ASA配置笔记

1.常用技巧

Sh ru ntp查看与ntp有关的

Sh ru crypto 查看与vpn有关的

Sh ru | inc crypto 只是关健字过滤而已

2. 故障倒换

failover

failover lan unit primary

failover lan interface testint Ethernet0/3

failover link testint Ethernet0/3

failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001 failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001 failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001 failover mac address Management0/0 0018.1900.7000 0018.1900.7001

failover interface ip testint 10.3.3.1 255.255.255.0 standby 10.3.3.2

注：最好配置虚拟MAC地址

sh failover显示配置信息

write standby写入到备用的防火墙中

failover命令集如下：

configure mode commands/options:

interface Configure the IP address and mask to be used for failover and/or stateful update information

interface-policy Set the policy for failover due to interface failures

key Configure the failover shared secret or key

lan Specify the unit as primary or secondary or configure the interface and vlan to be used for failover communication link Configure the interface and vlan to be used as a link for stateful update information

mac Specify the virtual mac address for a physical interface polltime Configure failover poll interval

replication Enable HTTP (port 80) connection replication

timeout Specify the failover reconnect timeout value for

asymmetrically routed sessions

sh failover 命令集如下：

history Show failover switching history

interface Show failover command interface information

state Show failover internal state information

statistics Show failover command interface statistics information

| Output modifiers

3. 配置telnet、ssh及http管理

username jiang password Csmep3VzvPQPCbkx encrypted privilege 15

aaa authentication enable console LOCAL

aaa authentication telnet console LOCAL

aaa authentication ssh console LOCAL

aaa authorization command LOCAL

http 192.168.40.0 255.255.255.0 management

ssh 192.168.40.0 255.255.255.0 inside

4. vpn常用管理命令

sh vpn-sessiondb full l2l 显示site to site 之vpn通道情况

sh ipsec stats 显示ipsec通道情况

sh vpn-sessiondb summary 显示vpn汇总信息

sh vpn-sessiondb detail l2l 显示ipsec详细信息

sh vpn-sessiondb detail svc 查看ssl client信息

sh vpn-sessiondb detail webvpn 查看webvpn信息

sh vpn-sessiondb detail full l2l 相当于linux下的ipsec whack ?Cstatus 如果没有建立连接，则表示ipsec通道还没有建立起来。

5.配置访问权限

可以建立对象组，设定不同的权限，如：

object-group network testgroup

description test

network-object 192.168.100.34 255.255.255.255

access-list inside_access_in line 2 extended permit ip object-group all any access-group inside_access_in in interface inside

6. 配置sitetosite之VPN

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto map outside_map 20 match address outside_cryptomap_20_1

crypto map outside_map 20 set pfs

crypto map outside_map 20 set peer 218.16.105.48

crypto map outside_map 20 set transform-set ESP-3DES-SHA

crypto map outside_map interface outside

isakmp identity address

isakmp enable outside

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption 3des

isakmp policy 10 hash sha

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

tunnel-group 218.16.105.48 type ipsec-l2l

tunnel-group 218.16.105.48 ipsec-attributes

pre-shared-key *

peer-id-validate nocheck

tunnel-group-map enable rules

注：打打PFS并设定以IP地址作为peer名，一个接口只能有一个加密图

7. webvpn配置（ssl vpn）

webvpn

enable outside

character-encoding gb2312

csd image disk0:/securedesktop-asa-3.1.1.16.pkg

svc image disk0:/sslclient-win-1.1.0.154.pkg 1

svc enable

customization customization1

title text TEST WebVPN system

title style background-color:white;color: rgb(51,153,0);border-bottom:5px groo

ve #669999;font-size:larger;vertical-align:middle;text-align:left;font-weight:bold

tunnel-group-list enable

注：也可通过ASDM图形界面进行配置

登录后，可访问内部资源，如下例：（客户端首先要安装Java插件jre-1_5_0-windows-i586.exe,并打开浏览器的ActiveX）

1) https://https://www.360docs.net/doc/9112996979.html,输入用户名和密码

2) 出现工具条

3) 在Enter Web Address内输入192.168.40.8即可访问内部网站

4）在browse network输入192.168.40.8即可访问共享文件

5)点击application access，即可查看端口转发设置，如使用putty访问本机的2023端口，则即可通过ssh登录192.168.40.8

8. 远程拨入VPN

CISCO+ASA+5520配置手册

CD-ASA5520# show run : Saved : ASA Version 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口： duplex full //接口作工模式：全双工，半双，自适应 nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名：外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010 //允许外部任何用户可以访问outside 接口的30000-30010的端口。 pager lines 24 logging enable //启动日志功能

Cisco_ASA5520防火墙配置

tb23-asa# sh run : Saved : ASA Version 8.0(2) ! hostname tb23-asa enable password jDUXMyqeIzxQIVgK encrypted names ! interface Ethernet0/0 nameif outside security-level 0 ip address 200.200.200.124 255.255.255.128 ! interface Ethernet0/1 nameif inside security-level 100 ip address 10.10.10.9 255.255.255.252 ! interface Ethernet0/2 shutdown nameif inside-2 security-level 100 no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Ethernet0/4 shutdown no nameif no security-level no ip address ! interface Ethernet0/5 shutdown no nameif no security-level no ip address ! passwd jDUXMyqeIzxQIVgK encrypted boot config disk0:/.private/startup-config ftp mode passive access-list out-in extended permit ip any any pager lines 24 mtu outside 1500 mtu inside 1500 mtu inside-2 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable

ASA5520防火墙双机配置

ASA5520防火墙的安装配置说明一、通过超级终端连接防火墙。先将防火墙固定在机架上，接好电源；用随机带来的一根蓝色的线缆将防火墙与笔记本连接起来。注意：该线缆是扁平的，一端是RJ-45接口，要接在防火墙的console端口；另一端是串口，要接到笔记本的串口上. 建立新连接，给连接起个名字。选择COM口，具体COM1还是COM3应该根据自己接的COM来选择，一般接COM1就可以。

选择9600,回车就可以连接到命令输入行。二、防火墙提供4种管理访问模式： 1．非特权模式。防火墙开机自检后，就是处于这种模式。系统显示为firewall> 2．特权模式。输入enable进入特权模式，可以改变当前配置。显示为firewall# 3．配置模式。在特权模式下输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。显示为firewall(config)# 4．监视模式。 PIX防火墙在开机或重启过程中，按住Escape键或发送一个“Break”字符，进入监视模式。这里可以更新操作系统映象和口令恢复。显示为monitor> 三、基本配置步骤在PC机上用串口通过cisco产品控制线连接防火墙的Console口（9600-N-8-1），使用超级终端连接。在提示符的后面有一个大于号“>”，你处在asa用户模式。使用en或者enable命令修改权限模式。 asafirewall> en //输入en 或 enable 回车 Password： //若没有密码则直接回车即可 asafirewall# //此时便拥有了管理员模式，此模式下可以显示内容但不能配置，若要配置必须进入到通用模式 asafirewall# config t // 进入到通用模式的命令 asafirewall(config)# hostname sjzpix1 //设置防火墙的名称 Sjzpix1(config)# password zxm10 //设置登陆口令为zxm10 Sjzpix1(config)# enable password zxm10 //设置启动模式口令，用于获得管理员模式访问 1．配置各个网卡

ASA防火墙基本配置

一、基本配置 #hostname name //名字的设置 #interface gigabitethernet0/0 //进入接口0/0 #nameif outside //配置接口名为outside #security-level 0 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown #interface ethernet0/1 //进入接口0/1 #nameif inside //配置接口名为inside #security-level 100 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 192.168.10.1 255.255.255.0 //设置ip地址 #duplex full //全双工 #speed 100 //速率 #no shutdown #interface ethernet0/2 //进入接口0/2 #nameif dmz //配置接口名为dmz #security-level 50 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址 #no shutdown #interface Management0/0 //进入管理接口 # nameif guanli //接口名 # security-level 100 //安全级别 #ip address 192.168.1.1 255.255.255.0 //IP地址注意：security-level 配置安全级别。默认外网接口为0/0 安全级别默认为0 内网接口为0/1 安全级别默认为100 dmz 接口为0/2 安全级别默认为50 默认情况下，相同安全级别接口之间不允许通信，可以使用以下命令： #same-security-traffic permit interface //允许相同安全级别接口之间互相通信。较高安全接口访问较低安全接口：允许所有基于IP的数据流通过，除非有ACL访问控制列表，认证或授权的限制。较低安全接口访问较高安全接口：除非有conduit或acl进行明确的许可，否则丢弃所有的数据包。

Cisco ASA5520防火墙配置

Cisco ASA5520防火墙配置前言 ●主要从防火墙穿越的角度，描述Cisco ASA5520防火墙的配置 ●对Pix ASA系列防火墙配置具有参考意义内容 ●防火墙与NAT介绍 ●基本介绍 ●基本配置 ●高级配置 ●其它 ●案例防火墙与NAT介绍 ●防火墙门卫 ●NAT 过道 ●区别两者可以分别使用 Windows有个人防火墙 Windows有Internet Connect sharing服务一般防火墙产品，同时带有NAT 基本介绍 ●配置连接 ●工作模式 ●常用命令 ●ASA5520介绍配置连接 ●初次连接使用超级终端登陆Console口 Cicso的波特率设置为9600 ●Telnet连接默认不打开，在使用Console配置后，可以选择开启开启命令：telnet ip_addressnetmaskif_name 连接命令：telnet 192.168.1.1 ASA5520默认不允许外网telnet,开启比较麻烦 ●ASDM连接图形界面配置方式 ●SSH连接工作模式 ●普通模式连接上去后模式进入普通模式需要有普通模式密码 Enable 进入特权模式，需要特权密码

●特权模式 Config terminal 进入配置模式 ●配置模式 ●模式转换 exit 或者ctrl-z退出当前模式，到前一模式也适用于嵌套配置下退出当前配置常用命令 ●命令支持缩写，只要前写到与其它命令不同的地方即可 config terminal = conf term = conf t Tab键盘补全命令？Or help 获取帮助 ●取消配置 no 命令取消以前的配置 Clear 取消一组配置，具体请查看帮助 ●查看配置 Show version show run [all] , write terminal Show xlat Show run nat Show run global ●保存配置 Write memory ASA5520介绍 ●硬件配置：ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz ●1个Console口，一个Aux口，4个千兆网口 ●支持并发：280000个 ●支持VPN个数：150 ●支持双机热备、负载均衡 ●可以通过show version 查看硬件信息基本配置 ●接口配置 ●NAT配置 ●ACL访问控制接口配置 ●四个以太网口 GigabitEthernet0/0、gig0/1、gig0/2、gig0/3 进入接口配置: interface if_name ●配置IP ip address ip_address [netmask] ip address ip_addressdhcp

ASA防火墙基本配置

第二章ASA防火墙实验案例一ASA防火墙基本配置一、实验目的：熟悉ASA基本配置二、实验环境和需求在WEB上建立站点https://www.360docs.net/doc/9112996979.html,.，在Out上建立站点https://www.360docs.net/doc/9112996979.html,，并配置DNS服务，负责解析https://www.360docs.net/doc/9112996979.html,(202.0.0.253/29)和https://www.360docs.net/doc/9112996979.html,（IP为202.2.2.1）,PC1的DNS 指向200.2.2.1 只能从PC1通过SSH访问ASA 从PC1可以访问outside和dmz区的网站，从Out主机可以访问DMZ区的Web站点从PC1可以ping通Out主三、实验拓扑图四、配置步骤（一）路由器配置 int f1/0 ip add 200.0.0.1 255.255.255.252 no sh

int f0/0 ip add 200.2.2.254 255.255.255.0 no sh exit ip route 0.0.0.0 0.0.0.0 200.0.0.2 end (二) ASA基本属性配置 1、接口配置 Interface E 0/0 Ip address 192.168.0.254 255.255.255.0 Nameif inside //设置内接口名字 Security-level 100 //设置内接口安全级别 No shutdown Interface E 0/1 Ip add 192.168.1.254 255.255.255.0 Nameif dmz //设置接口为DMZ Security-level 50 //设置DMZ接口的安全级别 No shutdown Interface E 0/2 Ip address 200.0.0.2 255.255.255.252 Nameif outside //设置外接口名字 Security-level 0 //设置外接口安全级别 No shutdown 2、ASA路由配置：静态路由方式 (config)#Route outside 0.0.0.0 0.0.0.0 200.0.0.1 3、从PC1上可以PING通OUT主机默认情况下不允许ICMP流量穿过，从内Ping外网是不通的，因为ICMP应答的报文返回时不能穿越防火墙，可以配置允许几种报文通过， (Config)# Access-list 111 permit icmp any any

CISCO ASA5520配置手册

CISCO ASA5520配置手册 CD-ASA5520# show run: Saved : ASA V ersion 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 Names dns-guard ! interface GigabitEthernet0/0 //内网接口： duplex full //接口作工模式：全双工，半双，自适应 nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名：外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 Shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address !passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010

CISCO ASA5520的基本配置

CISCO ASA5520的基本配置 1、配置接口：interface、名字：nameif、IP address、security-level nameif 是我们为这个接口指定的具体名字。 security-level表示这个接口的安全等级。一般情况下，可以把企业内部接口的安全等级可以设置的高一点，而企业外部接口的安全等级则可以设置的低一点。如此的话，根据防火墙的访问规则，安全级别高的接口可以防卫安全级别低的接口。也就是说，不需要经过特殊的设置，企业内部网络就可以访问企业外部网络。而如果外部网络访问内部网络，由于是安全级别低的接口访问安全级别高的接口，则必须要要进行一些特殊的设置，如需要访问控制列表的支持；这里是配置外网的接口，名字是outside，安全级别0，IP地址我隐藏了。输入ISP给您提供的地址就行了。 interface GigabitEthernet0/0 nameif outside security-level 0 ip address *.*.*.* 255.255.255.0 ；这里是配置内网的接口 interface GigabitEthernet0/1 nameif inside security-level 100 ip address 172.19.12.2 255.255.255.0 ! 2、网络部分设置 global (outside) 1 interface /*所有IP访问外网全部转换成该端口的IP出去，即PAT nat (inside) 1 0.0.0.0 0.0.0.0 /*表示转换网段中的所有地址。定义内部网络地址将要翻译成的全局地址或地址范围 route outside 0.0.0.0 0.0.0.0 *.*.*.* 1 /*设置外网路由的网关，最后的1是路由的跳数route inside 172.19.74.0 255.255.254.0 172.19.12.1 1 /*设定路由回指到内部的子网route inside 172.19.76.0 255.255.252.0 172.19.12.1 1 3、!开启asdm http server enable

asa5520防火墙透明模式的配置例子

asa5520防火墙透明模式的配置例子 ciscoasa# sh run : Saved : ASA Version (3) ! firewall transparent hostname ciscoasa domain-name enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface GigabitEthernet0/0 nameif outside security-level 0 ! interface GigabitEthernet0/1 nameif inside security-level 100 ! interface GigabitEthernet0/2 shutdown no nameif

no security-level ! interface GigabitEthernet0/3 shutdown no nameif no security-level ! interface Management0/0 nameif management security-level 100 ip address management-only ! passwd encrypted ftp mode passive dns server-group DefaultDNS domain-name access-list acl_inside extended permit ip any any access-list acl_inside extended permit icmp any any access-list acl_outside extended permit tcp any any eq 3306 access-list acl_outside extended permit tcp any any eq www access-list acl_outside extended permit tcp any any eq 8080 access-list acl_outside extended permit tcp any any eq https access-list acl_outside extended permit tcp any any eq sqlnet

Cisco ASA 5505 防火墙常用配置案例

interface Vlan2 nameif outside --------------------对端口命名外端口 security-level 0 --------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址 ! interface Vlan3 nameif inside --------------------对端口命名内端口 security-level 100 --------------------调试外网地址 ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级 ! interface Ethernet0/0 switchport access vlan 2 --------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 --------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS name-server 211.99.129.210 name-server 202.106.196.115 access-list 102 extended permit icmp any any ------------------设置ACL列表（允许ICMP全部通过） access-list 102 extended permit ip any any ------------------设置ACL列表（允许所有IP全部通过）

ASA防火墙配置命令-王军

ASA防火墙配置命令（v1.0）版本说明

目录 1. 常用技巧 (3) 2. 故障倒换 (3) 3. 配置telnet、ssh及http管理 (5) 4. vpn常用管理命令 (5) 5. 配置访问权限 (6) 6. 配置sitetosite之VPN (6) 7. webvpn配置（ssl vpn） (7) 8. 远程拨入VPN (8) 9. 日志服务器配置 (10) 10. Snmp网管配置 (11) 11. ACS配置 (11) 12. AAA配置 (11) 13. 升级IOS (12) 14. 疑难杂症 (12)

1. 常用技巧 Sh ru ntp查看与ntp有关的 Sh ru crypto 查看与vpn有关的 Sh ru | inc crypto 只是关健字过滤而已 2. 故障倒换 failover failover lan unit primary failover lan interface testint Ethernet0/3 failover link testint Ethernet0/3 failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001 failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001 failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001 failover mac address Management0/0 0018.1900.7000 0018.1900.7001 failover interface ip testint 10.3.3.1 255.255.255.0 standby 10.3.3.2 注：最好配置虚拟MAC地址 sh failover显示配置信息 write standby写入到备用的防火墙中

ASA防火墙疑难杂症与Cisco ASA 防火墙配置

ASA防火墙疑难杂症解答 ASA防火墙疑难杂症解答 1...............................内部网络不能ping通internet 2........................内部网络不能使用pptp拨入vpn服务器 3....................内部网络不能通过被动Mode访问ftp服务器 4.................................内部网络不能进行ipsec NAT 5...................................内网不能访问DMZ区服务器 6................................内网用户不能ping web服务器1. 内部网络不能ping通internet 对于ASA5510，只要策略允许，则是可以Ping通的，对于ASA550，部分IOS可以ping，如果所以流量都允许还是不能Ping的话，则需要做 inspect，对icmp协议进行检查即可 2. 内部网络不能使用pptp拨入vpn服务器因pptp需要连接TCP 1723端口，同时还需要GRE协议，如果防火墙是linux的Iptables，则需要加载： modprobe ip_nat_pptp modprobe ip_conntrack_proto_gre 如果防火墙是ASA，则需要inspect pptp。 3. 内部网络不能通过被动Mode访问ftp服务器同样需要inspect ftp，有些还需要检查相关参数 policy-map type inspect ftp ftpaccess parameters match request-command appe cdup help get rnfr rnto put stou site dele mkd rmd 4. 内部网络不能进行ipsec NAT 这种情况不多用，如查进行ipsect ：IPSec Pass Through 5. 内网不能访问DMZ区服务器增加NAT规则，即DMZ到内网的规则 6. 内网用户不能ping web服务器

asa5520防火墙透明模式

asa5520防火墙透明模式的配置例子 2010-01-13 10:49 ciscoasa# sh run : Saved : ASA Version 7.2(3) ! firewall transparent hostname ciscoasa domain-name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface GigabitEthernet0/0 nameif outside security-level 0 ! interface GigabitEthernet0/1 nameif inside security-level 100 ! interface GigabitEthernet0/2 shutdown no nameif no security-level ! interface GigabitEthernet0/3 shutdown no nameif no security-level ! interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-only ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid access-list acl_inside extended permit ip any any access-list acl_inside extended permit icmp any any

ciscoASA防火墙配置 - 基本配置过程

Cisco ASA 防火墙配置手册基本配置过程 ----------Conan Zhongjm

拓扑图 1、配置主机名 hostname asa5520 2、配置密码 Enable password asa5520 Passwd cisco 3、配置接口 Conf t Interface ethernet 0/0 Nameif outside Security-level 0 Ip address 210.10.10.2 255.255.255.0 No shutdown Exit Interface ethernet 0/1 Nameif inside Security-level 100 Ip address 192.168.201.1 255.255.255.0 No shutdown Exit Interface ethernet 0/2 Nameif dmz Security-level 50 Ip address 192.168.202.1 255.255.255.0 No shutdown Exit 4、配置路由

Route outside 0.0.0.0 0.0.0.0 210.10.10.1 End Show route 5、配置网络地址转换 Nat-controal Nat (inside) 1 0 0 Global (outside) 1 interface Global (dmz) 1 192.168.202.100-192.168.202.110 ///////////////////////////////////////////////////////////////////// 配置完以上就可以实现基本的防火墙上网功能 ///////////////////////////////////////////////////////////////////// 6、配置远程登录（1）telnet 登录 Conf t telnet 192.168.201.0 255.255.255.0 inside telnet timeout 15 （2）ssh登录 Crypto key generate rsa modulus 1024 Ssh 192.168.201.0 255.255.255.0 inside Ssh 0 0 outside Ssh timeout 30 Ssh version 2 （3）asdm登录 http server enable 8000 http 192.168.201.0 255.255.255.0 inside http 0 0 outside http 0 0 inside asdm image disk0:/asdm-615.bin username conan password 123456789 privilege 15 7、配置端口映射（1）创建映射 Static (dmz,outside) 210.10.10.2 192.168.202.2 （2）因为防火墙默认把禁止外网访问DMZ区，所以要创建访问控制列表Access-list out_to_dmz permit tcp any host 210.10.10.2 eq 80 Access-group out_to_dmz in interface outside

asa防火墙基本配置管理

asa防火墙基本配置管理一、基本配置 #hostname name //名字的设置 #interface gigabitethernet0/0 //进入接口0/0 #nameif outside //配置接口名为outside #security-level 0 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown #interface ethernet0/1 //进入接口0/1 #nameif inside //配置接口名为inside #security-level 100 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 192.168.10.1 255.255.255.0 //设置ip地址 #duplex full //全双工 #speed 100 //速率 #no shutdown #interface ethernet0/2 //进入接口0/2 #nameif dmz //配置接口名为dmz #security-level 50 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址 #no shutdown #interface Management0/0 //进入管理接口 # nameif guanli //接口名 # security-level 100 //安全级别 #ip address 192.168.1.1 255.255.255.0 //IP地址注意：security-level 配置安全级别。默认外网接口为0/0 安全级别默认为0 内网接口为0/1 安全级别默认为100 dmz 接口为0/2 安全级别默认为50 默认情况下，相同安全级别接口之间不允许通信，可以使用以下命令： #same-security-traffic permit interface //允许相同安全级别接口之间互相通信。

asa防火墙命令详解

常用命令有：nameif、interface、ip address、nat、global、route、static 等。 global 指定公网地址范围：定义地址池。 Global命令的配置语法： global (if_name) nat_id ip_address-ip_address [netmark global_mask] 其中： (if_name)：表示外网接口名称，一般为outside。 nat_id：建立的地址池标识(nat要引用)。 ip_address-ip_address：表示一段ip地址范围。 [netmark global_mask]：表示全局ip地址的网络掩码。 nat 地址转换命令，将内网的私有ip转换为外网公网ip。 nat命令配置语法：nat (if_name) nat_id local_ip [netmark] 其中： (if_name)：表示接口名称，一般为inside. nat_id：表示地址池，由global命令定义。 local_ip：表示内网的ip地址。对于0.0.0.0表示内网所有主机。 [netmark]：表示内网ip地址的子网掩码。 route route命令定义静态路由。语法： route (if_name) 0 0 gateway_ip [metric] 其中： (if_name)：表示接口名称。 0 0 ：表示所有主机 Gateway_ip：表示网关路由器的ip地址或下一跳。 [metric]：路由花费。缺省值是1。 static 配置静态IP地址翻译，使内部地址与外部地址一一对应。语法： static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address 其中： internal_if_name表示内部网络接口，安全级别较高，如inside。 external_if_name表示外部网络接口，安全级别较低，如outside。 outside_ip_address表示外部网络的公有ip地址。 inside_ ip_address表示内部网络的本地ip地址。 (括号内序顺是先内后外，外边的顺序是先外后内) 例如： asa(config)#static (inside，outside) 133.0.0.1 192.168.0.8 表示内部ip地址192.168.0.8，访问外部时被翻译成133.0.0.1全局地址******************************************************************** ******

Cisco ASA 5520 防火墙用于内部多个vlan之间互相通讯

,实例需求：Cisco ASA 5520 防火墙用于内部多个vlan之间互相通讯拓扑图：配置实例： [asa防火墙配置] : Saved : ASA Version 7.0(7) ! hostname ***** enable password GSk/3FjsRAiPoooi encrypted names dns-guard ! interface GigabitEthernet0/0 shutdown nameif outside security-level 0 no ip address ! interface GigabitEthernet0/1 no nameif no security-level no ip address ! interface GigabitEthernet0/1.1 // 启用子接口连接vlan 10，安全及别99，分配地址 vlan 10 nameif Test1 security-level 99 ip address 10.8.128.254 255.255.255.0

! interface GigabitEthernet0/1.2 // 启用子接口连接vlan 20，安全及别98，分配地址 vlan 20 nameif Test2 security-level 98 ip address 10.8.129.254 255.255.255.0 ! interface GigabitEthernet0/1.3 // 启用子接口连接vlan 30，安全及别97，分配地址 vlan 30 nameif Test3 security-level 97 ip address 10.8.130.254 255.255.255.0 ! interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/3 description LAN Failover Interface ! interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-only ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list acl_Test1 extended permit icmp any any // 设置访问列表，允许全通过，为了测试方便access-list acl_Test1 extended permit ip any any access-list acl_Test2 extended permit icmp any any access-list acl_Test2 extended permit ip any any access-list acl_Test3 extended permit icmp any any access-list acl_Test3 extended permit ip any any access-list nonat extended permit ip any any // 这个acl是用在bypass nat所用* pager lines 24 logging asdm informational mtu management 1500 mtu outside 1500 mtu Test1 1500 mtu Test2 1500 mtu Test3 1500 failover