设置防火墙名称:
控制视图下 asa(config)# hostname cnweak.com ##设置防火墙名称cnweak.com
配置console等终端登录enable密码:
asa(config)# enable password cnweak.com
配置远程登录密码(在使用Telnet或SSH时需要输入的密码)
asa(config)# passwd cnweak.com
配置接口(名称,区域,安全等级),部分机型无法在接口下直接配置,需要建立vlanif接口
asa(config)# interface Gi0/0/1
asa(config-if)# nameif 接口名称
asa(config-if)# security-level 安全级别{0-100} ## 注意:高级别可以访问低级别,低级别无法访问高级别
asa(config-if)#ip add 10.1.1.254 255.255.255.0
asa(config-if)# no shutACL-入站访问控制
sa(config)# access-list out_to_in permit ip host 172.16.1.5 host 10.1.1.7 #允许外网主机172.16.1.5访问内网主机10.1.1.7,out_to_in为ACL组名 access-list out_to_in extended permit ip any any ## 允许外外网任意主机访问内网任意主机 access-list out_to_in extended deny ip any any ## 拒绝外外网任意主机访问内网任意主机 asa(config)# access-group out_to_in in int outside ## 将组名为out_to_in的ACL应用在outside接口
ACL-出站访问控制
asa(config)# access-list in_to_out deny ip 10.0.0.0 255.0.0.0 any ## 拒绝内网10.0.0.0网段 访问外网所有网段 asa(config)# access-list in_to_out permit ip any any ##允许其他所有流量通行,因为ACL有隐含的拒绝语句,所以配置ACL时,一般都需要允许所有流量 asa(config)# access-group in_to_out in int inside ## 应用在内网接口
ACL-建议性配置
防止外网扫描防火墙渗透,禁止ICMP协议。
ciscoasa(config)# access-list 111 permit icmp any any 定义ACL ciscoasa(config)# access-group 111 in int outside 应用到outside接口
配置静态路由
asa(config)# route outside 172.16.0.0 255.255.0.0 10.0.0.1 去往外网172.16.0.0网段的流量下一跳为10.0.0.1 asa(config)# route inside 192.168.1.0 255.255.255.0 192.168.2.1 去往内网192.168.1.0网段的流量下一跳为192.168.2.1 asa(config)# route outside 0.0.0.0 0.0.0.0 192.168.255.254 1 //全局默认静态路由
NAT-动态PAT转换配置
把内部全局地址10.1.1.2转换为30.1.1.100 ASA(config)# nat (inside) nat名称 10.1.1.0 255.255.255.0 ## 声明内部地址 ASA(config)# global (outside) nat名称 30.1.1.100-30.1.1.200 ## 声明全局地址,nat名称与内部nat名称要相同 ASA(config)# show xlate detai ## 查看NAT地址转换表 转换为outside接口的地址 ASA(config)# nat (inside) nat名称 10.1.1.0 255.255.255.0 ## 声明内部地址,nat-id为1 ASA(config)# global (outside) 1 interface ## 声明内部地址全部转换为outside区域接口地址
NAT-静态NAT转换配置
dmz区域的20.1.1.2 映射成公网地址100.1.1.1访问 ASA(config)# static (dmz,outside) 100.1.1.1 20.1.1.2 ## 第一个IP地址是公网IP地址,第二地址是dmz区域服务器的真实IP地址 ASA(config)# access-list 100 permit ip host 30.1.1.2 host 100.1.1.1 ## 建立放通规则100 ASA(config)# access-group 100 in int outside ## 应用到出口区
NAT-8.0-8.4版本ISO的系统NAT配置
ciscoasa(config)#object network inside ## 在inside区建立名为inside的网络对象 ciscoasa(config-network-object)#subnet 192.168.1.0 255.255.255.0 ## 对象中包含的网络 ciscoasa(config-network-object)#nat (inside,outside) dynamic interface ## 将该对象中的网络动态PAT转换为outside出口的接口地址
NAT-端口映射
将内部的服务器映射到公网同一个IP,不同端口号 ASA(config)# static (dmz,outside) tcp 100.1.1.1 http 20.1.1.2 http ##将内网20.1.1.2的80端口映射到公网地址100.1.1.1的80端口,http为80端口,https为443.... ASA(config)# access-list out_to_dmz permit ip host 30.1.1.2 host 100.1.1.1 ##建立放通规则 ASA(config)# access-group out_to_dmz in int outside ##应用到出口
DHCP配置-基于接口
ASA(config)# dhcpd address 172.16.10.10-172.16.10.15 inside ASA(config)# dhcpd dns 9.9.9.9 ASA(config)# dhcpd domain 123.com ASA(config)# dhcpd enable inside
DHCP-中继配置
ciscoasa(config)# dhcprelay server 192.168.2.254 dmZ ## DHCP服务器来自DMZ区的192.168.2.254 ciscoasa(config)# dhcprelay enable dMZ ## 在DMZ区启用中继
其他常用命令
ciscoasa# write memory ##保存running configuration配置到startup configuration ciscoasa# copy running-config startup-config ##保存running configuration配置到startup configuration ciscoasa(config)# clear configure all ##清除running configuration的所有配置 ciscoasa(config)# clear configure access-list ##清除所有acces-list命令的配置 ciscoasa(config)# clear configure access-list in_to_out ##只清除access-list in_to_out 的配置 ciscoasa# write erase ##删除startup-config配置文件
评论列表