ASA防火墙基本配置
一、基本配置
#hostname name //名字的设置
#interface gigabitethernet0/0 //进入接口0/0
#nameif outside //配置接口名为outside
#security-level 0 //设置安全级别。级别从0--100,级别越高安全级别越高
#ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址
#no shutdown
#interface ethernet0/1 //进入接口0/1
#nameif inside //配置接口名为inside
#security-level 100 //设置安全级别。级别从0--100,级别越高安全级别越高
#ip address 192.168.10.1 255.255.255.0 //设置ip地址
#duplex full //全双工
#speed 100 //速率
#no shutdown
#interface ethernet0/2 //进入接口0/2
#nameif dmz //配置接口名为dmz
#security-level 50 //设置安全级别。级别从0--100,级别越高安全级别越高
#ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址
#no shutdown
#interface Management0/0 //进入管理接口
# nameif guanli //接口名
# security-level 100 //安全级别
#ip address 192.168.1.1 255.255.255.0 //IP地址
注意:security-level 配置安全级别。默认外网接口为0/0 安全级别默认为0
内网接口为0/1 安全级别默认为100
dmz 接口为0/2 安全级别默认为50
默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令:
#same-security-traffic permit interface //允许相同安全级别接口之间互相通信。
较高安全接口访问较低安全接口:允许所有基于IP的数据流通过,除非有ACL访问控制列表,认证或授权的限制。
较低安全接口访问较高安全接口:除非有conduit或acl进行明确的许可,否则丢弃所有的数据包。
二、global、nat、static、route命令
1、global命令
global (if_name) nat_id ipaddress--ipaddress [netmask mask]
if_name:指的是接口
nat_id:为地址池的ID标识号
ipaddress--ipaddress [netmask mask]:指定的IP地址池范围,也可以是一个地址
例:
global(outside) 1 218.106.236.247-218.106.236.249 //配置一个地址池
global(outside) 1 interface //配置单个地址为outside接口的地址
global(outside) 1 218.106.236.237 netmask 255.255.255.248 //配置一个地址池,为255.255.255.248所有子网范围内的地址
2、nat命令
(1)基本用法
nat (if_name) nat_id local_ip [netmask]
if_name:指的是接口
nat_id:为地址池的ID标识号,即global中定义的nat_id
local_ip [netmask] :哪些地址转换到nat_id这个地址池上。
(2)动态内部nat转换(多对多)
例:
global(outside) 1 218.106.236.247-218.106.236.249 //配置一个地址池
nat (inside) 1 192.168.9.0 255.255.255.0 //和上面的global配置一起使用,即把192.168.9.0 这个网段的地址转换为218.106.236.247-218.106.236.249这个网段
(3) pat (多对一nat)
当多个ip地址转换为一个ip地址时,就自动在外部IP地址的后面加上大于1024的端口号,以区别不同的转换访问。
global(outside) 1 218.106.236.247 //配置一个外部地址
nat (inside) 1 192.168.9.0 255.255.255.0 //和上面的global配置一起使用,即把192.168.9.0 这个网段的地址转换为218.106.236.247这个外部IP地址。外部人看到的是自动加了端口号的地址。
(4)策略nat
access-list extended net1 permit ip 192.168.9.0 255.255.255.0 host 209.165.200.1 //定义一个策略
global(outside) 1 209.165.200.100 //定义一个地址
nat (inside) 1 access-list net1 //当192.168.9.0 网段的地址访问209.165.200.1这台电脑时,转换为209.165.200.100这个ip地址。
(5)动态外部nat转换
当低级别的想往高级别的转换时,在后面加outside关键字即可。
nat (dmz) 1 192.168.7.0 255.255.255.0 outside //把dmz接口下的地址nat 到inside接口中global(inside) 1 192.168.9.10-192.168.9.20 //即dmz接口中的192.168.7.0 网段的地址访问内网时,将转换为内网地址为192.168.9.10-192.168.9.20
(6)nat 0 即nat 免除
nat 0 表示穿过防火墙而不进行nat转换。即表示地址不经过转换直接作为源地址发送穿过防火墙达到低级别安全接口。
nat (dmz) 0 192.168.0.9 255.255.255.255
注意:执行nat的顺序:
nat 0 (nat免除)
静态nat和静态pat (即static命令)
策略动态nat (nat access-list)
正常的动态nat和pat (nat)
3、static映射命令
充许一个位于低安全级别接口的流量,穿过防火墙达到一个较高级别的接口。即数据流从较低安全级别接口到较高安全级别。
(1)常用方法:
static (real_ifname mapped_ifname) {mapped_ip|interface} real_ip [netmask mask]
real_ifname :较高级别接口名mapped_ifname:较低级别接口名
mapped_ip:较低级别接口ip地址interface:较低级别接口real_ip:较高级别ip地址扩号内的顺序是:先高级别后低级别,扩号外的顺序是先低级别后高级别,正好相反。
例:static (inside outside) 218.107.233.234 192.167.9.1 //即把218.107.233.234这个外部地址映射到内部地址192.168.9.1上。
(2)静态端口映射
static (real_ifname mapped_ifname) {tcp | udp} {mapped_ip|interface} mapped_port real_ip real_port [netmask mask]
real_ifname :较高级别接口名mapped_ifname:较低级别接口名
tcp|udp :要映射的端口协议名
mapped_ip:较低级别接口ip地址interface:较低级别接口mapped_port:端口名或端口号real_ip:较高级别ip地址real_port:端口名或端口号
注意一点很重要:并不是配置了static就可以从外部访问内部了,必须要定义一个访问控制列表来实现一个通道,允许哪些服务或端口,或哪些地址可以访问。
例:
static (inside,outside) tcp interface ftp 192.168.10.4 ftp netmask 255.255.255.255 //把outside接口ip地址的ftp端口映射到192.168.10.4 内部IP的FTP端口。
access-list ftp extended permit tcp any interface outside eq ftp //定议一个访问控制列表,以允许ftp数据流通过。
access-group ftp in interface outside //把访问控制列表应用于接口
4、route 命令
route if_name destination_ip gateway [metric]
if_name: 接口名
destination_ip: 目的地
gateway: 网关
metric: 跳数
例:route outside 0 0 218.102.33.247 1 //即默认网关为218.102.33.247 ,只有一跳route inside 192.168.9.0 255.255.255.0 192.168.10.1 //设置到目标192.168.9.0网段的网关为192.168.10.1
三、访问控制
访问控制的方法与路由器的没有区别。基本步骤是先定义访问控制列表,然后再应用到接口
即可。在此不多作解释,在路由器模块里,会单独把访问列表作解释。
四、防火墙基本管理
1、telnet 配置
#usename name password password //设置登入的帐号和密码
#aaa authentication telnet console LOCAL //设置AAA验证方式。此处为LOCAL本地。也可以用AAA服务器进入验证。
#telnet 0.0.0.0 0.0.0.0 inside //哪些地址可telnet进此接口
#telnet timeout 10 //超时时长,以分钟为单位
2、ssh登录配置
#usename name password password //设置登入的帐号和密码
#aaa authentication ssh console LOCAL //设置AAA验证方式。此处为LOCAL本地。也可以用其他服务器进入验证。
#ssh timeout 10
#crypto key generate rsa modulus 1024 //指定rsa密钥的大小,这个值越大,产生rsa的时间越长,cisco推荐使用1024.
# write mem //保存刚才产生的密钥
#ciscoasa(config)#ssh 0.0.0.0 0.0.0.0 {inside|outside} //允许哪些IP可以通过SSH登录此防火墙。inside为内网接口,outside为外网接口。0.0.0.0 0.0.0.0 表示所有IP,可配置单个IP,也可以配置某段IP。
#ssh timeout 30 //设置超时时间,单位为分钟
#ssh version 1 //指定SSH版本,可以选择版本2
#passwd 密码//passwd命令所指定的密码为远程访问密码
show ssh //查看SSH配置信息
crypto key zeroize //清空密钥
show crypto key mypubkersa //查看产生的rsa密钥值
3、asdm配置
先上传相应asdm版本到防火墙中。
# webvpn // 进入WEBVPN模式
# username cisco password cisco // 新建一个用户和密码
# http server enable //开启HTTP服务
# http 192.168.9.10 255.255.255.0 inside //允许哪些ip 通过哪个接口可以通过http连上来。此处的意思为:允许192.168.9.10 这个IP用http通过inside连上防火墙.
# http 192.168.1.0 255.255.255.0 guanli //允许192.168.1.0网段经过管理接口连上防火墙。注意要用交叉线和管理接口连接,进行配置。当然事先要设置管理接口的IP,和名称。
经过以上配置就可以用ASDM配置防火墙了。
如果配置了inside接口访问,可直接输入防火墙inside的ip地址。https://192.168.9.1
如果配置了管理接口访问,首先用交叉线把电脑和防火墙的管理口相连,把电脑设成和管理口段的IP地址,本例中设为192.168.1.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.1.1
弹出一下安全证书对话框,单击“是”
输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“确定”。出现也下对话框,点击“Download ASDM Launcher and Start ASDM”开始安装ASDM管理器,安装完以后从网上下载一个JA V A虚拟机软件(使用 1.4以上Java 版本),进入WWW.JA V https://www.360docs.net/doc/302233780.html,下载安装,安装完后点击下面的“Run ASDM as a Java Applet ”。
出现以下对话框,点击“是”。
出现以下对话框,输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“是”。
出现以下对话框,点击“是”。
进入ASDM管理器。
这样就可以通过ASDM来配置防火墙了。
以后就可以直接使用ASDM来管理防火墙了。
一定要注意一点:有时候java的版本过高1.6版以上,会打不开,就试用低版本的(1.4)试一下。
4、其他管理命令
#write memory //把配置保存
#clear configure all //把run-config中的内容清空
#write erase //可清除flash闪存中的配置
#dir //显示flash中的文件
#boot [system|config]
例:#boot system flash:/pix-701.bin //即从哪个系统镜像中启动
flash中可以存多个系统镜像和配置文件。boot可以选择从哪个系统镜像中启动。
#clock set 21:00 apr 1 2002 //设置时间
#show memery
#show version
#show cpu usage
六、虚拟防火墙
(一)虚拟防火墙的特性:
1、我们可以将一个单一的物理防火墙逻辑上分为多个虚拟防火墙,每个虚拟防火墙都是独立的设备。
2、它们有自已独立的安全策略,接口和管理接口
3、每个虚拟防火墙保存一个配置文件,以保存每个虚拟防火墙的策略和配置。
4、虚拟防火墙不支持vpn,组播和动态路由协议
(二)虚拟防火墙的种类
虚拟防火墙分为:admin context和普通虚拟防火墙。
admin context防火墙特性:
admin context必须先于其他的虚拟防火墙进行创建和配置。
用户登录到admin context虚拟防火墙就拥有了系统管理员的权限,可以访问系统以及其他虚拟防火墙。
(三)流量分类
因一个物理防火墙分为多个虚拟防火墙,那到底哪些数据流量属于哪个虚拟防火墙的呢?即如何把数据流量分配给虚拟防火墙。
1、按接口划分:即将一个接口唯一的划分到一个虚拟防火墙中,那么通过这个接口的流量就都属于这个虚拟防火墙的。
2、基于MAC地址划分:一个接口属于多个虚拟防火墙共有。需要为这个共享接口指定多个MAC地址,即每个虚拟防火墙指定一个mac地址。可手工指定,也可自动产生。
由于ASA的接口有限,所以在多虚拟防火墙的模式下,我们会经常遇到一个接口同时分配给多个虚拟防火墙。这个时候使用物理接口来对流量进行分类的办法将在这种情况下不再适用,因为防火墙无法确定流量究竟应该转发到哪个虚拟防火墙。我们需要使用其他的方法来对流量的走向进行区分,通常我们会使用自动或者手动为这个分配给多个虚拟防火墙的共享接口指定不同的MAC地址,防火墙将使用MAC地址来区分流量的走向。
手动指定MAC地址:
在每个虚拟防火墙的该共享接口下配置:mac-address HHH.HHH.HH
例如:
hostname(config)#Interface F0/0
hostname(config-if)# mac-address 0001.0001.0001
自动指定MAC地址:
在防火墙的SYSTEM平台的全局配置模式下配置:mac-address auto
例如:
hostname(config)# mac-address auto
3、基于NAT划分:如果没有为接口指定唯一的MAC地址,防火墙当收到一个通过共享接口的流量时,防火墙只会检查目的IP地址。通过要使用目的IP地址来决定数据包的走向,那么防火墙必须知道目的地址是被定位在哪个虚拟防火墙上。NAT技术可以提供这样的功能。NA T的转换条目可以使防火墙将数据包转发到正确的虚拟防火墙上。
配置静态NAT转换:
? Context A:
static (inside,shared) 10.10.10.0 10.10.10.0 netmask 255.255.255.0
? Context B:
static (inside,shared) 10.20.10.0 10.20.10.0 netmask 255.255.255.0
? Context C:
static (inside,shared) 10.30.10.0 10.30.10.0 netmask 255.255.255.0
当我们使用多防火墙模式,并且共享了接口到多个虚拟防火墙的时候,我们需要注意将流量转发到正确的虚拟防火墙上去,如果没有指定MAC地址(不管是手动还是自动)并且也没有配置NAT的话,防火墙将不能找到正确的目的地址而将数据包丢弃。
(四)配置虚拟路由器
1、基本配置
#show mode //显示当前路由器运行的模式
#mode mltiple //启用多虚拟防火墙
#admin-context name //首先创建一个admin-context虚拟防火墙
#context name //创建其他虚拟防火墙,注意虚拟防火墙名区分大小写
2、为虚拟防火墙分配接口
先设置好虚拟防火墙名,然后在虚拟防火墙配置模式下配置:
#allocate-interface 物理接口名[别名] [visible | invisible] //为接口关联一个别名。也可以不关联。
#allocate-interface eth0 int0 visible //把eth0划分给一个虚拟防火墙,并且关联一个别名叫int0,并且让物理接口ID是可见的。invisible是不可见。
#config-url url //每个虚拟防火墙有独立的配置。为虚拟防火墙指定下载配置的地点和名称。#config-url c1.cfg //指定配置为c1.cfg
七、防火墙模式
防火墙有两种模式:路由器模式和透明模式。路由器模式是常用的模式,配置方法如常规方法,这里主要解释透明模式。
(一) 防火墙的透明模式的特性:
(1)工作在二层,接口不需要配置IP地址;
(2)只支持两个接口,inside和outside接口,这两个接口都接内网地址,像交换机的一个端口一样,没有区别。
(3)不支持nat,QOS,多播,VPN,动态路由协议,ipv6,dhcp中继(可作DHCP服务器,但不能做DHCP中继)
(4)支持多虚拟防火墙。在多虚拟防火墙下,每个虚拟防火墙都需配一个管理IP地址,但不能把管理IP作为网关。
(5)工作在二层,但IP等三层流量要通过防火墙,仍需要ACL访问控制明确允许(6)arp流量不需要ACL控制就可以通过防火墙。但可以用ARP审查来控制流量。
(二) 透明防火墙的基本配置
#show firesall //显示当前防火墙的运行模式
#firewall transparent //启用透明防火墙模式
#no firewall transparent //返回ROUTE模式
#ip address 192.168.9.1 255.255.255.0 //配置管理IP地址。注意,只是管理IP地址。
注意:在配置透明防火墙的接口时,其他和路由器模式都一样,但不能配置IP地址。
(三)定制mac表
透明模式的防火墙转发包就是依据MAC地址进行转发,学习MAC地址的方法和交换机一样。默认情况下,每个接口自动学习通过它的流量的MAC地址。然后将响应的MAC地址加入MAC地址表中。可以关掉这个功能,但必须手工加入静态MAC地址条目到MAC地址表中,否则ASA防火墙将不能转发任何流量。
#mac-learn int_name disable //int_name是接口名,即关掉哪个接口的MAC自动学习。
#mac-address-table aging-time static int_name mac_address //int_name 指的是接口名,mac_address指的是加入的静态mac地址。
#mac-address-table aging-time timeout_value //mac地址的超时时间。
(四)arp审查
arp审查可以防止arp欺骗攻击,当启用了ARP审查,ASA防火墙会将接收到的ARP包中的mac地址、IP地址和端口号与静态arp表对比。
如果mac地址、IP地址和端口号与静态arp表这三项完全相匹配,则转发包
如果mac地址、IP地址和端口号与静态arp表(这三项中)有任何一条不匹配,则丢弃包如果与静态arp表中任何条目没有任何匹配,则可设置将包丢弃还是将包flood(洪泛出去)
注意:只与静态ARP相比较,如果不定义静态ARP表,那么ARP审查就没有任何意义了。
1、定义静态ARP
#arp int_name ip_address mac_address //定义静态ARP
#arp-inspection int_name enable [flood|no-flood]
#arp outside 10.1.1.11 0009.7cbe.2100 //定义静态arp,把10.1.1.11和mac地址0009.7cbe.2100 相关联
#arp-inspection outside enable no-flood //当如果没有任何匹配时,将丢弃包。no-flood是丢弃,flood选项是洪泛
ASA防火墙的基本配置
安全级别:0-100 从高安全级别到低安全级别的流量放行的 从低安全到高安全级别流量禁止的 ASA防火墙的特性是基于TCP和UDP链路状态的,会话列表,记录出去的TCP或者UDP 流量,这些流量返回的时候,防火墙是放行的。 ASA防火墙的基本配置 ! interface Ethernet0/0 nameif inside security-level 99 ip address 192.168.1.2 255.255.255.0 ! interface Ethernet0/1 nameif dmz security-level 50 ip address 172.16.1.2 255.255.255.0 ! interface Ethernet0/2 nameif outside security-level 1 ip address 200.1.1.2 255.255.255.0 ciscoasa# show nameif Interface Name Security Ethernet0/0 inside 99 Ethernet0/1 dmz 50 Ethernet0/2 outside 1
2、路由器上配置 配置接口地址 路由--默认、静态 配置VTY 远程登录 R3: interface FastEthernet0/0 ip address 200.1.1.1 255.255.255.0 no shutdown 配置去内网络的路由 ip route 192.168.1.0 255.255.255.0 200.1.1.2配置去DMZ区域的路由 ip route 172.161.0 255.255.255.0 200.1.1.2 配置远程登录VTY R3(config)#line vty 0 2 R3(config-line)#password 666 R3(config-line)#login R2: interface FastEthernet0/0 ip address 172.16.1.1 255.255.255.0 no shutdown 配置默认路由 IP route 0.0.0.0 0.0.0.0 172.16.1.2 配置远程登录VTY R3(config)#line vty 0 2 R3(config-line)#password 666 R3(config-line)#login R2: interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 no shutdown 配置默认路由 IP route 0.0.0.0 0.0.0.0 192.168.1.2 配置远程登录VTY R3(config)#line vty 0 2 R3(config-line)#password 666
Cisco ASA5505防火墙详细配置教程及实际配置案例
Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS
Cisco ASA 5500防火墙个人基本配置手册
Cisco ASA 5500不同安全级别区域实现互访实验 一、 网络拓扑 二、 实验环境 ASA 防火墙eth0接口定义为outside 区,Security-Level:0,接Router F0/0;ASA 防火墙eth1接口定义为insdie 区,Security-Level:100,接Switch 的上联口;ASA 防火墙Eth2接口定义为DMZ 区,Security-Level:60,接Mail Server 。 三、 实验目的 实现inside 区域能够访问outside ,即Switch 能够ping 通Router 的F0/0(202.100.10.2);dmz 区能够访问outside ,即Mail Server 能够ping 通Router 的F0/0(202.100.10.2); outside 能够访问insdie 区的Web Server 的http 端口(80)和dmz 区的Mail Server 的pop3端口(110)、smtp 端口(25). 最新【 2009 C C I E R S L a b (160,N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视 频 Q Q :986942623 C C I E s e r v i c e 提供
四、 详细配置步骤 1、端口配置 CiscoASA(config)# interface ethernet 0 CiscoASA(config)#nameif ouside CiscoASA(config-if)# security-level 0 CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 1 CiscoASA(config)#nameif inside CiscoASA(config-if)# security-level 100 CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 2 CiscoASA(config)#nameif dmz CiscoASA(config-if)# security-level 50 CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0 CiscoASA(config-if)# no shut 2、路由配置 CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由 CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由 3、定义高安全接口区域需要进行地址转换的IP 范围CiscoASA(config)# nat (inside) 1 0 0 CiscoASA(config)# nat (dmz) 1 0 0 4、定义低安全接口区域用于高安全接口区域进行IP 转换的地址范围CiscoASA(config)# global (outside) 1 interface CiscoASA(config)# global (dmz) 1 interface 5、定义静态IP 映射(也称一对一映射)CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255 #实现从outside 区访问inside 区10.1.1.1的80端口时,就直接访问10.1.1.1:80 对outside 区的映射202.100.10.1:80 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的110时,就直接访问172.16.1.2:110 对outside 区的映射202.100.10.1:110 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的25时,就直接访问172.16.1.2:25 对outside 区的映射202.100.10.1:25 6、定义access-list CiscoASA(config)# access-list 101 extended permit ip any any CiscoASA(config)# access-list 101 extended permit icmp any any CiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq www CiscoASA(config)# access-list 102 extended permit icmp any any CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3 CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp 最新【 2009 C C I E R S L a b (160,N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视频 Q Q :986942623 C C I E s e r v i c e 提供
思科ASA防火墙ASDM安装和配置
CISCO ASA防火墙ASDM安装和配置 准备工作: 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口,通过开始——>程序——> 附件——>通讯——>超级终端 输入一个连接名,比如“ASA”,单击确定。 选择连接时使用的COM口,单击确定。 点击还原为默认值。 点击确定以后就可能用串口来配置防火墙了。 在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。 在串口下输入以下命令: ciscoasa> ciscoasa> en Password: ciscoasa# conf t 进入全局模式 ciscoasa(config)# webvpn 进入WEBVPN模式 ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口 ciscoasa(config-if)# ip address 192.168.4.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字 ciscoasa(config-if)# no shutdown 激活接口 ciscoasa(config)#q 退出管理接口 ciscoasa(config)# http server enable 开启HTTP服务 ciscoasa(config)# http 192.168.4.0 255.255.255.0 guanli 在管理口设置可管理的IP 地址 ciscoasa(config)# show run 查看一下配置 ciscoasa(config)# wr m 保存 经过以上配置就可以用ASDM配置防火墙了。 首先用交叉线把电脑和防火墙的管理口相连,把电脑设成和管理口段的IP地址,本例中设为192.168.4.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.4.1 弹出一下安全证书对话框,单击“是” 输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“确定”。出现也下对话框,点击“Download ASDM Launcher and Start ASDM”开始安装ASDM管理器,安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上Java 版本),进入https://www.360docs.net/doc/302233780.html,下载安装,安装完后点击下面的“R un ASDM as a Java Applet ”。 出现以下对话框,点击“是”。 出现以下对话框,输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“是”。 出现以下对话框,点击“是”。 进入ASDM管理器。 这样就可以通过ASDM来配置防火墙了。 以后就可以直接使用ASDM来管理防火墙了。
ASA防火墙基本配置
一、基本配置 #hostname name //名字的设置 #interface gigabitethernet0/0 //进入接口0/0 #nameif outside //配置接口名为outside #security-level 0 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown #interface ethernet0/1 //进入接口0/1 #nameif inside //配置接口名为inside #security-level 100 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 192.168.10.1 255.255.255.0 //设置ip地址 #duplex full //全双工 #speed 100 //速率 #no shutdown #interface ethernet0/2 //进入接口0/2 #nameif dmz //配置接口名为dmz #security-level 50 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址 #no shutdown #interface Management0/0 //进入管理接口 # nameif guanli //接口名 # security-level 100 //安全级别 #ip address 192.168.1.1 255.255.255.0 //IP地址 注意:security-level 配置安全级别。默认外网接口为0/0 安全级别默认为0 内网接口为0/1 安全级别默认为100 dmz 接口为0/2 安全级别默认为50 默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令: #same-security-traffic permit interface //允许相同安全级别接口之间互相通信。 较高安全接口访问较低安全接口:允许所有基于IP的数据流通过,除非有ACL访问控制列表,认证或授权的限制。 较低安全接口访问较高安全接口:除非有conduit或acl进行明确的许可,否则丢弃所有的数据包。
Cisco ASA5520防火墙配置
Cisco ASA5520防火墙配置 前言 ●主要从防火墙穿越的角度,描述Cisco ASA5520防火墙的配置 ●对Pix ASA系列防火墙配置具有参考意义 内容 ●防火墙与NAT介绍 ●基本介绍 ●基本配置 ●高级配置 ●其它 ●案例 防火墙与NAT介绍 ●防火墙 门卫 ●NAT 过道 ●区别 两者可以分别使用 Windows有个人防火墙 Windows有Internet Connect sharing服务 一般防火墙产品,同时带有NAT 基本介绍 ●配置连接 ●工作模式 ●常用命令 ●ASA5520介绍 配置连接 ●初次连接 使用超级终端登陆Console口 Cicso的波特率设置为9600 ●Telnet连接 默认不打开,在使用Console配置后,可以选择开启 开启命令:telnet ip_addressnetmaskif_name 连接命令:telnet 192.168.1.1 ASA5520默认不允许外网telnet,开启比较麻烦 ●ASDM连接 图形界面配置方式 ●SSH连接 工作模式 ●普通模式 连接上去后模式 进入普通模式需要有普通模式密码 Enable 进入特权模式,需要特权密码
●特权模式 Config terminal 进入配置模式 ●配置模式 ●模式转换 exit 或者ctrl-z退出当前模式,到前一模式 也适用于嵌套配置下退出当前配置 常用命令 ●命令支持缩写,只要前写到与其它命令不同的地方即可 config terminal = conf term = conf t Tab键盘补全命令 ?Or help 获取帮助 ●取消配置 no 命令取消以前的配置 Clear 取消一组配置,具体请查看帮助 ●查看配置 Show version show run [all] , write terminal Show xlat Show run nat Show run global ●保存配置 Write memory ASA5520介绍 ●硬件配置:ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz ●1个Console口,一个Aux口,4个千兆网口 ●支持并发:280000个 ●支持VPN个数:150 ●支持双机热备、负载均衡 ●可以通过show version 查看硬件信息 基本配置 ●接口配置 ●NAT配置 ●ACL访问控制 接口配置 ●四个以太网口 GigabitEthernet0/0、gig0/1、gig0/2、gig0/3 进入接口配置: interface if_name ●配置IP ip address ip_address [netmask] ip address ip_addressdhcp
ASA防火墙基本配置
第二章ASA防火墙 实验案例一ASA防火墙基本配置 一、实验目的: 熟悉ASA基本配置 二、实验环境和需求 在WEB上建立站点https://www.360docs.net/doc/302233780.html,.,在Out上建立站点https://www.360docs.net/doc/302233780.html,,并配置DNS服务,负责解析https://www.360docs.net/doc/302233780.html,(202.0.0.253/29)和https://www.360docs.net/doc/302233780.html,(IP为202.2.2.1),PC1的DNS 指向200.2.2.1 只能从PC1通过SSH访问ASA 从PC1可以访问outside和dmz区的网站,从Out主机可以访问DMZ区的Web站点从PC1可以ping通Out主 三、实验拓扑图 四、配置步骤 (一)路由器配置 int f1/0 ip add 200.0.0.1 255.255.255.252 no sh
int f0/0 ip add 200.2.2.254 255.255.255.0 no sh exit ip route 0.0.0.0 0.0.0.0 200.0.0.2 end (二) ASA基本属性配置 1、接口配置 Interface E 0/0 Ip address 192.168.0.254 255.255.255.0 Nameif inside //设置内接口名字 Security-level 100 //设置内接口安全级别 No shutdown Interface E 0/1 Ip add 192.168.1.254 255.255.255.0 Nameif dmz //设置接口为DMZ Security-level 50 //设置DMZ接口的安全级别 No shutdown Interface E 0/2 Ip address 200.0.0.2 255.255.255.252 Nameif outside //设置外接口名字 Security-level 0 //设置外接口安全级别 No shutdown 2、ASA路由配置:静态路由方式 (config)#Route outside 0.0.0.0 0.0.0.0 200.0.0.1 3、从PC1上可以PING通OUT主机 默认情况下不允许ICMP流量穿过,从内Ping外网是不通的,因为ICMP应答的报文返回时不能穿越防火墙,可以配置允许几种报文通过, (Config)# Access-list 111 permit icmp any any
实验10-思科ASA防火墙的NAT配置
实验10 思科ASA防火墙的NAT配置 一、实验目标 1、掌握思科ASA防火墙的NAT规则的基本原理; 2、掌握常见的思科ASA防火墙的NAT规则的配置方法。 二、实验拓扑 根据下图搭建拓扑通过配置ASA防火墙上的NAT规则,使得inside区能单向访问DMZ区和outside区,DMZ区和outside区能够互访。 三、实验配置 1、路由器基本网络配置,配置IP地址和默认网关 R1#conf t R1(config)#int f0/0 R1(config-if)#ip address 192.168.2.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#ip default-gateway 192.168.2.254 //配置默认网关 R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254 //添加默认路由R1(config)#exit R1#write R2#conf t R2(config)#int f0/0 R2(config-if)#ip address 202.1.1.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit R2(config)#ip default-gateway 202.1.1.254 R2(config)#exit
R2#write Server#conf t Server(config)#no ip routing //用路由器模拟服务器,关闭路由功能Server(config)#int f0/0 Server(config-if)#ip address 192.168.1.1 255.255.255.0 Server(config-if)#no shutdown Server(config-if)#exit Server(config)#ip default-gateway 192.168.1.254 Server(config)#exit Server#write *说明:实际配置中最好在三台路由器上都添加一条通往防火墙的默认路由,但在本实验中Server和R2不配置不影响实验效果。 2、防火墙基本配置,配置端口IP地址和定义区域 ciscoasa# conf t ciscoasa(config)# int g0 ciscoasa(config-if)# nameif inside ciscoasa(config-if)# ip address 192.168.2.254 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit ciscoasa(config)# int g1 ciscoasa(config-if)# nameif dmz ciscoasa(config-if)# security-level 50 ciscoasa(config-if)# ip address 192.168.1.254 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit ciscoasa(config)# int g2 ciscoasa(config-if)# nameif outside ciscoasa(config-if)# ip address 202.1.1.254 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit 3、防火墙NAT规则配置 *说明:思科ASA 8.3 版本以后,NAT配置的方法发生了很大的改变。本文档会对改版前后的命令作比较,便于读者的理解和运用。 *可以通过show version命令来查看防火墙当前的版本。 (1)配置协议类型放行 //状态化icmp流量,让icmp包能回包。fixup命令作用是启用、禁止、改变一个服务或协议通过防火墙。
Cisco ASA 5505 防火墙常用配置案例
interface Vlan2 nameif outside --------------------对端口命名外端口 security-level 0 --------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址 ! interface Vlan3 nameif inside --------------------对端口命名内端口 security-level 100 --------------------调试外网地址 ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级 ! interface Ethernet0/0 switchport access vlan 2 --------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 --------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS name-server 211.99.129.210 name-server 202.106.196.115 access-list 102 extended permit icmp any any ------------------设置ACL列表(允许ICMP全部通过) access-list 102 extended permit ip any any ------------------设置ACL列表(允许所有IP全部通过)
ASA防火墙配置命令-王军
ASA防火墙配置命令(v1.0) 版本说明
目录 1. 常用技巧 (3) 2. 故障倒换 (3) 3. 配置telnet、ssh及http管理 (5) 4. vpn常用管理命令 (5) 5. 配置访问权限 (6) 6. 配置sitetosite之VPN (6) 7. webvpn配置(ssl vpn) (7) 8. 远程拨入VPN (8) 9. 日志服务器配置 (10) 10. Snmp网管配置 (11) 11. ACS配置 (11) 12. AAA配置 (11) 13. 升级IOS (12) 14. 疑难杂症 (12)
1. 常用技巧 Sh ru ntp查看与ntp有关的 Sh ru crypto 查看与vpn有关的 Sh ru | inc crypto 只是关健字过滤而已 2. 故障倒换 failover failover lan unit primary failover lan interface testint Ethernet0/3 failover link testint Ethernet0/3 failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001 failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001 failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001 failover mac address Management0/0 0018.1900.7000 0018.1900.7001 failover interface ip testint 10.3.3.1 255.255.255.0 standby 10.3.3.2 注:最好配置虚拟MAC地址 sh failover显示配置信息 write standby写入到备用的防火墙中
配置asa 5505防火墙
配置asa 5505防火墙 1.配置防火墙名 ciscoasa> enable ciscoasa# configure terminal ciscoasa(config)# hostname asa5505 2.配置Http.telnet和ssh管理
ASA防火墙配置
ASA防火墙初始配置 1.模式介绍 “>”用户模式 firewall>enable 由用户模式进入到特权模式 password: “#”特权模式 firewall#config t 由特权模式进入全局配置模式 “(config)#”全局配置模式 防火墙的配置只要在全局模式下完成就可以了。 2.接口配置(以5510以及更高型号为例,5505接口是基于VLAN的): interface Ethernet0/0 nameif inside (接口的命名,必须!) security-level 100(接口的安全级别) ip address 10.0.0.10 255.255.255.0 no shut interface Ethernet0/1 nameif outside security-level 0 ip address 202.100.1.10 255.255.255.0 no shut 3.路由配置: 默认路由: route outside 0 0 202.100.1.1 (0 0 为0.0.0.0 0.0.0.0) 静态路由: route inside 192.168.1.0 255.255.255.0 10.0.0.1 5505接口配置: interface Ethernet0/0 ! interface Ethernet0/1 switchport access vlan 2 interface Vlan1
nameif inside security-level 100 ip address 192.168.6.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 202.100.1.10 ASA防火墙NAT配置 内网用户要上网,我们必须对其进行地址转换,将其转换为在公网上可以路由的注册地址, 防火墙的nat和global是同时工作的,nat定义了我们要进行转换的地址,而global定义了要被转换为的地址, 这些配置都要在全局配置模式下完成, Nat配置: firewall(config)# nat (inside) 1 0 0 上面inside代表是要被转换得地址, 1要和global 后面的号对应,类似于访问控制列表号,也是从上往下执行, 0 0 代表全部匹配(第一个0代表地址,第二个0代表掩码),内部所有地址都回进行转换。 Global配置: firewall(config)#global (outside)1 interface Gobalb定义了内网将要被转换成的地址, Interface 代表外端口的地址 当然,如果您有更多的公网IP地址,您也可以设置一个地址池,上面一条也是必须的,地址转换首先会用地址池内地址, 一旦地址被用完后会用到上面一条及外端口做PAT转换上网。 或者在如下的配置后面再加上一条:firewall(config)#global (outside)1222.128.1.10 firewall(config)#global (outside)1222.128.1.100-222.128.1.254 服务器映射配置: 如果在内网有一台web服务器需要向外提供服务,那么需要在防火墙上映射,公网地址多的情况下可以做一对一的映射,如下 firewall(config)#static (inside,outside)222.128.100.100 1.1.1.50
ASA防火墙疑难杂症与Cisco ASA 防火墙配置
ASA防火墙疑难杂症解答 ASA防火墙疑难杂症解答 1...............................内部网络不能ping通internet 2........................内部网络不能使用pptp拨入vpn服务器 3....................内部网络不能通过被动Mode访问ftp服务器 4.................................内部网络不能进行ipsec NAT 5...................................内网不能访问DMZ区服务器 6................................内网用户不能ping web服务器1. 内部网络不能ping通internet 对于ASA5510,只要策略允许,则是可以Ping通的,对于ASA550,部分IOS可以ping,如果所以流量都允许还是不能Ping的话,则需要做 inspect,对icmp协议进行检查即可 2. 内部网络不能使用pptp拨入vpn服务器 因pptp需要连接TCP 1723端口,同时还需要GRE协议,如果防火墙是linux的Iptables,则需要加载: modprobe ip_nat_pptp modprobe ip_conntrack_proto_gre 如果防火墙是ASA,则需要inspect pptp。 3. 内部网络不能通过被动Mode访问ftp服务器 同样需要inspect ftp,有些还需要检查相关参数 policy-map type inspect ftp ftpaccess parameters match request-command appe cdup help get rnfr rnto put stou site dele mkd rmd 4. 内部网络不能进行ipsec NAT 这种情况不多用,如查进行ipsect :IPSec Pass Through 5. 内网不能访问DMZ区服务器 增加NAT规则,即DMZ到内网的规则 6. 内网用户不能ping web服务器
ciscoASA防火墙配置 - 基本配置过程
Cisco ASA 防火墙配置手册 基本配置过程 ----------Conan Zhongjm
拓扑图 1、配置主机名 hostname asa5520 2、配置密码 Enable password asa5520 Passwd cisco 3、配置接口 Conf t Interface ethernet 0/0 Nameif outside Security-level 0 Ip address 210.10.10.2 255.255.255.0 No shutdown Exit Interface ethernet 0/1 Nameif inside Security-level 100 Ip address 192.168.201.1 255.255.255.0 No shutdown Exit Interface ethernet 0/2 Nameif dmz Security-level 50 Ip address 192.168.202.1 255.255.255.0 No shutdown Exit 4、配置路由
Route outside 0.0.0.0 0.0.0.0 210.10.10.1 End Show route 5、配置网络地址转换 Nat-controal Nat (inside) 1 0 0 Global (outside) 1 interface Global (dmz) 1 192.168.202.100-192.168.202.110 ///////////////////////////////////////////////////////////////////// 配置完以上就可以实现基本的防火墙上网功能 ///////////////////////////////////////////////////////////////////// 6、配置远程登录 (1)telnet 登录 Conf t telnet 192.168.201.0 255.255.255.0 inside telnet timeout 15 (2)ssh登录 Crypto key generate rsa modulus 1024 Ssh 192.168.201.0 255.255.255.0 inside Ssh 0 0 outside Ssh timeout 30 Ssh version 2 (3)asdm登录 http server enable 8000 http 192.168.201.0 255.255.255.0 inside http 0 0 outside http 0 0 inside asdm image disk0:/asdm-615.bin username conan password 123456789 privilege 15 7、配置端口映射 (1)创建映射 Static (dmz,outside) 210.10.10.2 192.168.202.2 (2)因为防火墙默认把禁止外网访问DMZ区,所以要创建访问控制列表Access-list out_to_dmz permit tcp any host 210.10.10.2 eq 80 Access-group out_to_dmz in interface outside
asa防火墙基本配置管理
asa防火墙基本配置管理 一、基本配置 #hostname name //名字的设置 #interface gigabitethernet0/0 //进入接口0/0 #nameif outside //配置接口名为outside #security-level 0 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown #interface ethernet0/1 //进入接口0/1 #nameif inside //配置接口名为inside #security-level 100 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 192.168.10.1 255.255.255.0 //设置ip地址 #duplex full //全双工 #speed 100 //速率 #no shutdown #interface ethernet0/2 //进入接口0/2 #nameif dmz //配置接口名为dmz #security-level 50 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址 #no shutdown #interface Management0/0 //进入管理接口 # nameif guanli //接口名 # security-level 100 //安全级别 #ip address 192.168.1.1 255.255.255.0 //IP地址 注意:security-level 配置安全级别。默认外网接口为0/0 安全级别默认为0 内网接口为0/1 安全级别默认为100 dmz 接口为0/2 安全级别默认为50 默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令: #same-security-traffic permit interface //允许相同安全级别接口之间互相通信。