ASA防火墙配置

ASA防火墙初始配置

1.模式介绍

“>”用户模式

firewall>enable 由用户模式进入到特权模式

password:

“#”特权模式

firewall#config t 由特权模式进入全局配置模式

“（config）#”全局配置模式

防火墙的配置只要在全局模式下完成就可以了。

2.接口配置(以5510以及更高型号为例，5505接口是基于VLAN的)：

interface Ethernet0/0

nameif inside (接口的命名，必须！)

security-level 100（接口的安全级别）

ip address 10.0.0.10 255.255.255.0

no shut

interface Ethernet0/1

nameif outside

security-level 0

ip address 202.100.1.10 255.255.255.0

no shut

3.路由配置：

默认路由：

route outside 0 0 202.100.1.1 （0 0 为0.0.0.0 0.0.0.0）

静态路由：

route inside 192.168.1.0 255.255.255.0 10.0.0.1

5505接口配置:

interface Ethernet0/0

!

interface Ethernet0/1

switchport access vlan 2

interface Vlan1

nameif inside

security-level 100

ip address 192.168.6.1 255.255.255.0

!

interface Vlan2

nameif outside

security-level 0

ip address 202.100.1.10

ASA防火墙NAT配置

内网用户要上网，我们必须对其进行地址转换，将其转换为在公网上可以路由的注册地址，

防火墙的nat和global是同时工作的，nat定义了我们要进行转换的地址，而global定义了要被转换为的地址，

这些配置都要在全局配置模式下完成，

Nat配置：

firewall（config）# nat (inside) 1 0 0

上面inside代表是要被转换得地址，

1要和global 后面的号对应，类似于访问控制列表号，也是从上往下执行，

0 0 代表全部匹配（第一个0代表地址，第二个0代表掩码），内部所有地址都回进行转换。

Global配置:

firewall（config）#global （outside）1 interface

Gobalb定义了内网将要被转换成的地址，

Interface 代表外端口的地址

当然，如果您有更多的公网IP地址，您也可以设置一个地址池，上面一条也是必须的，地址转换首先会用地址池内地址，

一旦地址被用完后会用到上面一条及外端口做ＰＡＴ转换上网。

或者在如下的配置后面再加上一条：firewall（config）#global （outside）１222.128.1.10

firewall（config）#global （outside）１222.128.1.100-222.128.1.254

服务器映射配置:

如果在内网有一台web服务器需要向外提供服务，那么需要在防火墙上映射，公网地址多的情况下可以做一对一的映射，如下

firewall（config）#static （inside，outside）222.128.100.100 1.1.1.50

如果只有一个公网地址，那么可以做端口映射，如下

firewall（config）#static （inside，outside）tcp 222.128.100.100 80 1.1.1.50 80

映射完毕后还必须配置访问控制列表，允许外部来访问映射的WEB服务器，如下：

firewall（config）#access-list outside per tcp any host 222.128.100.100 eq 80

firewall（config）#access-group outside in interface outside

其中“access-list”和“access-group”后面的outside为防问控制列表的名字，“access-group”最后的outside 为端口名。

允许外面任意一台主机通过TCP的80端口访问到222.128.100.100这台主机，下面还要把此条访问控制列表应用到outside接口上，

这样互联网上的用户才能访问到WEB服务器。如果有多条地址映射请重复上述操作。

NAT BYPASS配置：

有时候，由于技术需求，不能将内网的地址转换，但是如果配置了nat (inside)了，那么说明地址必须要进行转换，流量才能转发

譬如，当一个防火墙利用了2个以上接口时(inside,outside,dmz)，这是配置了inside的nat，那么inside到dmz也就不通了，还有

，当防火墙配置了VPN，那么兴趣流量是不可以被NAT的，那么思科提出了一个NAT BYPASS技术，也就是说，这个地址在被转换之前

就已经被旁路掉，不进行任何的转换了。

firewall（config）#access-list nonat permit ip 192.168.1.0 255.255.255.0

firewall（config）#nat (inside) 0 access-list nonat

ASA防火墙DHCP配置

firewall（config）# dhcpd address 1.1.1.200-1.1.1.254 inside 定义地址池并在inside接口开启DHCP功能firewall（config）# dhcpd dns 202.106.196.115 202.106.0.20 定义给客户分发的DNS

firewall（config）# dhcpd enable inside 内接口打开DHCP功能

ASA防火墙的ADSL拨号

firewall（config）# vpdn group adsl request dialout pppoe

firewall（config）# vpdn group adsl localname 200000175639

firewall（config）# vpdn group adsl ppp authentication pap

firewall（config）# vpdn username ********* password ********* (ISP提供的账户名和密码)

firewall（config）# dhcpd auto_config outside

interface Ethernet0/0

nameif inside

security-level 100

ip address 192.168.6.1 255.255.255.0

interface Ethernet0/1

nameif outside

security-level 0

pppoe client vpdn group adsl

ip address pppoe setroute

ASA防火墙更改内部服务器端口配置

默认HTTP的端口号是TCP80，那么如果内部的服务器更改了默认的TCP80端口的话，那么

防火墙的监控策略也要随之改变，这样才能够保障内部服务器的正常工作。

ciscoasa/c1(config)# class-map new.http

ciscoasa/c1(config-cmap)# match port tcp eq 8080

ciscoasa/c1(config)# policy-map global_policy

ciscoasa/c1(config-pmap)# class new.http

ciscoasa/c1(config-pmap-c)# inspect http

将内网服务器映射到外网（OUTSIDE接口的80）：

ciscoasa/c1(config)# static (inside,outside) tcp interface www 192.168.1.100 8080 netmask 255.255.255.255 dns

外网放开HTTP流量：

ciscoasa/c1(config)# access-list outside extended permit tcp any host 202.100.1.10 eq www

ciscoasa/c1(config)# access-group outside in interface outside

ASA防火墙基本SHOW命令

Firewall(config)#show conn

若用show conn查看到某个内部ＩＰ到互联网上的链接特别多，且都是ＵＤＰ高端口号的，可以断定此机器是在Ｐ２Ｐ下载，

然后可以通过在防火墙上的show arp命令查看到此计算机的ＭＡＣ地址，在用上面交换机维护命令讲到的命令确认他连

接在交换机的端口，然后将此端口shutdown，或通过机房点位直接找到用户要求其停止，否则会占用出口带宽和防火墙的资源。

Firewall(config)#show conn local 192.168.40.69 查看具体一个ＩＰ地址的链接项：

Firewall(config)#show version 查看防火墙的硬件信息

Firewall(config)#show xlate 查看内部地址时否转换成外端口地址来上网

Fierwall(config)#clear arp 清除ＡＲＰ表

Firewall(config)#clear xlate 清除内部所有地址的转换项，网络中断一下

Firewall(config)#clear xlate local 192.168.40.69 清除内部具体一台机器的转换项

Firewall(config)#show running-config 查看防火墙的当前配置文件

Firewall(config)#show perfmon 查看各协议的会话信息

Firewall(config)#show ip address 查看IP地址信息

Firewall(config)#show nameif 查看ASA接口nameif

Firewall(config)#show int ip br 相当于路由器的show ip int br,查看端口基本状态信息

ASA防火墙接口间路由注意事项

1.子接口配置

如同路由器一样，防火墙在5510之上的型号是支持子接口配置的，也就是说防火墙一样可以做独臂路由，那么配置就不像路由器繁琐，只是在接口下面指定VLAN就可以了。

interface Ethernet0/0

no shut

no nameif

no security-level

no ip address

interface Ethernet0/0.2

vlan 2

nameif inside

security-level 100

ip address 192.168.2.1 255.255.255.0

!

interface Ethernet0/0.3

vlan 3

nameif dmz

security-level 50

ip address 192.168.3.1 255.255.255.0

注：1.子接口对应的物理接口要no shut。

2.该物理接口对应的交换机接口一定要trunk！！！！！！！！！！

2.物理接口充当路由接口

解释：也许题目起的并不是很准确，但是描述的意思是当一个接口下面有多个路由器，防火墙是HUB时，那么防火墙要充当

这些路由器的路由功能（当然，这种情况不是经常出现），那么就牵扯到一个问题，也就是，默认情况下，路由器在同一个

接口收到的流量，也可以从这个接口出去，那么防火墙则不然，防火墙的默认行为是：从一个接口收到的流量，必须从零一个

接口出去，所以要去除这个特性，有一个配置，简称开关。

ciscoasa(config)# same-security-traffic permit intra-interface

那么如果这个Inside接口配置了NAT ,那么同样，不通网段流量必须要NAT-BYPASS!!!也就是NAT 0

例：

access-list nonat extended permit ip 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0

access-list nonat extended permit ip 172.16.1.0 255.255.255.0 192.168.1.0 255.255.255.0

nat (inside) 0 access-list nonat

3.同级别接口通信

默认情况下，相同安全级别接口是不允许通信的（是同一个设备上的接口间），例如INSIDE1和DMZ

那么要允许相同安全级别接口通信，配置开关：

ciscoasa(config)# same-security-traffic permit inter-interface

注：接口命名时，除了inside接口的命名，安全级别为100，其他所有命名接口的接口安全界别均为“0”。

那么需要特别注意的是，当一个防火墙配置了3个接口，其中有一个接口命名为了“DMZ”。

那么按照防火墙的命名规则，“DMZ”的接口安全级别也就为“0”，那么这时候带来的问题就是，DMZ和OUTSIDE接口不能通信，因为安全级别一样，所以当命名DMZ时候，务必要将DMZ接口配置为1-99之间的值。

推荐是“50”，当然，如果有两个DMZ接口，那么推荐一个“50”，一个“60”。

例：

interface Ethernet0/0.2

vlan 2

nameif inside

security-level 100

ip address 192.168.2.1 255.255.255.0

!

interface Ethernet0/0.3

vlan 3

nameif dmz

security-level 50

ip address 192.168.3.1 255.255.255.0

!

interface Ethernet0/1

nameif dmz2

security-level 60

ip address 202.100.1.1 255.255.255.0

!

interface Ethernet0/2

nameif outside

security-level 0

ip address 61.128.1.1 255.255.255.0

ASA防火墙密码恢复

ASA5500系列密码恢复

在ASA启动过程中按CTRL+BREAK键后,进入:

rommon #0> confreg

Current Configuration Register: 0x00000001

Configuration Summary:

boot default image from Flash

Do you wish to change this configuration? y/n [n]: n

rommon #1> confreg 0

Update Config Register (0) in NVRAM...

rommon #2> boot

Launching BootLoader...

Boot configuration file contains 1 entry.

Loading disk0:/ASA_7.0.bin... Booting...

###################

...

Ignoring startup configuration as instructed by configuration register. Type help or '?' for a list of available commands.

hostname> enable

Password:

hostname# configure terminal

hostname(config)# copy startup-config running-config

Destination filename [running-config]?

Cryptochecksum(unchanged): 7708b94c e0e3f0d5 c94dde05 594fbee9 892 bytes copied in 6.300 secs (148 bytes/sec)

hostname(config)# enable password NewPassword

hostname(config)# config-register 0x1

hostname#copy run start

到次为止密码恢复完成.

ASA防火墙升级IOS

show version 查看当前运行的系统信息，包括启动文件（即IOS)等show boot 查看当前的IOS信息

show asdm image 查看当前运行的ASDM信息

copy nvram:/filename tftp://ip/filename 用tftp协议进行文件传输

boot system file 设置IOS启动文件

asdm image file 设置asdm启动文件（用no是取消）erase / format 删除所有文件

文件传输可以使用ftp,http,tftp等协议，建议使用tftp协议，

简单易用。可以使用一般的路由器连接模式，也可以用console登陆，

使用management口连接都行。

1、telnet上asa

CISCOASA>ena 进入特权模式

CISCOASA#conf t 进入配置模式

CISCOASA(config)# dir 查看asa上的文件

Directory of disk0:/ 没有单独购买flash，所以文件位置在disk0

4879 -rw- 8202240 19:18:10 Nov 16 2011 asa721-k8.bin

2391 -rw- 5539756 00:43:38 Nov 05 2007 asdm521.bin

4842 drw- 0 18:51:24 Nov 16 2011 log

4843 drw- 0 18:51:36 Nov 16 2011 crypto_archive

255426560 bytes total (215465984 bytes free)

2、找台PC，运行tftp，设置目录，传输文件

CISCOASA(config)# show ver 命令解释看前面

Cisco Adaptive Security Appliance Software Version 7.2(1)

Device Manager Version 5.2(1)

。。。。。省略若干字

System image file is "disk0:/asa721-k8.bin" 这就是启动文件和路径

。。。。。

3、备份上面dir的文件，我这里tftpd32.exe的PC的IP:192.168.1.2

CISCOASA(config)# copy disk0:/asa721-k8.bin tftp://192.168.1.2/asa721-k8.bin

。。。。。。

CISCOASA(config)# copy disk0:/asdm521.bin tftp://192.168.1.2/asdm521.bin

。。。。。。

show run

把当前的配置也要备份，以免操作失误所有配置都没了

。。。。。。

。。。。。。

4、删除以前老的文件（也可以保留再用delete命令)

CISCOASA(config)# erase disk0:

Erase operation may take a while. Continue? [confirm]

Erase: Operation completed successfully.

Format: Drive communication & 1st Sector Write OK...

Format: All system sectors written. OK...

Format: Total sectors in formatted partition: 499168

Format: Total bytes in formatted partition: 255574016

Format: Operation completed successfully.

Erase of disk0: complete

CISCOASA(config)# dir

Directory of disk0:/

No files in directory

255426560 bytes total (255401984 bytes free)

5、用上面的命令上传最新的文件

CISCOASA(config)# copy tftp://192.168.1.2/asa802-k8.bin disk0:/asa802-k8.bin

CISCOASA(config)# copy tftp://192.168.1.2/asdm-602.bin disk0:/asdm-602.bin

CISCOASA(config)# copy tftp://192.168.1.2/asa721-k8.bin disk0:/asa721-k8.bin

CISCOASA(config)# dir

Directory of disk0:/

5 -rw- 1452441

6 20:29:36 Oct 09 2008 asa802-k8.bin

1778 -rw- 6889764 20:31:10 Oct 09 2008 asdm-602.bin

2620 -rw- 8202240 20:33:04 Oct 09 2008 asa721-k8.bin

防止操作失当没有启动文件，再传回去

255426560 bytes total (225771520 bytes free)

6、设置启动文件

CISCOASA(config)# no boot system disk0:/asa721-k8.bin 取消之前的启动IOS

CISCOASA(config)# boot system disk0:/asa802-k8.bin

CISCOASA(config)# asdm image disk0:/asdm602.bin 设置asdm

CISCOASA(config)# reload 重新启动，配置生效

ASA防火墙网管配置

1.特权模式密码配置

firewall（config）#enable password cisco （由用户模式进入特权模式的口令）

2.telnet登陆配置

防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的，需要相应得开启功能。

firewall（config）#telnet 192.168.10.0 255.255.255.0 inside

（允许内网此网断内的机器Telnet到防火墙，注：telnet不可以在安全级别最低的接口打开，即在outside 接口配置了也不会生效）

firewall（config）#passrd cisco （telnet进来的密码）

telnet利用本地用户名和密码进行登陆：

firewall（config）#username cisco privilege 15 password cisco

firewall（config）#aaa authentication telnet console LOCAL (必须大写)

3.SSH登陆配置

firewall（config）#hostname firewall

Firewall（config）#domain-name https://www.360docs.net/doc/6e11558493.html,

firewall（config）# crypto key generate rsa modules 1024

firewall（config）#ssh 0.0.0.0 0.0.0.0 outside

允许外网所有地址可以远程登录防火墙，也可以定义一格具体的地址可以从外网登陆到防火墙上，如：firewall（config）#ssh 218.240.6.81 255.255.255.255 outside

SSH利用本地用户名和密码进行登陆：

firewall（config）#username cisco privilege 15 password cisco

firewall（config）#aaa authentication SSH console LOCAL (必须大写)

4.访问防火墙的ASDM

firewall（config）#http server enable

firewall（config）#http 192.168.10.0 255.255.255.0 inside

打开http允许内网网段通过http访问防火墙的ASDM。

web登陆方式：https://10.0.0.10

HTTP利用本地用户名和密码进行登陆：

firewall（config）#username cisco privilege 15 password cisco

firewall（config）#aaa authentication HTTP console LOCAL (必须大写)

ICMP控制

ICMP(ping)在默认情况下，ASA外接口可以PING通，因为防火墙不阻拦抵达流量。

那么如果不想PING通，如下：

#icmp deny any echo outside--DENY掉所有到达outside接口的icmp echo-request

#icmp permit any outside--允许所有返回的echo-reply（防火墙可以PING其他设备）

那么同样ICMP(ping)在默认情况下，是不监控ICMP的状态化信息的，这就是为什么内网中间加了防火墙后PING不通外网的原因，但是其他应用就很正常，那么解决办法是让防火墙监控ICMP就好了，或者在OUTSIDE 接口

放开ICMP，但这是不推荐的，因为一旦在OUTSIDE接口放开ICMP，全部的就都允许PING到内网了。

监控ICMP配置：

ciscoasa/c1(config)# policy-map global_policy

ciscoasa/c1(config-pmap)# class inspection_default

ciscoasa/c1(config-pmap-c)# inspect icmp

透明防火墙

透明防火墙

特点：

1.透明防火墙只能支持两个接口（管理接口除外).

2.透明防火墙支持多模式.

3.透明防火墙没有重新规划地址的必要.(便于网络割接)

4.透明防火墙没有NAT配置.

5.透明防火墙不存在路由问题

6.透明防火墙必须要有管理IP,否则不转发流量.此IP需要和内网接口在同一广播域内.

透明防火墙不支持的特性:

1.NAT

2.动态路由协议

3.IPV6

4.DHCP relay

5.QOS

6.PIM组播

7.VPN

注意事项:

1.内外接口直连网络必须要在相同的网段。

2.必须要配置一个管理IP。

3.网管IP必须要和内外网段相同。

4.网管IP不能作为网关使用。

5.组播和广播流量需要明确放行。

6.可以指定一个特定接口抵达的IP为默认网关，这条路由只起到网管作用。

7.每一个接口必须分属不同VLAN。

8.所有的流量都可以通过3层ACL或2层ACL来进行放行。

9.ARP默认可以穿越防火墙，也可以通过ARP inspection来控制。

10.CDP是无法穿越的。

11.切换到透明防火墙后，所有配置都会丢失，需要提前备份配置。

基础配置：

ciscoasa(config)# firewall transparent

ciscoasa(config)# interface Ethernet0/0

ciscoasa(config-if)# nameif outside

ciscoasa(config-if)# no shut

ciscoasa(config-if)# security-level 0

ciscoasa(config)# interface Ethernet0/1

ciscoasa(config-if)# nameif inside

ciscoasa(config-if)# no shut

ciscoasa(config-if)# security-level 100

ciscoasa(config)#ip address 192.168.1.1 255.255.255.0 (全局模式管理IP)

ciscoasa(config)# sh firewall

Firewall mode: Transparent

动态路由协议穿越透明防火墙：

ciscoasa(config)# access-list outside extended permit ospf any any

ciscoasa(config)# access-list inside extended permit ospf any any

ciscoasa(config)# access-group inside in interface inside

ciscoasa(config)# access-group outside in interface outside

注：内外接口都需要运用ACL，不过值得注意的是，由于内接口也应用了ACL，那么其他流量默认的就被DENY掉了

，需要明确放行才可以。

透明防火放行二层流量(以PPPOE为例)：

ciscoasa(config)#access-list pppoe ethertype permit 8863

ciscoasa(config)#access-list pppoe ethertype permit 8864

ciscoasa(config)#access-group pppoe in interface inside

ciscoasa(config)#access-group pppoe in interface outside

注：每一个接口，每一种类型，每一个方向只能运用一个ACL，那么一个接口可以运用三种类型ACL，即：IP,IPV6,ETHERTYPE

ASA防火墙L2L VPN配置

1.

access-list nonat extended permit ip 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0 (VPN兴趣流量）access-list nat extended permit ip 192.168.2.0 255.255.255.0 any

2.

nat (inside) 0 access-list nonat

nat (inside) 1 access-list nat

global (outside) 1 interface

3.

route outside 0 0 网关IP地址

4.

crypto isakmp enable outside (ASA外接口ISAKMP默认是关闭的,务必开启，ROUTER则不需要)

5.

crypto isakmp policy 10

authentication pre-share

encryption 3des

hash sha

group 2

lifetime 86400

6.

tunnel-group 对方加密点IP地址（公网IP）type ipsec-l2l

tunnel-group 对方加密点IP地址（公网IP）ipsec-attributes

pre-shared-key Cisco

7.

crypto ipsec transform-set set-10 esp-des esp-md5-hmac

8.

crypto map asa 10 match address vpn

crypto map asa 10 set peer 对方加密点IP地址（公网IP）

crypto map asa 10 set transform-set set-10

crypto map asa interface outside

9.

ASA1# sh crypto ipsec sa

interface: outside

Crypto map tag: asa1, seq num: 10, local addr: 23.0.0.1

access-list vpn permit ip 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0 local ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)

remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0) current_peer: 23.0.0.2

#pkts encaps: 24, #pkts encrypt: 24, #pkts digest: 24 加密流量

#pkts decaps: 26, #pkts decrypt: 26, #pkts verify: 26 解密流量

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 24, #pkts comp failed: 0, #pkts decomp failed: 0

#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0

#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0

#send errors: 0, #recv errors: 0

local crypto endpt.: 23.0.0.1, remote crypto endpt.: 23.0.0.2

path mtu 1500, ipsec overhead 58, media mtu 1500

current outbound spi: 12EF2B78

inbound esp sas:

spi: 0x1E05D095 (503697557)

transform: esp-3des esp-sha-hmac none

in use settings ={L2L, Tunnel, }

slot: 0, conn_id: 4096, crypto-map: asa1

sa timing: remaining key lifetime (kB/sec): (3824997/28563)

IV size: 8 bytes

replay detection support: Y

outbound esp sas:

spi: 0x12EF2B78 (317664120)

transform: esp-3des esp-sha-hmac none

in use settings ={L2L, Tunnel, }

slot: 0, conn_id: 4096, crypto-map: asa1

sa timing: remaining key lifetime (kB/sec): (3824997/28563)

IV size: 8 bytes

replay detection support: Y

ASA防火墙的基本配置

安全级别：0-100 从高安全级别到低安全级别的流量放行的 从低安全到高安全级别流量禁止的 ASA防火墙的特性是基于TCP和UDP链路状态的，会话列表，记录出去的TCP或者UDP 流量，这些流量返回的时候，防火墙是放行的。 ASA防火墙的基本配置 ! interface Ethernet0/0 nameif inside security-level 99 ip address 192.168.1.2 255.255.255.0 ! interface Ethernet0/1 nameif dmz security-level 50 ip address 172.16.1.2 255.255.255.0 ! interface Ethernet0/2 nameif outside security-level 1 ip address 200.1.1.2 255.255.255.0 ciscoasa# show nameif Interface Name Security Ethernet0/0 inside 99 Ethernet0/1 dmz 50 Ethernet0/2 outside 1

2、路由器上配置 配置接口地址 路由--默认、静态 配置VTY 远程登录 R3： interface FastEthernet0/0 ip address 200.1.1.1 255.255.255.0 no shutdown 配置去内网络的路由 ip route 192.168.1.0 255.255.255.0 200.1.1.2配置去DMZ区域的路由 ip route 172.161.0 255.255.255.0 200.1.1.2 配置远程登录VTY R3(config)#line vty 0 2 R3(config-line)#password 666 R3(config-line)#login R2： interface FastEthernet0/0 ip address 172.16.1.1 255.255.255.0 no shutdown 配置默认路由 IP route 0.0.0.0 0.0.0.0 172.16.1.2 配置远程登录VTY R3(config)#line vty 0 2 R3(config-line)#password 666 R3(config-line)#login R2： interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 no shutdown 配置默认路由 IP route 0.0.0.0 0.0.0.0 192.168.1.2 配置远程登录VTY R3(config)#line vty 0 2 R3(config-line)#password 666

Cisco ASA5505防火墙详细配置教程及实际配置案例

Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS

Cisco ASA 5500防火墙个人基本配置手册

Cisco ASA 5500不同安全级别区域实现互访实验 一、 网络拓扑 二、 实验环境 ASA 防火墙eth0接口定义为outside 区，Security-Level:0，接Router F0/0；ASA 防火墙eth1接口定义为insdie 区，Security-Level:100，接Switch 的上联口；ASA 防火墙Eth2接口定义为DMZ 区，Security-Level:60，接Mail Server 。 三、 实验目的 实现inside 区域能够访问outside ，即Switch 能够ping 通Router 的F0/0（202.100.10.2）；dmz 区能够访问outside ，即Mail Server 能够ping 通Router 的F0/0（202.100.10.2）； outside 能够访问insdie 区的Web Server 的http 端口(80)和dmz 区的Mail Server 的pop3端口（110）、smtp 端口（25）. 最新【 2009 C C I E R S L a b （160，N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视 频 Q Q :986942623 C C I E s e r v i c e 提供

四、 详细配置步骤 1、端口配置 CiscoASA(config)# interface ethernet 0 CiscoASA(config)#nameif ouside CiscoASA(config-if)# security-level 0 CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 1 CiscoASA(config)#nameif inside CiscoASA(config-if)# security-level 100 CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 2 CiscoASA(config)#nameif dmz CiscoASA(config-if)# security-level 50 CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0 CiscoASA(config-if)# no shut 2、路由配置 CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由 CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由 3、定义高安全接口区域需要进行地址转换的IP 范围CiscoASA(config)# nat (inside) 1 0 0 CiscoASA(config)# nat (dmz) 1 0 0 4、定义低安全接口区域用于高安全接口区域进行IP 转换的地址范围CiscoASA(config)# global (outside) 1 interface CiscoASA(config)# global (dmz) 1 interface 5、定义静态IP 映射（也称一对一映射）CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255 #实现从outside 区访问inside 区10.1.1.1的80端口时，就直接访问10.1.1.1:80 对outside 区的映射202.100.10.1:80 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的110时，就直接访问172.16.1.2:110 对outside 区的映射202.100.10.1:110 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的25时，就直接访问172.16.1.2:25 对outside 区的映射202.100.10.1:25 6、定义access-list CiscoASA(config)# access-list 101 extended permit ip any any CiscoASA(config)# access-list 101 extended permit icmp any any CiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq www CiscoASA(config)# access-list 102 extended permit icmp any any CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3 CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp 最新【 2009 C C I E R S L a b （160，N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视频 Q Q :986942623 C C I E s e r v i c e 提供

思科ASA防火墙ASDM安装和配置

CISCO ASA防火墙ASDM安装和配置 准备工作： 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口，通过开始——>程序——> 附件——>通讯——>超级终端 输入一个连接名，比如“ASA”,单击确定。 选择连接时使用的COM口，单击确定。 点击还原为默认值。 点击确定以后就可能用串口来配置防火墙了。 在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。 在串口下输入以下命令： ciscoasa> ciscoasa> en Password: ciscoasa# conf t 进入全局模式 ciscoasa(config)# webvpn 进入WEBVPN模式 ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口 ciscoasa(config-if)# ip address 192.168.4.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字 ciscoasa(config-if)# no shutdown 激活接口 ciscoasa(config)#q 退出管理接口 ciscoasa(config)# http server enable 开启HTTP服务 ciscoasa(config)# http 192.168.4.0 255.255.255.0 guanli 在管理口设置可管理的IP 地址 ciscoasa(config)# show run 查看一下配置 ciscoasa(config)# wr m 保存 经过以上配置就可以用ASDM配置防火墙了。 首先用交叉线把电脑和防火墙的管理口相连，把电脑设成和管理口段的IP地址,本例中设为192.168.4.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.4.1 弹出一下安全证书对话框，单击“是” 输入用户名和密码（就是在串口的WEBVPN模式下新建的用户和密码），然后点击“确定”。出现也下对话框，点击“Download ASDM Launcher and Start ASDM”开始安装ASDM管理器，安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上Java 版本)，进入https://www.360docs.net/doc/6e11558493.html,下载安装，安装完后点击下面的“R un ASDM as a Java Applet ”。 出现以下对话框，点击“是”。 出现以下对话框，输入用户名和密码（就是在串口的WEBVPN模式下新建的用户和密码），然后点击“是”。 出现以下对话框，点击“是”。 进入ASDM管理器。 这样就可以通过ASDM来配置防火墙了。 以后就可以直接使用ASDM来管理防火墙了。

ASA防火墙基本配置

一、基本配置 #hostname name //名字的设置 #interface gigabitethernet0/0 //进入接口0/0 #nameif outside //配置接口名为outside #security-level 0 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown #interface ethernet0/1 //进入接口0/1 #nameif inside //配置接口名为inside #security-level 100 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 192.168.10.1 255.255.255.0 //设置ip地址 #duplex full //全双工 #speed 100 //速率 #no shutdown #interface ethernet0/2 //进入接口0/2 #nameif dmz //配置接口名为dmz #security-level 50 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址 #no shutdown #interface Management0/0 //进入管理接口 # nameif guanli //接口名 # security-level 100 //安全级别 #ip address 192.168.1.1 255.255.255.0 //IP地址 注意：security-level 配置安全级别。默认外网接口为0/0 安全级别默认为0 内网接口为0/1 安全级别默认为100 dmz 接口为0/2 安全级别默认为50 默认情况下，相同安全级别接口之间不允许通信，可以使用以下命令： #same-security-traffic permit interface //允许相同安全级别接口之间互相通信。 较高安全接口访问较低安全接口：允许所有基于IP的数据流通过，除非有ACL访问控制列表，认证或授权的限制。 较低安全接口访问较高安全接口：除非有conduit或acl进行明确的许可，否则丢弃所有的数据包。

Cisco ASA5520防火墙配置

Cisco ASA5520防火墙配置 前言 ●主要从防火墙穿越的角度，描述Cisco ASA5520防火墙的配置 ●对Pix ASA系列防火墙配置具有参考意义 内容 ●防火墙与NAT介绍 ●基本介绍 ●基本配置 ●高级配置 ●其它 ●案例 防火墙与NAT介绍 ●防火墙 门卫 ●NAT 过道 ●区别 两者可以分别使用 Windows有个人防火墙 Windows有Internet Connect sharing服务 一般防火墙产品，同时带有NAT 基本介绍 ●配置连接 ●工作模式 ●常用命令 ●ASA5520介绍 配置连接 ●初次连接 使用超级终端登陆Console口 Cicso的波特率设置为9600 ●Telnet连接 默认不打开，在使用Console配置后，可以选择开启 开启命令：telnet ip_addressnetmaskif_name 连接命令：telnet 192.168.1.1 ASA5520默认不允许外网telnet,开启比较麻烦 ●ASDM连接 图形界面配置方式 ●SSH连接 工作模式 ●普通模式 连接上去后模式 进入普通模式需要有普通模式密码 Enable 进入特权模式，需要特权密码

●特权模式 Config terminal 进入配置模式 ●配置模式 ●模式转换 exit 或者ctrl-z退出当前模式，到前一模式 也适用于嵌套配置下退出当前配置 常用命令 ●命令支持缩写，只要前写到与其它命令不同的地方即可 config terminal = conf term = conf t Tab键盘补全命令 ？Or help 获取帮助 ●取消配置 no 命令取消以前的配置 Clear 取消一组配置，具体请查看帮助 ●查看配置 Show version show run [all] , write terminal Show xlat Show run nat Show run global ●保存配置 Write memory ASA5520介绍 ●硬件配置：ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz ●1个Console口，一个Aux口，4个千兆网口 ●支持并发：280000个 ●支持VPN个数：150 ●支持双机热备、负载均衡 ●可以通过show version 查看硬件信息 基本配置 ●接口配置 ●NAT配置 ●ACL访问控制 接口配置 ●四个以太网口 GigabitEthernet0/0、gig0/1、gig0/2、gig0/3 进入接口配置: interface if_name ●配置IP ip address ip_address [netmask] ip address ip_addressdhcp

ASA防火墙基本配置

第二章ASA防火墙 实验案例一ASA防火墙基本配置 一、实验目的： 熟悉ASA基本配置 二、实验环境和需求 在WEB上建立站点https://www.360docs.net/doc/6e11558493.html,.，在Out上建立站点https://www.360docs.net/doc/6e11558493.html,，并配置DNS服务，负责解析https://www.360docs.net/doc/6e11558493.html,(202.0.0.253/29)和https://www.360docs.net/doc/6e11558493.html,（IP为202.2.2.1）,PC1的DNS 指向200.2.2.1 只能从PC1通过SSH访问ASA 从PC1可以访问outside和dmz区的网站，从Out主机可以访问DMZ区的Web站点从PC1可以ping通Out主 三、实验拓扑图 四、配置步骤 （一）路由器配置 int f1/0 ip add 200.0.0.1 255.255.255.252 no sh

int f0/0 ip add 200.2.2.254 255.255.255.0 no sh exit ip route 0.0.0.0 0.0.0.0 200.0.0.2 end (二) ASA基本属性配置 1、接口配置 Interface E 0/0 Ip address 192.168.0.254 255.255.255.0 Nameif inside //设置内接口名字 Security-level 100 //设置内接口安全级别 No shutdown Interface E 0/1 Ip add 192.168.1.254 255.255.255.0 Nameif dmz //设置接口为DMZ Security-level 50 //设置DMZ接口的安全级别 No shutdown Interface E 0/2 Ip address 200.0.0.2 255.255.255.252 Nameif outside //设置外接口名字 Security-level 0 //设置外接口安全级别 No shutdown 2、ASA路由配置：静态路由方式 (config)#Route outside 0.0.0.0 0.0.0.0 200.0.0.1 3、从PC1上可以PING通OUT主机 默认情况下不允许ICMP流量穿过，从内Ping外网是不通的，因为ICMP应答的报文返回时不能穿越防火墙，可以配置允许几种报文通过， (Config)# Access-list 111 permit icmp any any

实验10-思科ASA防火墙的NAT配置

实验10 思科ASA防火墙的NAT配置 一、实验目标 1、掌握思科ASA防火墙的NAT规则的基本原理； 2、掌握常见的思科ASA防火墙的NAT规则的配置方法。 二、实验拓扑 根据下图搭建拓扑通过配置ASA防火墙上的NAT规则，使得inside区能单向访问DMZ区和outside区，DMZ区和outside区能够互访。 三、实验配置 1、路由器基本网络配置，配置IP地址和默认网关 R1#conf t R1(config)#int f0/0 R1(config-if)#ip address 192.168.2.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#ip default-gateway 192.168.2.254 //配置默认网关 R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254 //添加默认路由R1(config)#exit R1#write R2#conf t R2(config)#int f0/0 R2(config-if)#ip address 202.1.1.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit R2(config)#ip default-gateway 202.1.1.254 R2(config)#exit

R2#write Server#conf t Server(config)#no ip routing //用路由器模拟服务器，关闭路由功能Server(config)#int f0/0 Server(config-if)#ip address 192.168.1.1 255.255.255.0 Server(config-if)#no shutdown Server(config-if)#exit Server(config)#ip default-gateway 192.168.1.254 Server(config)#exit Server#write *说明：实际配置中最好在三台路由器上都添加一条通往防火墙的默认路由，但在本实验中Server和R2不配置不影响实验效果。 2、防火墙基本配置，配置端口IP地址和定义区域 ciscoasa# conf t ciscoasa(config)# int g0 ciscoasa(config-if)# nameif inside ciscoasa(config-if)# ip address 192.168.2.254 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit ciscoasa(config)# int g1 ciscoasa(config-if)# nameif dmz ciscoasa(config-if)# security-level 50 ciscoasa(config-if)# ip address 192.168.1.254 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit ciscoasa(config)# int g2 ciscoasa(config-if)# nameif outside ciscoasa(config-if)# ip address 202.1.1.254 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit 3、防火墙NAT规则配置 *说明：思科ASA 8.3 版本以后，NAT配置的方法发生了很大的改变。本文档会对改版前后的命令作比较，便于读者的理解和运用。 *可以通过show version命令来查看防火墙当前的版本。 （1）配置协议类型放行 //状态化icmp流量，让icmp包能回包。fixup命令作用是启用、禁止、改变一个服务或协议通过防火墙。

Cisco ASA 5505 防火墙常用配置案例

interface Vlan2 nameif outside --------------------对端口命名外端口 security-level 0 --------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址 ! interface Vlan3 nameif inside --------------------对端口命名内端口 security-level 100 --------------------调试外网地址 ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级 ! interface Ethernet0/0 switchport access vlan 2 --------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 --------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS name-server 211.99.129.210 name-server 202.106.196.115 access-list 102 extended permit icmp any any ------------------设置ACL列表（允许ICMP全部通过） access-list 102 extended permit ip any any ------------------设置ACL列表（允许所有IP全部通过）

ASA防火墙配置命令-王军

ASA防火墙配置命令（v1.0） 版本说明

目录 1. 常用技巧 (3) 2. 故障倒换 (3) 3. 配置telnet、ssh及http管理 (5) 4. vpn常用管理命令 (5) 5. 配置访问权限 (6) 6. 配置sitetosite之VPN (6) 7. webvpn配置（ssl vpn） (7) 8. 远程拨入VPN (8) 9. 日志服务器配置 (10) 10. Snmp网管配置 (11) 11. ACS配置 (11) 12. AAA配置 (11) 13. 升级IOS (12) 14. 疑难杂症 (12)

1. 常用技巧 Sh ru ntp查看与ntp有关的 Sh ru crypto 查看与vpn有关的 Sh ru | inc crypto 只是关健字过滤而已 2. 故障倒换 failover failover lan unit primary failover lan interface testint Ethernet0/3 failover link testint Ethernet0/3 failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001 failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001 failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001 failover mac address Management0/0 0018.1900.7000 0018.1900.7001 failover interface ip testint 10.3.3.1 255.255.255.0 standby 10.3.3.2 注：最好配置虚拟MAC地址 sh failover显示配置信息 write standby写入到备用的防火墙中

配置asa 5505防火墙

配置asa 5505防火墙 1.配置防火墙名 ciscoasa> enable ciscoasa# configure terminal ciscoasa(config)# hostname asa5505 2.配置Http.telnet和ssh管理 #username xxx password xxxxxx encrypted privilege 15 #aaa authentication enable console LOCAL #aaa authentication telnet console LOCAL #aaa authentication http console LOCAL #aaa authentication ssh console LOCAL #aaa autoentication command LOCAL #http server enable #http 192.168.1.0 255.255.255.0 inside #telnet 192.168.1.0 255.255.255.0 inside #ssh 192.168.1.0 255.255.255.0 inside #crypto key generate rsa(打开SSH服务) //允许内部接口192.168.1.0网段telnet防火墙 3.配置密码 asa5505(config)# password cisco //远程密码 asa5505(config)# enable password cisco //特权模式密码 4.配置IP asa5505(config)# interface vlan 2 //进入vlan2 asa5505(config-if)# ip address 218.xxx.37.222 255.255.255.192 //vlan2配置IP asa5505(config)#show ip address vlan2 //验证配置 5.端口加入vlan asa5505(config)# interface e0/3 //进入接口e0/3 asa5505(config-if)# switchport access vlan 3 //接口e0/3加入vlan3

ASA防火墙配置

ASA防火墙初始配置 1.模式介绍 “>”用户模式 firewall>enable 由用户模式进入到特权模式 password: “#”特权模式 firewall#config t 由特权模式进入全局配置模式 “（config）#”全局配置模式 防火墙的配置只要在全局模式下完成就可以了。 2.接口配置(以5510以及更高型号为例，5505接口是基于VLAN的)： interface Ethernet0/0 nameif inside (接口的命名，必须！) security-level 100（接口的安全级别） ip address 10.0.0.10 255.255.255.0 no shut interface Ethernet0/1 nameif outside security-level 0 ip address 202.100.1.10 255.255.255.0 no shut 3.路由配置： 默认路由： route outside 0 0 202.100.1.1 （0 0 为0.0.0.0 0.0.0.0） 静态路由： route inside 192.168.1.0 255.255.255.0 10.0.0.1 5505接口配置: interface Ethernet0/0 ! interface Ethernet0/1 switchport access vlan 2 interface Vlan1

nameif inside security-level 100 ip address 192.168.6.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 202.100.1.10 ASA防火墙NAT配置 内网用户要上网，我们必须对其进行地址转换，将其转换为在公网上可以路由的注册地址， 防火墙的nat和global是同时工作的，nat定义了我们要进行转换的地址，而global定义了要被转换为的地址， 这些配置都要在全局配置模式下完成， Nat配置： firewall（config）# nat (inside) 1 0 0 上面inside代表是要被转换得地址， 1要和global 后面的号对应，类似于访问控制列表号，也是从上往下执行， 0 0 代表全部匹配（第一个0代表地址，第二个0代表掩码），内部所有地址都回进行转换。 Global配置: firewall（config）#global （outside）1 interface Gobalb定义了内网将要被转换成的地址， Interface 代表外端口的地址 当然，如果您有更多的公网IP地址，您也可以设置一个地址池，上面一条也是必须的，地址转换首先会用地址池内地址， 一旦地址被用完后会用到上面一条及外端口做ＰＡＴ转换上网。 或者在如下的配置后面再加上一条：firewall（config）#global （outside）１222.128.1.10 firewall（config）#global （outside）１222.128.1.100-222.128.1.254 服务器映射配置: 如果在内网有一台web服务器需要向外提供服务，那么需要在防火墙上映射，公网地址多的情况下可以做一对一的映射，如下 firewall（config）#static （inside，outside）222.128.100.100 1.1.1.50

ASA防火墙疑难杂症与Cisco ASA 防火墙配置

ASA防火墙疑难杂症解答 ASA防火墙疑难杂症解答 1...............................内部网络不能ping通internet 2........................内部网络不能使用pptp拨入vpn服务器 3....................内部网络不能通过被动Mode访问ftp服务器 4.................................内部网络不能进行ipsec NAT 5...................................内网不能访问DMZ区服务器 6................................内网用户不能ping web服务器1. 内部网络不能ping通internet 对于ASA5510，只要策略允许，则是可以Ping通的，对于ASA550，部分IOS可以ping，如果所以流量都允许还是不能Ping的话，则需要做 inspect，对icmp协议进行检查即可 2. 内部网络不能使用pptp拨入vpn服务器 因pptp需要连接TCP 1723端口，同时还需要GRE协议，如果防火墙是linux的Iptables，则需要加载： modprobe ip_nat_pptp modprobe ip_conntrack_proto_gre 如果防火墙是ASA，则需要inspect pptp。 3. 内部网络不能通过被动Mode访问ftp服务器 同样需要inspect ftp，有些还需要检查相关参数 policy-map type inspect ftp ftpaccess parameters match request-command appe cdup help get rnfr rnto put stou site dele mkd rmd 4. 内部网络不能进行ipsec NAT 这种情况不多用，如查进行ipsect ：IPSec Pass Through 5. 内网不能访问DMZ区服务器 增加NAT规则，即DMZ到内网的规则 6. 内网用户不能ping web服务器

ciscoASA防火墙配置 - 基本配置过程

Cisco ASA 防火墙配置手册 基本配置过程 ----------Conan Zhongjm

拓扑图 1、配置主机名 hostname asa5520 2、配置密码 Enable password asa5520 Passwd cisco 3、配置接口 Conf t Interface ethernet 0/0 Nameif outside Security-level 0 Ip address 210.10.10.2 255.255.255.0 No shutdown Exit Interface ethernet 0/1 Nameif inside Security-level 100 Ip address 192.168.201.1 255.255.255.0 No shutdown Exit Interface ethernet 0/2 Nameif dmz Security-level 50 Ip address 192.168.202.1 255.255.255.0 No shutdown Exit 4、配置路由

Route outside 0.0.0.0 0.0.0.0 210.10.10.1 End Show route 5、配置网络地址转换 Nat-controal Nat (inside) 1 0 0 Global (outside) 1 interface Global (dmz) 1 192.168.202.100-192.168.202.110 ///////////////////////////////////////////////////////////////////// 配置完以上就可以实现基本的防火墙上网功能 ///////////////////////////////////////////////////////////////////// 6、配置远程登录 （1）telnet 登录 Conf t telnet 192.168.201.0 255.255.255.0 inside telnet timeout 15 （2）ssh登录 Crypto key generate rsa modulus 1024 Ssh 192.168.201.0 255.255.255.0 inside Ssh 0 0 outside Ssh timeout 30 Ssh version 2 （3）asdm登录 http server enable 8000 http 192.168.201.0 255.255.255.0 inside http 0 0 outside http 0 0 inside asdm image disk0:/asdm-615.bin username conan password 123456789 privilege 15 7、配置端口映射 （1）创建映射 Static (dmz,outside) 210.10.10.2 192.168.202.2 （2）因为防火墙默认把禁止外网访问DMZ区，所以要创建访问控制列表Access-list out_to_dmz permit tcp any host 210.10.10.2 eq 80 Access-group out_to_dmz in interface outside

asa防火墙基本配置管理

asa防火墙基本配置管理 一、基本配置 #hostname name //名字的设置 #interface gigabitethernet0/0 //进入接口0/0 #nameif outside //配置接口名为outside #security-level 0 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown #interface ethernet0/1 //进入接口0/1 #nameif inside //配置接口名为inside #security-level 100 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 192.168.10.1 255.255.255.0 //设置ip地址 #duplex full //全双工 #speed 100 //速率 #no shutdown #interface ethernet0/2 //进入接口0/2 #nameif dmz //配置接口名为dmz #security-level 50 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址 #no shutdown #interface Management0/0 //进入管理接口 # nameif guanli //接口名 # security-level 100 //安全级别 #ip address 192.168.1.1 255.255.255.0 //IP地址 注意：security-level 配置安全级别。默认外网接口为0/0 安全级别默认为0 内网接口为0/1 安全级别默认为100 dmz 接口为0/2 安全级别默认为50 默认情况下，相同安全级别接口之间不允许通信，可以使用以下命令： #same-security-traffic permit interface //允许相同安全级别接口之间互相通信。