名称,一般为 inside. nat_id : 表示地址池,由 global 命令定义。 local_ip: 表示内网的 ip 地址。对于 0.0.0.0 表示内网所有主机。 netmark:表示内网 ip 地址的子网掩码。routeroute 命令定义静态路由。语法:route (if_name) 0 0 gateway_ip metric
3、其中:(if_name):表示接口名称。0 0 :表示所有主机 Gateway_ip:表示网关路由器的 ip 地址或下一跳。 metric:路由花费。缺省值是 1。static 配置静态 IP 地址翻译,使内部地址与外部地址一一对应。 语法:static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address 其中:internal_if_name 表示内部网络接口,安全级别较高,如 inside。 external_if_name 表示外部网络接口,安全级别较低,如 outside。 outside_ip_a
4、ddress 表示外部网络的公有 ip 地址。inside_ ip_address 表示内部网络的本地 ip 地址。( 括号内序顺是先内后外,外边的顺序是先外后内 ) 例如:asa(config)#static (inside ,outside) 133.0.0.1 192.168.0.8表示内部 ip 地址 192.168.0.8 ,访问外部时被翻译成 133.0.0.1 全局地址asa#conf tasa(config)# hostname asa /设置主机名asa(config)#enable password cisco /设置密码配置外网的接口,名字是 outside ,安全级别
5、0 ,输入 ISP 给您提供的地址就行了。 asa(config)#interface GigabitEthernet0/0asa(config)#nameif outside / 名字是 outside asa(config)#securit-level 0 /安全级别 0asa(config)#ip address *.*.*.* 255.255.255.0 /配置公网 IP 地址 asa(config)#duplex fullasa(config)# asa(config)#no shutdown 配置内网的接口,名字是 inside,安全级别 100 asa(config)#inter
6、face GigabitEthernet0/1asa(config)#nameif inside asa(config)#securit-level 100asa(config)#duplex full asa(config)#speed 100 asa(config)#no shutdown 配置 DMZ 的接口 ,名字是 dmz ,安全级别 50 asa(config)#interface GigabitEthernet0/2asa(config)#nameif dmz asa(config)#securit-level 50asa(config)#duplex fullasa(confi
7、g)#asa(config)#no shutdown 网络部分设置asa(config)#nat(inside) 1 192.168.1.1 255.255.255.0 asa(config)#global(outside) 1 222.240.254.193 255.255.255.248 asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255 / 表示 192.168.1.1 这个地址不需要 转换。直接转发出去。asa(config)#global (outside) 1 133.1.0.1-133.1.0.14 /定义的地址池asa(
8、config)#nat (inside) 1 0 0 /0 0 表示转换网段中的所有地址。定义内部网络地址将要 翻译成的全局地址或地址范围配置静态路由 asa(config)#route outside 0 0 133.0.0.2 /设置默认路由 133.0.0.2 为下一跳 如果内部网段不是直接接在防火墙内口,则需要配置到内部的路由。 asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1 地址转换asa(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ; 静态
9、NAT asa(config)#static (dmz,outside) 133.1.0.2 10.65.1.102 ; 静态 NAT asa(config)#static (inside ,dmz) 10.66.1.200 10.66.1.200 ;静态 NAT 如果内部有服务器需要映射到公网地址 (外网访问内网 ) 则需要 static asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240 asa(config)#static (inside, outside) 222.240.254.194 192.168.
10、1.240 10000 10 / 后面的 10000 为限制连接数,10为限制的半开连接数ACL 实现策略访问asa(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置 ACL asa(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;设置 ACL asa(config)#access-list 101 deny ip any any ;设置 ACLasa(config)#access-group 101 in interface outside ;将
11、 ACL 应用在 outside 端口 当内部主机访问外部主机时,通过 nat 转换成公网 IP,访问 internet。 当内部主机访问中间区域 dmz 时,将自己映射成自己访问服务器,否则内部主机将会 映射成地址池的 IP,到外部去找。当外部主机访问中间区域 dmz 时,对 133.0.0.1 映射成 10.65.1.101 ,static 是双向的。 PIX 的所有端口默认是关闭的,进入 PIX 要经过 acl 入口过滤。静态路由指示内部的主机和 dmz 的数据包从 outside 口出去。思科 ASA 和 PIX 防火墙配置手册一、 配置基础1.1用户接口 思科防火墙支持下列用户配置方
12、式: Console,Telnet,SSH(1.x 或者 2.0,2.0 为 7.x 新特性,PDM 的 http 方式(7.x 以后称为 ASDM) 和 VMS 的 Firewall Management Center。支持进入 Rom Monitor 模式,权限分为用户模式和特权模式,支持 Help,History 和命令输 出的搜索和过滤。注:Catalyst6500 的 FWSM 没有物理接口接入,通过下面 CLI 命令进入:Switch# session slot slot processor 1 (FWSM 所在 slot 号) 用户模式:Firewall 为用户模式,输入 ena
13、ble 进入特权模式 Firewall#。特权模式下可以进入配置模式, 在 6.x 所有的配置都在一个全局模式下进行,7.x 以后改成和 IOS 类似的全局配置模式和相应 的子模式。通过 exit,ctrl-z 退回上级模式。配置特性:在原有命令前加 no 可以取消该命令。Show running-config 或者 write terminal 显示当前配置, 7.x 后可以对 show run 的命令输出进行搜索和过滤。Show running-config all 显示所有配置, 包含缺省配置。Tab 可以用于命令补全,ctrl-l可以用于重新显示输入的命令(适用于还没有 输入完命令被系
14、统输出打乱的情况),help 和 history 相同于 IOS 命令集。Show 命令支持 begin,include,exclude,grep 加正则表达式的方式对输出进行过滤和搜索。 Terminal width 命令用于修改终端屏幕显示宽度,缺省为 80 个字符,pager 命令用于修改终 端显示屏幕显示行数,缺省为 24 行,pager lines 0 命令什么效果可以自己试试。1.2 防火墙许可介绍 防火墙具有下列几种许可形式,通过使用 show version 命令可以看设备所支持的特性: Unrestricted (UR) 所有的限制仅限于设备自身的性能,也支持 Failove
15、rRestricted (R) 防火墙的内存和允许使用的最多端口数有限制,不支持 Failover Failover (FO) 不能单独使用的防火墙,只能用于 FailoverFailover-Active/Active (FO-AA) 只能和 UR 类型的防火墙一起使用,支持 active/active failover 注:FWSM 内置 UR 许可。activation-key 命令用于升级设备的许可,该许可和设备的 serial number 有关(show version 输出可以看到),6.x 为16字节,7.x 为20字节。1.3 初始配置跟路由器一样可以使用 setup 进行对
16、话式的基本配置。二、 配置连接性2.1配置接口 接口基础: 防火墙的接口都必须配置接口名称,接口 IP 地址和掩码(7.x 开始支持 IPv6)和安全等级。 接口可以是物理接口也可以是逻辑接口(vlan),从 6.3 贾?lt;/SPANtrunk,但只支持802.1Q 封装,不支持 DTP 协商。接口基本配置:注:对于 FWSM 所有的接口都为逻辑接口,名字也是 vlan 后面加上 vlanid。例如 FWSM 位 于 6500 的第三槽,配置三个接口,分别属于 vlan 100,200,300.Switch(config)# firewall vlan-group 1 100,200,300 Switch(config)# firewall module 3 vlan-grou
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1