搜档网
搜档网
当前位置:搜档网 › CO防火墙配置实例完整版

CO防火墙配置实例完整版

CO防火墙配置实例完整版
CO防火墙配置实例完整版

C O防火墙配置实例 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

CISCO 5520防火墙配置实例

本人在项目中已经两次接触到思科5500系列防火墙的配置应用了,根据项目的需求不同,详细的配置也不一样,因此汇总了一个通用版本的思科5500系列防火墙的配置,不详之处,请各位大虾给予指点,谢谢!

CD-ASA5520# show run

: Saved

:

ASA Version (2)

!

hostname CD-ASA5520&

nb sp;

//给防火墙命名

enable password 9jNfZuG3TC5tCVH0 encrypted

// 进入特权模式的密码

names

dns-guard

!

interface GigabitEthernet0/0

//内网接口:

duplex full //接口作工模式:全双工,半双,自适应

nameif inside

//为端口命名:内部接口inside

security-level 100

//设置安全级别 0~100 值越大越安全

!

interface GigabitEthernet0/1

//外网接口

nameif outside

//为外部端口命名:外部接口outside security-level 0

!

interface GigabitEthernet0/2 nameif dmz

security-level 50

!

interface GigabitEthernet0/3 shutdown

no nameif

no security-level

no ip address

!

interface Management0/0

//防火墙管理地址

shutdown

no nameif

no security-level

no ip address

!

passwd encrypted

ftp mode passive

clock timezone CST 8

dns server-group DefaultDNS

access-list outside_permit extended permit tcp any interface outside eq 3389

//访问控制列表

access-list outside_permit extended permit tcp any interface outside range 30000 30010

//允许外部任何用户可以访问outside 接口的30000-30010的端口。

pager lines 24

logging enable

//启动日志功能

logging asdm informational

mtu inside 1500

内部最大传输单元为1500字节

mtu outside 1500

mtu dmz 1500

//定义一个命名为vpnclient的IP地址池,为remote用户分配IP地址no failover

icmp unreachable rate-limit 1 burst-size 1

asdm image disk0:/

no asdm history enable

arp timeout 14400

//arp空闲时间为14400秒

global (outside) 1 interface

//由于没有配置NAT 故这里是不允许内部用户上INTERNET

//端口映射

可以解决内部要公布的服务太多,而申请公网IP少问题。

access-group outside_permit in interface outside

//把outside_permit控制列表运用在外部接口的入口方向。

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout uauth 0:05:00 absolute

------------定义一个命名为vpnclient的组策略------------------------- group-policy vpnclient internal //创建一个内部的组策略。

group-policy vpnclient attributes

//设置vpnclient组策略的参数

vpn-idle-timeout none //终止连接时间设为默认值

vpn-session-timeout none

//会话超时采用默认值

vpn-tunnel-protocol IPSec

//定义通道使用协议为IPSEC。

split-tunnel-policy tunnelspecified

//定义。

default-domain value //定义默认域名为

------------定义一个命名为l2lvpn的组策略------------------------- group-policy l2lvpn internal

group-policy l2lvpn attributes

vpn-simultaneous-logins 3

vpn-idle-timeout none

vpn-session-timeout none

vpn-tunnel-protocol IPSec

username test password P4ttSyrm33SV8TYp encrypted privilege 0

//创建一个远程访问用户来访问安全应用

username cisco password 3USUcOPFUiMCO4Jk encrypted

http server enable

//启动HTTP服务

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart //snmp的默认配置

crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac

//配置转集(定义了IPSC隧道使用的加密和信息完整性算法集合)

crypto dynamic-map vpn_dyn_map 10 set transform-set ESP-DES-MD5

//为动态加密图条目定义传换集

crypto map outside_map 10 ipsec-isakmp dynamic vpn_dyn_map //创建一个使用动态加密条目的加密图

crypto map outside_map interface outside

//将 outside_map加密图应用到outside端口

------------配置IKE--------------

crypto isakmp enable outside

//在ostside 接口启动ISAKMP

crypto isakmp policy 20

//isakmmp权值,值越小权值越高

authentication pre-share

//指定同位体认证方法是共享密钥

encryption des

//指定加密算法

hash md5

//指定使用MD5散列算法

group 2

//指定diffie-hellman组2

lifetime 86400 //指定SA(协商安全关联)的生存时间

crypto isakmp policy 65535

authentication pre-share

encryption des

hash md5

group 2

lifetime 86400

-------------调用组策略-----------------

crypto isakmp nat-traversal 20

tunnel-group DefaultL2LGroup general-attributes //配置这个通道组的认证方法

default-group-policy l2lvpn

//指定默认组策略名称。

tunnel-group DefaultL2LGroup ipsec-attributes

//配置认证方法为IPSEC

pre-shared-key * //提供IKE连接的预共享密钥

tunnel-group vpnclient type ipsec-ra //设置连接类型为远程访问。 tunnel-group vpnclient general-attributes

//配置这个通道组的认证方法

address-pool vpnclient

//定义所用的地址池

default-group-policy vpnclient

//定义默认组策略

-----设置认证方式和共享密钥-------------

tunnel-group vpnclient ipsec-attributes

//配置认证方法为IPSEC

pre-shared-key * //提供IKE连接的预共享密钥

telnet timeout 5

//telnet 超时设置

ssh timeout 60

//SSH连接超时设置

console timeout 0 //控制台超时设置

dhcp-client update dns server both

!

dhcpd enable inside

//启动DHCP服务。

!

!

class-map inspection_default

match default-inspection-traffic

!

!

policy-map type inspect dns migrated_dns_map_1 parameters

message-length maximum 512

policy-map global_policy

class inspection_default

inspect dns migrated_dns_map_1

inspect ftp

inspect h323 h225

inspect h323 ras

inspect netbios

inspect rsh

inspect rtsp

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

!

service-policy global_policy global prompt hostname context

: end

相关主题

相关文档

最新文档

© 2013-2022 www.sodocs.net  站点地图 | 侵权投诉

闽ICP备11023808号-8  本站资源均为网友上传分享,本站仅负责收集和整理,有任何问题请在对应网页下方投诉通道反馈