C O防火墙配置实例 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
CISCO 5520防火墙配置实例
本人在项目中已经两次接触到思科5500系列防火墙的配置应用了,根据项目的需求不同,详细的配置也不一样,因此汇总了一个通用版本的思科5500系列防火墙的配置,不详之处,请各位大虾给予指点,谢谢!
CD-ASA5520# show run
: Saved
:
ASA Version (2)
!
hostname CD-ASA5520&
nb sp;
//给防火墙命名
enable password 9jNfZuG3TC5tCVH0 encrypted
// 进入特权模式的密码
names
dns-guard
!
interface GigabitEthernet0/0
//内网接口:
duplex full //接口作工模式:全双工,半双,自适应
nameif inside
//为端口命名:内部接口inside
security-level 100
//设置安全级别 0~100 值越大越安全
!
interface GigabitEthernet0/1
//外网接口
nameif outside
//为外部端口命名:外部接口outside security-level 0
!
interface GigabitEthernet0/2 nameif dmz
security-level 50
!
interface GigabitEthernet0/3 shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
//防火墙管理地址
shutdown
no nameif
no security-level
no ip address
!
passwd encrypted
ftp mode passive
clock timezone CST 8
dns server-group DefaultDNS
access-list outside_permit extended permit tcp any interface outside eq 3389
//访问控制列表
access-list outside_permit extended permit tcp any interface outside range 30000 30010
//允许外部任何用户可以访问outside 接口的30000-30010的端口。
pager lines 24
logging enable
//启动日志功能
logging asdm informational
mtu inside 1500
内部最大传输单元为1500字节
mtu outside 1500
mtu dmz 1500
//定义一个命名为vpnclient的IP地址池,为remote用户分配IP地址no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/
no asdm history enable
arp timeout 14400
//arp空闲时间为14400秒
global (outside) 1 interface
//由于没有配置NAT 故这里是不允许内部用户上INTERNET
//端口映射
可以解决内部要公布的服务太多,而申请公网IP少问题。
access-group outside_permit in interface outside
//把outside_permit控制列表运用在外部接口的入口方向。
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
------------定义一个命名为vpnclient的组策略------------------------- group-policy vpnclient internal //创建一个内部的组策略。
group-policy vpnclient attributes
//设置vpnclient组策略的参数
vpn-idle-timeout none //终止连接时间设为默认值
vpn-session-timeout none
//会话超时采用默认值
vpn-tunnel-protocol IPSec
//定义通道使用协议为IPSEC。
split-tunnel-policy tunnelspecified
//定义。
default-domain value //定义默认域名为
------------定义一个命名为l2lvpn的组策略------------------------- group-policy l2lvpn internal
group-policy l2lvpn attributes
vpn-simultaneous-logins 3
vpn-idle-timeout none
vpn-session-timeout none
vpn-tunnel-protocol IPSec
username test password P4ttSyrm33SV8TYp encrypted privilege 0
//创建一个远程访问用户来访问安全应用
username cisco password 3USUcOPFUiMCO4Jk encrypted
http server enable
//启动HTTP服务
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart //snmp的默认配置
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
//配置转集(定义了IPSC隧道使用的加密和信息完整性算法集合)
crypto dynamic-map vpn_dyn_map 10 set transform-set ESP-DES-MD5
//为动态加密图条目定义传换集
crypto map outside_map 10 ipsec-isakmp dynamic vpn_dyn_map //创建一个使用动态加密条目的加密图
crypto map outside_map interface outside
//将 outside_map加密图应用到outside端口
------------配置IKE--------------
crypto isakmp enable outside
//在ostside 接口启动ISAKMP
crypto isakmp policy 20
//isakmmp权值,值越小权值越高
authentication pre-share
//指定同位体认证方法是共享密钥
encryption des
//指定加密算法
hash md5
//指定使用MD5散列算法
group 2
//指定diffie-hellman组2
lifetime 86400 //指定SA(协商安全关联)的生存时间
crypto isakmp policy 65535
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400
-------------调用组策略-----------------
crypto isakmp nat-traversal 20
tunnel-group DefaultL2LGroup general-attributes //配置这个通道组的认证方法
default-group-policy l2lvpn
//指定默认组策略名称。
tunnel-group DefaultL2LGroup ipsec-attributes
//配置认证方法为IPSEC
pre-shared-key * //提供IKE连接的预共享密钥
tunnel-group vpnclient type ipsec-ra //设置连接类型为远程访问。 tunnel-group vpnclient general-attributes
//配置这个通道组的认证方法
address-pool vpnclient
//定义所用的地址池
default-group-policy vpnclient
//定义默认组策略
-----设置认证方式和共享密钥-------------
tunnel-group vpnclient ipsec-attributes
//配置认证方法为IPSEC
pre-shared-key * //提供IKE连接的预共享密钥
telnet timeout 5
//telnet 超时设置
ssh timeout 60
//SSH连接超时设置
console timeout 0 //控制台超时设置
dhcp-client update dns server both
!
dhcpd enable inside
//启动DHCP服务。
!
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1 parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global prompt hostname context
: end