思科---防火墙asa5520配置笔记
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了思科---防火墙asa5520配置笔记相关的知识,希望对你有一定的参考价值。
一、防火墙的动态pat配置
Object network (inside)名称 //设置对象网络名称
Subnet 网段 掩码 //设置网段
Nat (inside,outside)指定接口方向 dynamic 外网ip 或interface //设置nat方向为inside区域到outside区域,动态转换ip为外网ip或外网端口ip(不能与防火墙网关地址相同)
二、Show xlate //查看防火墙nat转换表
三、防火墙静态pat配置
Object network 名称1 //设置对象网络名称1
Host 外网未使用的ip //设置要转换的外网ip
Object network 名称2 //设置对象网络名称2
Host 内网要转换的ip1 //设置内网要转换的ip1
Nat (dmz,outside) static 名称1 service tcp 80 80 //使用静态nat,方向dmz到outside,类型静态,要转换的外网ip名称,tcp协议的80端口出项,80端口入项
Object network 名称3 //设置对象网络名称3
Host 内网要转换的ip2 //设置内网要转换的ip2
Nat (dmz,outside) static 名称1 service tcp 21 21 //使用静态nat,方向dmz到outside,类型静态,要转换的外网ip名称,tcp协议的21端口出项,21端口入项
Access-list 名称 permit tcp any object 名称2 eq http //允许如何tcp 访问的ip,去访问内网名称为2的80端口号
Access-list 名称 permit tcp any object 名称3 eq ftp //允许如何tcp 访问的ip,去访问内网名称为3的21端口号
Access-group 名称 in interface outside //在outside区域应用
四、本地主机远程访问防火墙
Telnet 10.1.1.0 255.255.255.0 inside //允许inside区域地址段为 10.1.1.0 255.255.255.0 所有主机远程访问防火墙。
Telnet 0 0 inside // 允许inside区域所有计算机远程访问防火墙。
五、Ssh端口号22
六、外网主机远程访问防火墙
Hostname asa842 // 修改名为asa842
Domian-name ciscoasa842.com //设置域名称为 ciscoasa842.com
Crypto key generate rsa modulus 1024(密钥默认长度为1024) //生成RSA密钥对密钥长度为1024
Ssh 0 0 outside //设置在outside区域可以使用ssh远程访问防火墙
Username 账号名 password 密码 //设置远程访问的账号名和密码
Aaa authentication ssh console LOCAL //启用aaa认证,用在ssh的本地控制台接口上
七、使用https远程访问防火墙
http server enable //启用htts服务
http 0 0 outside //允许从outside接口使用https访问防火墙
Asdm image disk0:asdm-649.bin //提供客户端下载asdm软件
Username 账号名 password 密码 privilege 15 //设置访问账户和密码,以及权限
八、防火墙日志信息安全级别
九、防火墙的工作模式
1.路由模式:充当三层设备,基于目的ip地址转发数据包
2.透明模式:充当二层设备,基于目的mac地址转发数据帧
十、防火墙透明模式的优点
十一、防火墙自己总结的要点
防火墙每个区域的acl只能配置一个,例如:
如果再添加个acl放着在DMZ中就会顶替掉原先的acl。
十二、透明防火墙配置
ASA的配置
ciscoasa(config)# firewall transparent //开启防火墙透明模式
ciscoasa(config)# hostname asa //修改名称为asa
asa(config)# int E0/0 //进入接口e0/0
asa(config-if)# no shut //开启接口
asa(config-if)# nameif outside //设置接口区域为outside
asa(config-if)# int E0/1 //进入接口e0/1
asa(config-if)# no shut //开启接口
asa(config-if)# nameif inside //设置接口区域为inside
asa(config)# ip add 192.168.1.253 255.255.255.0 //设置防火墙IP地址
以上是关于思科---防火墙asa5520配置笔记的主要内容,如果未能解决你的问题,请参考以下文章