思科ASA虚拟防火墙
思科ASA虚拟防火墙
(昊昊)
第1章激活多
CONTEXT模式
1.1安全的上下文概述3 1.2M ULTIPLE CONTEXT的使用环境3 1.
2.1ISP想把一台ASA给更多的客户提供保护.那么实施MULTIPLE CONTEXT能够为更多的客户提供独立的安全策略,更多的保护.并且节省的花费. 3 1.2.2在一个企业网或者是园区网中,想要保证各个部门是绝对独立的3 1.2.3你的网络需要不止一台防火墙3 1.3不支持的特性3 1.
3.1动态路由协议3 1.3.2VPN 4 1.3.3组播路由和组播桥接4 1.3.4威胁检查4 1.4虚拟墙的配置文件4 1.
4.1C ONTEXT配置4 1.4.2系统配置4 1.4.3管理CONTEXT配置4 1.5ASA对数据包的分类4 1.
5.1有效的分类标准5 1.5.2分类的例子5 1.6重叠安全CONTEXT9 1.7管理接入安全的虚拟墙10 1.7.1系统管理员访问10 1.8开启和关闭防火墙的MULTIPLE CONTEXT模式11 1.8.1激活虚拟墙11 1.8.2恢复到单一模式11
第1章激活多context模式
1.1安全的上下文概述
ASA可以把单一的安全设备分割成多个虚拟的防火墙.叫做安全的context.每一个context就是一个独立的设备,拥有自己的安全策略,接口,管理.
多个context有点类似于多个独立真实的防火墙一样.包括路由表,防火墙特性,IPS,管理.一些特性是不支持的,例如:动态路由协议,VPN等
1.2Multiple context的使用环境
1.2.1 ISP 想把一台ASA给更多的客户提供保护.那么实施
multiple context能够为更多的客户提供独立的安全策略,更
多的保护.并且节省的花费.
1.2.2 在一个企业网或者是园区网中,想要保证各个部门是绝
对独立的
1.2.3 你的网络需要不止一台防火墙
1.3不支持的特性
Multiple context不支持的特性:
1.3.1 动态路由协议
虚拟墙只能够支持静态路由协议,动态(OSPF,RIP,EIGRP)不被支持
1.3.2 VPN
1.3.3 组播路由和组播桥接
1.3.4 威胁检查
1.4虚拟墙的配置文件
每一个虚拟墙都会有它独立的配置,具体分为3种:
1.4.1 Context配置
ASA包括每一个context的配置目的为了区分安全策略,接口,几乎配置单独ASA的所有配置.可以存储context配置在内部或者外部的flash上,或者上传下载到TFTP,FTP,HTTPS服务器上
1.4.2 系统配置
这个系统配置文件是通过配置每一个context的配置文件来管理
context(虚拟墙),例如分配接口,其他的context的操作.类似于一个单一模式的配置.
1.4.3 管理context配置
这个admin context有点类似于其他的context.主要用于对虚拟墙进行管理.
1.5ASA对数据包的分类
每一个数据包进入ASA的话是必须要被分类的,以至于ASA能够决定哪个虚拟墙去转发数据包.
1.5.1 有效的分类标准
1.5.1.1 唯一的接口
如果只有一个虚拟墙互联了一个进入的接口,那么ASA会把数据包分给这个context.在透明模式下,唯一的接口是必须的.
1.5.1.2 唯一的MAC地址
如果多个context共享一个接口的话, 不管是共享物理接口还是子接口.默认的共享接口那么这个分类器会使用共享接口的MAC地址,ASA会让你指定不通的MAC地址给每一个context.
1.5.1.3 NAT配置
如果没有唯一的MAC地址,分类器会截获数据包,发起一个目的IP地址的查找.只使用IP数据包中的目的地址字段.如果有context NAT的地址是改数据包的目的地址,那么分类器就会把该数据包分配给这个context.
1.5.2 分类的例子
多个虚拟墙共享一个OUTSIDE接口,分类器把数据包分配给了context B,因为context B包含了改数据包的目的MAC地址.
数据包分配给了context B.因为数据包的目的地址是context B转换后的地址.
所有新进入的流量必须被分类,及时是从内部网络.如下图:分类器指定了该数据包去context B,因为内部接口gi0/1.3被指定了contextB.
对于透明模式,必须设置使用唯一接口.
1.6重叠安全context
把一个context放置在另外一个context的前面叫做重叠安全context.一个context的外部接口和另外一个context的内部接口是同一个接口.
1.7管理接入安全的虚拟墙
在multiple模式下ASA提供了系统管理,和管理单一防火墙是一样的.
1.7.1 系统管理员访问
可以用两种方法以系统管理员的身份访问防火墙:
1.7.1.1 采用console线连接ASA的console口
1.7.1.2 采用telnet,SSH,ASDM登入防火墙
做为系统管理员,可以接入所有的context
1.8开启和关闭防火墙的multiple context模式
1.8.1 激活虚拟墙
上下文模式(single or multiple)并没有存储在配置文件中.
当从单一模式转换成多重模式的时候,ASA将会把当前配置转换到两个文件:一个新的启动配置(包含系统配置),另外一个文件为admin.cfg(包括admin配置).原来的running-config被保存成了old_running.cfg(内部flash根文件夹中).原来的startup配置不会被保存,ASA会针对系统配置的管理context自动加入一个条目,名字为admin.
激活虚拟墙:
需要重启生效.
1.8.2 恢复到单一模式
如果从多重模式转换到单一模式的时候,需要将以前的完整startup-config 恢复过来.也就是old_running.cfg文件.
1.8.
2.1 将old_running.cfg恢复到当前的startup-config
1.8.
2.2 改变多重模式为单一模式
ASA防火墙的基本配置
安全级别:0-100 从高安全级别到低安全级别的流量放行的 从低安全到高安全级别流量禁止的 ASA防火墙的特性是基于TCP和UDP链路状态的,会话列表,记录出去的TCP或者UDP 流量,这些流量返回的时候,防火墙是放行的。 ASA防火墙的基本配置 ! interface Ethernet0/0 nameif inside security-level 99 ip address 192.168.1.2 255.255.255.0 ! interface Ethernet0/1 nameif dmz security-level 50 ip address 172.16.1.2 255.255.255.0 ! interface Ethernet0/2 nameif outside security-level 1 ip address 200.1.1.2 255.255.255.0 ciscoasa# show nameif Interface Name Security Ethernet0/0 inside 99 Ethernet0/1 dmz 50 Ethernet0/2 outside 1
2、路由器上配置 配置接口地址 路由--默认、静态 配置VTY 远程登录 R3: interface FastEthernet0/0 ip address 200.1.1.1 255.255.255.0 no shutdown 配置去内网络的路由 ip route 192.168.1.0 255.255.255.0 200.1.1.2配置去DMZ区域的路由 ip route 172.161.0 255.255.255.0 200.1.1.2 配置远程登录VTY R3(config)#line vty 0 2 R3(config-line)#password 666 R3(config-line)#login R2: interface FastEthernet0/0 ip address 172.16.1.1 255.255.255.0 no shutdown 配置默认路由 IP route 0.0.0.0 0.0.0.0 172.16.1.2 配置远程登录VTY R3(config)#line vty 0 2 R3(config-line)#password 666 R3(config-line)#login R2: interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 no shutdown 配置默认路由 IP route 0.0.0.0 0.0.0.0 192.168.1.2 配置远程登录VTY R3(config)#line vty 0 2 R3(config-line)#password 666
Cisco ASA5505防火墙详细配置教程及实际配置案例
Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS
思科ASA防火墙ASDM安装和配置
CISCO ASA防火墙ASDM安装和配置 准备工作: 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口,通过开始——>程序——> 附件——>通讯——>超级终端 输入一个连接名,比如“ASA”,单击确定。 选择连接时使用的COM口,单击确定。 点击还原为默认值。 点击确定以后就可能用串口来配置防火墙了。 在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。 在串口下输入以下命令: ciscoasa> ciscoasa> en Password: ciscoasa# conf t 进入全局模式 ciscoasa(config)# webvpn 进入WEBVPN模式 ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口 ciscoasa(config-if)# ip address 192.168.4.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字 ciscoasa(config-if)# no shutdown 激活接口 ciscoasa(config)#q 退出管理接口 ciscoasa(config)# http server enable 开启HTTP服务 ciscoasa(config)# http 192.168.4.0 255.255.255.0 guanli 在管理口设置可管理的IP 地址 ciscoasa(config)# show run 查看一下配置 ciscoasa(config)# wr m 保存 经过以上配置就可以用ASDM配置防火墙了。 首先用交叉线把电脑和防火墙的管理口相连,把电脑设成和管理口段的IP地址,本例中设为192.168.4.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.4.1 弹出一下安全证书对话框,单击“是” 输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“确定”。出现也下对话框,点击“Download ASDM Launcher and Start ASDM”开始安装ASDM管理器,安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上Java 版本),进入https://www.sodocs.net/doc/bd796060.html,下载安装,安装完后点击下面的“R un ASDM as a Java Applet ”。 出现以下对话框,点击“是”。 出现以下对话框,输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“是”。 出现以下对话框,点击“是”。 进入ASDM管理器。 这样就可以通过ASDM来配置防火墙了。 以后就可以直接使用ASDM来管理防火墙了。
ASA防火墙8.3与7.0各种操作配置区别详解
Network Object NAT配置介绍 1.Dynamic NAT(动态NAT,动态一对一) 实例一: 传统配置方法: nat (Inside) 1 10.1.1.0 255.255.255.0 global (Outside) 1 202.100.1.100-202.100.1.200 新配置方法(Network Object NAT) object network Outside-Nat-Pool range 202.100.1.100 202.100.1.200 object network Inside-Network subnet 10.1.1.0 255.255.255.0 object network Inside-Network nat (Inside,Outside) dynamic Outside-Nat-Pool 实例二: object network Outside-Nat-Pool range 202.100.1.100 202.100.1.200 object network Outside-PAT-Address host 202.100.1.201 object-group network Outside-Address network-object object Outside-Nat-Pool network-object object Outside-PAT-Address object network Inside-Network (先100-200动态一对一,然后202.100.1.201动态PAT,最后使用接口地址动态PAT) nat (Inside,Outside) dynamic Outside-Address interface 教主认为这种配置方式的好处是,新的NAT命令绑定了源接口和目的接口,所以不会出现传统配置影响DMZ的问题(当时需要nat0 + acl来旁路)2.Dynamic PAT (Hide)(动态PAT,动态多对一) 传统配置方式: nat (Inside) 1 10.1.1.0 255.255.255.0 global(outside) 1 202.100.1.101 新配置方法(Network Object NAT) object network Inside-Network subnet 10.1.1.0 255.255.255.0 object network Outside-PAT-Address host 202.100.1.101 object network Inside-Network nat (Inside,Outside) dynamic Outside-PAT-Address
ASA防火墙基本配置
一、基本配置 #hostname name //名字的设置 #interface gigabitethernet0/0 //进入接口0/0 #nameif outside //配置接口名为outside #security-level 0 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown #interface ethernet0/1 //进入接口0/1 #nameif inside //配置接口名为inside #security-level 100 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 192.168.10.1 255.255.255.0 //设置ip地址 #duplex full //全双工 #speed 100 //速率 #no shutdown #interface ethernet0/2 //进入接口0/2 #nameif dmz //配置接口名为dmz #security-level 50 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址 #no shutdown #interface Management0/0 //进入管理接口 # nameif guanli //接口名 # security-level 100 //安全级别 #ip address 192.168.1.1 255.255.255.0 //IP地址 注意:security-level 配置安全级别。默认外网接口为0/0 安全级别默认为0 内网接口为0/1 安全级别默认为100 dmz 接口为0/2 安全级别默认为50 默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令: #same-security-traffic permit interface //允许相同安全级别接口之间互相通信。 较高安全接口访问较低安全接口:允许所有基于IP的数据流通过,除非有ACL访问控制列表,认证或授权的限制。 较低安全接口访问较高安全接口:除非有conduit或acl进行明确的许可,否则丢弃所有的数据包。
思科ASA5505防火墙配置成功实例
配置要求: 1、分别划分inside(内网)、outside(外网)、dmz(安全区)三个区域。 2、内网可访问外网及dmz内服务器(web),外网可访问dmz内服务器(web)。 3、Dmz服务器分别开放80、21、3389端口。 说明:由于防火墙许可限制“no forward interface Vlan1”dmz内服务器无法访问外网。 具体配置如下:希望对需要的朋友有所帮助 ASA Version 7.2(4) ! hostname asa5505 enable password tDElRpQcbH/qLvnn encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Vlan1 nameif outside security-level 0 ip address 外网IP 外网掩码 ! interface Vlan2 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan3 no forward interface Vlan1 nameif dmz security-level 50 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet0/0 description outside !
interface Ethernet0/1 description inside switchport access vlan 2 ! interface Ethernet0/2 description dmz switchport access vlan 3 ! interface Ethernet0/3 description inside switchport access vlan 2 ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! ftp mode passive object-group service outside-to-dmz tcp port-object eq www port-object eq ftp port-object eq 3389 access-list aaa extended permit tcp any host 外网IP object-group outsid e- to-dmz access-list bbb extended permit tcp host 172.16.1.2 192.168.1.0 255.255. 255.0 ob
ASA防火墙基本配置
第二章ASA防火墙 实验案例一ASA防火墙基本配置 一、实验目的: 熟悉ASA基本配置 二、实验环境和需求 在WEB上建立站点https://www.sodocs.net/doc/bd796060.html,.,在Out上建立站点https://www.sodocs.net/doc/bd796060.html,,并配置DNS服务,负责解析https://www.sodocs.net/doc/bd796060.html,(202.0.0.253/29)和https://www.sodocs.net/doc/bd796060.html,(IP为202.2.2.1),PC1的DNS 指向200.2.2.1 只能从PC1通过SSH访问ASA 从PC1可以访问outside和dmz区的网站,从Out主机可以访问DMZ区的Web站点从PC1可以ping通Out主 三、实验拓扑图 四、配置步骤 (一)路由器配置 int f1/0 ip add 200.0.0.1 255.255.255.252 no sh
int f0/0 ip add 200.2.2.254 255.255.255.0 no sh exit ip route 0.0.0.0 0.0.0.0 200.0.0.2 end (二) ASA基本属性配置 1、接口配置 Interface E 0/0 Ip address 192.168.0.254 255.255.255.0 Nameif inside //设置内接口名字 Security-level 100 //设置内接口安全级别 No shutdown Interface E 0/1 Ip add 192.168.1.254 255.255.255.0 Nameif dmz //设置接口为DMZ Security-level 50 //设置DMZ接口的安全级别 No shutdown Interface E 0/2 Ip address 200.0.0.2 255.255.255.252 Nameif outside //设置外接口名字 Security-level 0 //设置外接口安全级别 No shutdown 2、ASA路由配置:静态路由方式 (config)#Route outside 0.0.0.0 0.0.0.0 200.0.0.1 3、从PC1上可以PING通OUT主机 默认情况下不允许ICMP流量穿过,从内Ping外网是不通的,因为ICMP应答的报文返回时不能穿越防火墙,可以配置允许几种报文通过, (Config)# Access-list 111 permit icmp any any
Cisco ASA 5505 防火墙常用配置案例
interface Vlan2 nameif outside --------------------对端口命名外端口 security-level 0 --------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址 ! interface Vlan3 nameif inside --------------------对端口命名内端口 security-level 100 --------------------调试外网地址 ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级 ! interface Ethernet0/0 switchport access vlan 2 --------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 --------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS name-server 211.99.129.210 name-server 202.106.196.115 access-list 102 extended permit icmp any any ------------------设置ACL列表(允许ICMP全部通过) access-list 102 extended permit ip any any ------------------设置ACL列表(允许所有IP全部通过)
ASA防火墙配置命令-王军
ASA防火墙配置命令(v1.0) 版本说明
目录 1. 常用技巧 (3) 2. 故障倒换 (3) 3. 配置telnet、ssh及http管理 (5) 4. vpn常用管理命令 (5) 5. 配置访问权限 (6) 6. 配置sitetosite之VPN (6) 7. webvpn配置(ssl vpn) (7) 8. 远程拨入VPN (8) 9. 日志服务器配置 (10) 10. Snmp网管配置 (11) 11. ACS配置 (11) 12. AAA配置 (11) 13. 升级IOS (12) 14. 疑难杂症 (12)
1. 常用技巧 Sh ru ntp查看与ntp有关的 Sh ru crypto 查看与vpn有关的 Sh ru | inc crypto 只是关健字过滤而已 2. 故障倒换 failover failover lan unit primary failover lan interface testint Ethernet0/3 failover link testint Ethernet0/3 failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001 failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001 failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001 failover mac address Management0/0 0018.1900.7000 0018.1900.7001 failover interface ip testint 10.3.3.1 255.255.255.0 standby 10.3.3.2 注:最好配置虚拟MAC地址 sh failover显示配置信息 write standby写入到备用的防火墙中
配置asa 5505防火墙
配置asa 5505防火墙 1.配置防火墙名 ciscoasa> enable ciscoasa# configure terminal ciscoasa(config)# hostname asa5505 2.配置Http.telnet和ssh管理
ASA防火墙配置
ASA防火墙初始配置 1.模式介绍 “>”用户模式 firewall>enable 由用户模式进入到特权模式 password: “#”特权模式 firewall#config t 由特权模式进入全局配置模式 “(config)#”全局配置模式 防火墙的配置只要在全局模式下完成就可以了。 2.接口配置(以5510以及更高型号为例,5505接口是基于VLAN的): interface Ethernet0/0 nameif inside (接口的命名,必须!) security-level 100(接口的安全级别) ip address 10.0.0.10 255.255.255.0 no shut interface Ethernet0/1 nameif outside security-level 0 ip address 202.100.1.10 255.255.255.0 no shut 3.路由配置: 默认路由: route outside 0 0 202.100.1.1 (0 0 为0.0.0.0 0.0.0.0) 静态路由: route inside 192.168.1.0 255.255.255.0 10.0.0.1 5505接口配置: interface Ethernet0/0 ! interface Ethernet0/1 switchport access vlan 2 interface Vlan1
nameif inside security-level 100 ip address 192.168.6.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 202.100.1.10 ASA防火墙NAT配置 内网用户要上网,我们必须对其进行地址转换,将其转换为在公网上可以路由的注册地址, 防火墙的nat和global是同时工作的,nat定义了我们要进行转换的地址,而global定义了要被转换为的地址, 这些配置都要在全局配置模式下完成, Nat配置: firewall(config)# nat (inside) 1 0 0 上面inside代表是要被转换得地址, 1要和global 后面的号对应,类似于访问控制列表号,也是从上往下执行, 0 0 代表全部匹配(第一个0代表地址,第二个0代表掩码),内部所有地址都回进行转换。 Global配置: firewall(config)#global (outside)1 interface Gobalb定义了内网将要被转换成的地址, Interface 代表外端口的地址 当然,如果您有更多的公网IP地址,您也可以设置一个地址池,上面一条也是必须的,地址转换首先会用地址池内地址, 一旦地址被用完后会用到上面一条及外端口做PAT转换上网。 或者在如下的配置后面再加上一条:firewall(config)#global (outside)1222.128.1.10 firewall(config)#global (outside)1222.128.1.100-222.128.1.254 服务器映射配置: 如果在内网有一台web服务器需要向外提供服务,那么需要在防火墙上映射,公网地址多的情况下可以做一对一的映射,如下 firewall(config)#static (inside,outside)222.128.100.100 1.1.1.50
ciscoASA防火墙配置 - 基本配置过程
Cisco ASA 防火墙配置手册 基本配置过程 ----------Conan Zhongjm
拓扑图 1、配置主机名 hostname asa5520 2、配置密码 Enable password asa5520 Passwd cisco 3、配置接口 Conf t Interface ethernet 0/0 Nameif outside Security-level 0 Ip address 210.10.10.2 255.255.255.0 No shutdown Exit Interface ethernet 0/1 Nameif inside Security-level 100 Ip address 192.168.201.1 255.255.255.0 No shutdown Exit Interface ethernet 0/2 Nameif dmz Security-level 50 Ip address 192.168.202.1 255.255.255.0 No shutdown Exit 4、配置路由
Route outside 0.0.0.0 0.0.0.0 210.10.10.1 End Show route 5、配置网络地址转换 Nat-controal Nat (inside) 1 0 0 Global (outside) 1 interface Global (dmz) 1 192.168.202.100-192.168.202.110 ///////////////////////////////////////////////////////////////////// 配置完以上就可以实现基本的防火墙上网功能 ///////////////////////////////////////////////////////////////////// 6、配置远程登录 (1)telnet 登录 Conf t telnet 192.168.201.0 255.255.255.0 inside telnet timeout 15 (2)ssh登录 Crypto key generate rsa modulus 1024 Ssh 192.168.201.0 255.255.255.0 inside Ssh 0 0 outside Ssh timeout 30 Ssh version 2 (3)asdm登录 http server enable 8000 http 192.168.201.0 255.255.255.0 inside http 0 0 outside http 0 0 inside asdm image disk0:/asdm-615.bin username conan password 123456789 privilege 15 7、配置端口映射 (1)创建映射 Static (dmz,outside) 210.10.10.2 192.168.202.2 (2)因为防火墙默认把禁止外网访问DMZ区,所以要创建访问控制列表Access-list out_to_dmz permit tcp any host 210.10.10.2 eq 80 Access-group out_to_dmz in interface outside
asa防火墙基本配置管理
asa防火墙基本配置管理 一、基本配置 #hostname name //名字的设置 #interface gigabitethernet0/0 //进入接口0/0 #nameif outside //配置接口名为outside #security-level 0 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown #interface ethernet0/1 //进入接口0/1 #nameif inside //配置接口名为inside #security-level 100 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 192.168.10.1 255.255.255.0 //设置ip地址 #duplex full //全双工 #speed 100 //速率 #no shutdown #interface ethernet0/2 //进入接口0/2 #nameif dmz //配置接口名为dmz #security-level 50 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址 #no shutdown #interface Management0/0 //进入管理接口 # nameif guanli //接口名 # security-level 100 //安全级别 #ip address 192.168.1.1 255.255.255.0 //IP地址 注意:security-level 配置安全级别。默认外网接口为0/0 安全级别默认为0 内网接口为0/1 安全级别默认为100 dmz 接口为0/2 安全级别默认为50 默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令: #same-security-traffic permit interface //允许相同安全级别接口之间互相通信。
ASA_5505入门配置手册
1. 初始配置 ciscoasa> enable 从进入用户模式进入特权模式 ciscoasa# configure terminal 从特权模式进入全局配置模式 ciscoasa(config)# hostname AYKJ-FW 更改防火墙名称 AYKJ-FW(config)# passwd aykj 配置远程登录密码 AYKJ-FW(config)# enable password aykj 配置enable密码 2. 端口配置 AYKJ-FW(config)# interface Vlan2 创建SVI口,ASA5505必须通过SVI口配置地址AYKJ-FW(config)# nameif outside 定义为outside口,即连接外网接口 AYKJ-FW(config)# security-level 0 定义安全级别,范围0~100,其中inside、outside 口安全级别为系统自动定义和生成 AYKJ-FW(config)# ip address 221.226.186.58 255.255.255.252 配置运营商分配公网地址AYKJ-FW(config)# interface Vlan3 AYKJ-FW(config)# nameif inside 定义为inside口,即连接内网接口 AYKJ-FW(config)# security-level 100 inside口默认安全级别100 AYKJ-FW(config)# ip address 10.0.0.1 255.255.255.0 配置内网口地址 3. 管理配置 AYKJ-FW(config)# telnet 0.0.0.0 0.0.0.0 inside 允许内网所有地址通过telnet登录防火墙AYKJ-FW(config)# ssh 0.0.0.0 0.0.0.0 outside 允许外网所有地址通过ssh登录防火墙AYKJ-FW(config)# ssh version 1 使用ssh版本1 AYKJ-FW(config)# http server enable 开启web页面,即开启asdm,与传统的如ASA5520等有专门管理口的防火墙不同,ASA5505只要启用服务,并应用到端口,那么只要网络通畅就可以通过asdm管理,更加灵活 AYKJ-FW(config)# http 0.0.0.0 0.0.0.0 inside AYKJ-FW(config)# http 0.0.0.0 0.0.0.0 outside 这两条命令意味着所有只要能够访问防火墙的地址均可以通过asdm管理防火墙 4. 路由配置 AYKJ-FW(config)# route outside 0.0.0.0 0.0.0.0 221.226.186.57 配置上网默认路由,下一条为运营商分配的网关 AYKJ-FW(config)# route inside [内网网段] [掩码] [防火墙内网口] 配置内网路由,由于本次内网与防火墙在一个地址段,所以不需要 5. NAT配置
CISCO ASA防火墙ASDM安装和配置教程
准备工作: 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口,通过开始——>程序——> 附件——>通讯——>超级终端 输入一个连接名,比如“ASA”,单击确定。 准备工作: 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口,通过开始——>程序——> 附件——>通讯——>超级终端 输入一个连接名,比如“ASA”,单击确定。 选择连接时使用的COM口,单击确定。 点击还原为默认值。 点击确定以后就可能用串口来配置防火墙了。 在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。 在串口下输入以下命令: ciscoasa> ciscoasa> en Password: ciscoasa# conf t 进入全局模式 ciscoasa(config)# webvpn 进入WEBVPN模式 ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口 ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字 ciscoasa(config-if)# no shutdown 激活接口 ciscoasa(config)#q 退出管理接口 ciscoasa(config)# http server enable 开启HTTP服务 ciscoasa(config)# http 192.168.1.0 255.255.255.0 guanli 在管理口设置可管理的IP地址 ciscoasa(config)# show run 查看一下配置 ciscoasa(config)# wr m 保存
ASA防火墙vlan子接口互相通讯配置实例
ASA防火墙vlan子接口互相通讯配置实例 作者:金振宇日期:2008-5-13 19:47:5 实例需求:Cisco ASA 5520 防火墙用于内部多个vlan之间互相通讯。拓扑图: 配置实例: [asa防火墙配置] : Saved : ASA Version 7.0(7) ! hostname ***** enable password GSk/3FjsRAiPoooi encrypted names dns-guard ! interface GigabitEthernet0/0 shutdown nameif outside security-level 0 no ip address ! interface GigabitEthernet0/1
no nameif no security-level no ip address ! interface GigabitEthernet0/1.1 // 启用子接口连接vlan 10,安全及别99,分配地址 vlan 10 nameif Test1 security-level 99 ip address 10.8.128.254 255.255.255.0 ! interface GigabitEthernet0/1.2 // 启用子接口连接vlan 20,安全及别98,分配地址 vlan 20 nameif Test2 security-level 98 ip address 10.8.129.254 255.255.255.0 ! interface GigabitEthernet0/1.3 // 启用子接口连接vlan 30,安全及别97,分配地址 vlan 30 nameif Test3 security-level 97 ip address 10.8.130.254 255.255.255.0 ! interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/3 description LAN Failover Interface ! interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-only ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list acl_Test1 extended permit icmp any any // 设置访问列表,允许全通过,为了测试方便access-list acl_Test1 extended permit ip any any access-list acl_Test2 extended permit icmp any any access-list acl_Test2 extended permit ip any any access-list acl_Test3 extended permit icmp any any
相关文档
- ASA防火墙基本配置
- asa防火墙虚拟机运行
- asa防火墙命令详解
- ASA防火墙的基本配置
- ASA防火墙8.3与7.0各种操作配置区别详解
- 配置asa 5505防火墙
- asa防火墙基本配置管理
- asa防火墙命令
- ASA防火墙初始化
- cisco ASA5505防火墙详细配置
- [原创]CISCO ASA防火墙 IOS恢复与升级 简明教程
- ASA防火墙vlan子接口互相通讯配置实例
- ciscoASA防火墙详细配置
- 思科ASA防火墙ASDM安装和配置
- ASA防火墙配置命令-王军
- CISCO ASA防火墙 ASDM 安装和配置
- ciscoasa防火墙命令
- Cisco ASA5505防火墙详细配置教程及实际配置案例
- 思科ASA5505防火墙配置成功实例
- ASA防火墙配置