思科---防火墙asa5520配置笔记

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了思科---防火墙asa5520配置笔记相关的知识,希望对你有一定的参考价值。

一、防火墙的动态pat配置

Object network (inside)名称 //设置对象网络名称
Subnet 网段 掩码 //设置网段
Nat (inside,outside)指定接口方向 dynamic 外网ip 或interface   //设置nat方向为inside区域到outside区域,动态转换ip为外网ip或外网端口ip(不能与防火墙网关地址相同)

二、Show xlate //查看防火墙nat转换表


三、防火墙静态pat配置

Object network 名称1 //设置对象网络名称1
Host 外网未使用的ip  //设置要转换的外网ip

Object network 名称2 //设置对象网络名称2
Host 内网要转换的ip1  //设置内网要转换的ip1
Nat (dmz,outside) static  名称1  service  tcp  80  80  //使用静态nat,方向dmz到outside,类型静态,要转换的外网ip名称,tcp协议的80端口出项,80端口入项

Object network 名称3 //设置对象网络名称3
Host 内网要转换的ip2 //设置内网要转换的ip2
Nat (dmz,outside) static  名称1  service  tcp  21  21  //使用静态nat,方向dmz到outside,类型静态,要转换的外网ip名称,tcp协议的21端口出项,21端口入项

Access-list 名称 permit  tcp  any  object 名称2  eq  http  //允许如何tcp 访问的ip,去访问内网名称为2的80端口号
Access-list 名称 permit  tcp  any  object 名称3  eq  ftp  //允许如何tcp 访问的ip,去访问内网名称为3的21端口号
Access-group 名称 in  interface  outside  //在outside区域应用

四、本地主机远程访问防火墙

Telnet 10.1.1.0  255.255.255.0  inside //允许inside区域地址段为 10.1.1.0  255.255.255.0 所有主机远程访问防火墙。
Telnet  0  0  inside // 允许inside区域所有计算机远程访问防火墙。

五、Ssh端口号22


六、外网主机远程访问防火墙

Hostname  asa842 // 修改名为asa842
Domian-name  ciscoasa842.com  //设置域名称为 ciscoasa842.com
Crypto key generate rsa modulus 1024(密钥默认长度为1024) //生成RSA密钥对密钥长度为1024
Ssh 0 0 outside //设置在outside区域可以使用ssh远程访问防火墙
Username 账号名 password 密码 //设置远程访问的账号名和密码
Aaa  authentication ssh console LOCAL  //启用aaa认证,用在ssh的本地控制台接口上

七、使用https远程访问防火墙

http server enable //启用htts服务
http 0 0 outside //允许从outside接口使用https访问防火墙
Asdm image disk0:asdm-649.bin //提供客户端下载asdm软件
Username 账号名 password 密码 privilege 15  //设置访问账户和密码,以及权限

八、防火墙日志信息安全级别

技术分享图片


九、防火墙的工作模式

1.路由模式:充当三层设备,基于目的ip地址转发数据包
2.透明模式:充当二层设备,基于目的mac地址转发数据帧


十、防火墙透明模式的优点

技术分享图片


十一、防火墙自己总结的要点

防火墙每个区域的acl只能配置一个,例如:
技术分享图片
如果再添加个acl放着在DMZ中就会顶替掉原先的acl。


十二、透明防火墙配置

技术分享图片
ASA的配置

ciscoasa(config)# firewall transparent //开启防火墙透明模式
ciscoasa(config)# hostname asa //修改名称为asa
asa(config)# int E0/0 //进入接口e0/0
asa(config-if)# no shut //开启接口
asa(config-if)# nameif outside //设置接口区域为outside
asa(config-if)# int E0/1 //进入接口e0/1
asa(config-if)# no shut  //开启接口
asa(config-if)# nameif inside //设置接口区域为inside
asa(config)# ip add 192.168.1.253 255.255.255.0 //设置防火墙IP地址

以上是关于思科---防火墙asa5520配置笔记的主要内容,如果未能解决你的问题,请参考以下文章

cisco asa5520 防火墙如何配置路由,希望大虾帮忙!

Cisco ASA5520 配置说明

基于GNS3的ASA 5520虚拟防火墙功能测试

思科 ASA 5505 防火墙如何连接?

思科防火墙asa5505路由配置

求cisco 思科ASA5505 中文使用说明书