ciscoASA防火墙详细配置
ASA防火墙的基本配置
安全级别:0-100从高安全级别到低安全级别的流量放行的从低安全到高安全级别流量禁止的ASA防火墙的特性是基于TCP和UDP链路状态的,会话列表,记录出去的TCP或者UDP 流量,这些流量返回的时候,防火墙是放行的。
ASA防火墙的基本配置!interface Ethernet0/0nameif insidesecurity-level 99ip address 192.168.1.2 255.255.255.0!interface Ethernet0/1nameif dmzsecurity-level 50ip address 172.16.1.2 255.255.255.0!interface Ethernet0/2nameif outsidesecurity-level 1ip address 200.1.1.2 255.255.255.0ciscoasa# show nameifInterface Name SecurityEthernet0/0 inside 99Ethernet0/1 dmz 50Ethernet0/2 outside 12、路由器上配置配置接口地址路由--默认、静态配置VTY 远程登录R3:interface FastEthernet0/0ip address 200.1.1.1 255.255.255.0no shutdown配置去内网络的路由ip route 192.168.1.0 255.255.255.0 200.1.1.2配置去DMZ区域的路由ip route 172.161.0 255.255.255.0 200.1.1.2配置远程登录VTYR3(config)#line vty 0 2R3(config-line)#password 666R3(config-line)#loginR2:interface FastEthernet0/0ip address 172.16.1.1 255.255.255.0no shutdown配置默认路由IP route 0.0.0.0 0.0.0.0 172.16.1.2配置远程登录VTYR3(config)#line vty 0 2R3(config-line)#password 666R3(config-line)#loginR2:interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0no shutdown配置默认路由IP route 0.0.0.0 0.0.0.0 192.168.1.2配置远程登录VTYR3(config)#line vty 0 2R3(config-line)#password 666R3(config-line)#loginR1可以Telnet R3 ,反过来不行R1不可以ping通R3防火墙放行流量防火墙能放行R3低安全级别的---R1高安全级别区域--Telnet流量ciscoasa(config)# access-list 100 permit tcp host 200.1.1.1 host 192.168.1.1 eq 23应用列表到接口ciscoasa(config)# access-group 100 in interface outside验证:防火墙能放行R3低安全级别的---R1高安全级别区域--ICMP流量ciscoasa(config)# access-list 100 permit icmp host 200.1.1.1 host 192.168.1.1验证。
CISCO ASA配置说明
static (dmz,outside) tcp interface 3389 192.168.2.2 3389 netmask 255.255.255.255
access-group outside_permit in interface outside
//把outside_permit控制列表运用在外部接口的入口方向。
route outside 0.0.0.0 0.0.0.0 202.98.131.126 1 //定义一个默认路由。
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
vpn-idle-timeout none //终止连接时间设为默认值
vpn-session-timeout none //会话超时采用默认值
vpn-tunnel-protocol IPSec //定义通道使用协议为IPSEC。
//定义一个命名为vpnclient的IP地址池,为remote用户分配IP地址
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
//端口映射 可以解决内部要公布的服务太多,而申请公网IP少问题。
static (dmz,outside) tcp interface 30001 192.168.2.2 30001 netmask 255.255.255.255
Cisco_ASA防火墙ASDM图文配置实例
。示显常正法无将 setyB02 过超度长 IRU 时此
证验 ILC 过通
moc.yrotcaffdp.www noisrev lairt orP yrotcaFfdp htiw detaerc FDP
速限行进用应对 SOQ 过通 3.01
moc.yrotcaffdp.www noisrev lairt orP yrotcaFfdp htiw detaerc FDP
moc.yrotcaffdp.www noisrev lairt orP yrotcaFfdp htiw detaerc FDP
A txetnoc 陆登
。样一法方置配的 B txetnoc�毕完置配经已 A txetnoc 时此
moc.yrotcaffdp.www noisrev lairt orP yrotcaFfdp htiw detaerc FDP
eluR TAN cimanyD ddA 择选 换转 TAN 态动立建 、72
钮按 ddA 击单�TAP 择选�edistuO 择选 ecafretnI
池址地个一加增�dda 击单
换转 TAN 态动加添了成完
KO 击 单
对�后文本在接联置配的用常分部中档文该将并�文本成完来档文和 图截的》告报试测 0.6MDSA/0.8ASA《考参好只�墙火防 ASA 有没 又位单新�做有没图截的置配些有�位单原了开离年 9002 者笔于由 换转 TAN 态静 、8 2
PI 理管置设
口接义定 式模换转
式模明透置设 1.9 。的样一是式模 elgnis 置配和置配他其的 txetnoc 于对 式模明透 9
moc.yrotcaffdp.www noisrev lairt orP yrotcaFfdp htiw detaerc FDP
ciscoASA防火墙如何配置
ciscoASA防火墙如何配置思科cisco是全球高端顶尖的通讯厂商,其出产的路由器功能也是世界级的,那么你知道cisco ASA防火墙如何配置的吗?下面是店铺整理的一些关于cisco ASA防火墙如何配置的相关资料,供你参考。
cisco ASA防火墙配置的方法:常用命令有:nameif、interface、ip address、nat、global、route、static等。
global指定公网地址范围:定义地址池。
Global命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]其中:(if_name):表示外网接口名称,一般为outside。
nat_id:建立的地址池标识(nat要引用)。
ip_address-ip_address:表示一段ip地址范围。
[netmark global_mask]:表示全局ip地址的网络掩码。
nat地址转换命令,将内网的私有ip转换为外网公网ip。
nat命令配置语法:nat (if_name) nat_id local_ip [netmark]其中:(if_name):表示接口名称,一般为inside.nat_id:表示地址池,由global命令定义。
local_ip:表示内网的ip地址。
对于0.0.0.0表示内网所有主机。
[netmark]:表示内网ip地址的子网掩码。
routeroute命令定义静态路由。
语法:route (if_name) 0 0 gateway_ip [metric]其中:(if_name):表示接口名称。
0 0 :表示所有主机Gateway_ip:表示网关路由器的ip地址或下一跳。
[metric]:路由花费。
缺省值是1。
static配置静态IP地址翻译,使内部地址与外部地址一一对应。
语法:static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address其中:internal_if_name表示内部网络接口,安全级别较高,如inside。
思科ASA防火墙基本配置
思科ASA防火墙基本配置思科ASA防火墙基本配置Fire Wall 防火墙,它是一种位于内部网络与外部网络之间的网络安全系统,当然,防火墙也分软件防火墙与硬件防火墙。
硬件防火墙又分为:基于PC架构与基于ASIC芯片今天来聊一聊思科的'硬件防火墙 Cisco ASACisco ASA 防火墙产品线挺多:Cisco ASA5505 Cisco ASA5510 Cisco ASA5520 Cisco ASA5540 Cisco ASA5550 等等ASA 的基本配置步骤如下:配置主机名、域名hostname [hostname]domain-name xx.xxhostname Cisco-ASA 5520domain-name 配置登陆用户名密码password [password]enable password [password]配置接口、路由interface interface_namenameif [name]name 有三种接口类型 insdie outside dmzsecurity-level xx(数值)数值越大接口安全级别越高注:默认inside 100 ,outside 0 ,dmz 介于二者之间静态路由route interface_number network mask next-hop-addressroute outside 0.0.0.0 0.0.0.0 210.210.210.1配置远程管理接入Telnettelnet {network | ip-address } mask interface_nametelnet 192.168.1.0 255.255.255.0 insidetelnet 210.210.210.0 255.255.255.0 outsideSSHcrypto key generate rsa modulus {1024| 2048 }指定rsa系数,思科推荐1024ssh timeout minutesssh version version_numbercrypto key generate rsa modulus 1024ssh timeout 30ssh version 2配置 ASDM(自适应安全设备管理器)接入http server enbale port 启用功能http {networdk | ip_address } mask interface_nameasdm image disk0:/asdm_file_name 指定文件位置username user password password privilege 15NATnat-controlnat interface_name nat_id local_ip maskglobal interface_name nat_id {global-ip [global-ip] |interface} nat-controlnat inside 1 192.168.1.0 255.255.255.0global outside 1 interfaceglobal dmz 1 192.168.202.100-192.168.202.150ACLaccess-list list-name standad permit | deny ip maskaccess-list list-name extendad permit | deny protocol source-ip mask destnation-ip mask portaccess-group list-name in | out interface interface_name如果内网服务器需要以布到公网上staic real-interface mapped-interface mapped-ip real-ip staic (dmz,outside) 210.210.202.100 192.168.202.1保存配置wirte memory清除配置clear configure (all)【思科ASA防火墙基本配置】。
ASA防火墙基本配置
一、基本配置#hostname name //名字的设置#interface gigabitethernet0/0 //进入接口0/0#nameif outside //配置接口名为outside#security-level 0 //设置安全级别。
级别从0--100,级别越高安全级别越高#ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址#no shutdown#interface ethernet0/1 //进入接口0/1#nameif inside //配置接口名为inside#security-level 100 //设置安全级别。
级别从0--100,级别越高安全级别越高#ip address 192.168.10.1 255.255.255.0 //设置ip地址#duplex full //全双工#speed 100 //速率#no shutdown#interface ethernet0/2 //进入接口0/2#nameif dmz //配置接口名为dmz#security-level 50 //设置安全级别。
级别从0--100,级别越高安全级别越高#ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址#no shutdown#interface Management0/0 //进入管理接口# nameif guanli //接口名# security-level 100 //安全级别#ip address 192.168.1.1 255.255.255.0 //IP地址注意:security-level 配置安全级别。
默认外网接口为0/0 安全级别默认为0内网接口为0/1 安全级别默认为100dmz 接口为0/2 安全级别默认为50默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令:#same-security-traffic permit interface //允许相同安全级别接口之间互相通信。
思科ASA防火墙精华配置总结
思科ASA防火墙精华配置总结思科防火墙PIX ASA 配置总结一(基础):下面是我工作以来的配置总结,有些东西是6.3版本的,但不影响在7.*版本的配置。
一:6个基本命令:nameif、interface、ip address 、nat、global、route。
二:基本配置步骤:step1: 命名接口名字nameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 dmz security50**7版本的配置是先进入接口再命名。
step2:配置接口速率interface ethernet0 10full autointerface ethernet1 10full autointerface ethernet2 10fullstep3:配置接口地址ip address outside 218.106.185.82ip address inside 192.168.100.1 255.255.255.0ip address dmz 192.168.200.1 255.255.255.0step4:地址转换(必须)* 安全高的区域访问安全低的区域(即内部到外部)需NAT 和global;nat(inside) 1 192.168.1.1 255.255.255.0global(outside) 1 222.240.254.193 255.255.255.248***nat (inside) 0 192.168.1.1 255.255.255.255 表示192.168.1.1这个地址不需要转换。
直接转发出去。
* 如果内部有服务器需要映像到公网地址(外网访问内网)则需要static和conduit或者acl.static (inside, outside) 222.240.254.194 192.168.1.240static (inside, outside) 222.240.254.194 192.168.1.240 10000 10后面的10000为限制连接数,10为限制的半开连接数。
ASA防火墙怎么样配置
ASA防火墙怎么样配置asa防火墙配置方法一:cisco asa5550防火墙配置总结asa防火墙配置一、网络拓扑|172.x.x.x|outside|========|=========|| |-----internet 61.x.x.x|========|=========||inside|133.x.x.x防火墙分别配置三个端口,端口名称和ip地址分配如上。
client的ip address pool为100.100.100.0 255.255.255.0。
asa防火墙配置二、配置过程1、建立动态mapcrypto ipsec transform-set myset esp-aes-256 esp-sha-hmaccrypto dynamic-map dymap 1 set transform-set mysetcrypto dynamic-map dymap 1 set reverse-routecrypto map mymap 1 ipsec-isakmp dynamic dymapcrypto map mymap interface internetcrypto isakmp enable internetcrypto isakmp policy 10authentication pre-shareencryption 3deshash shagroup 2lifetime 86400crypto isakmp nat-traversal 202、建立tunnel groupasa防火墙配置方法二:interface ethernet0/0nameif insidesecurity-level 100ip address 192.168.1.1 255.255.255.0 (内网防火墙接口ip)interface ethernet0/1nameif outsidesecurity-level 0ip address 1.1.1.1 255.255.255.0(外网固定ip) global (outside) 1 interfacenat (inside) 1 192.168.8.0 255.255.255.0route outside 0.0.0.0 0.0.0.0 1.1.1.2 1(外网网关)asa防火墙配置方法三:首先你需要定义下内网的流量access-list 100 permit ip 192.168.0.0 255.255.255.0 any 这个就是表示所有的192.168.0.0/16的网络定义natglobal ( outside ) 1 interfacenat ( inside ) 1 access-list 100另外还需要放行流量access-list acl permit ip any any ( 由于不清楚你的流量我就放行所有了)access-group acl in interface outsideaccess-group acl out interface outside看了“asa防火墙怎么样配置”文章的。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
NO.4 R1(config) # no logg con 停止向 console 口发送 log 信息...以免干扰你在控制台的操作 No.5 R1(config-if) # no keepalive 一个路由器以太网接口,如果没有插网线,(没有连任何的机器和设备),路由器自己不能 ping 这个 IP ,no keepalive 之后,就可以 ping 这个接口的 IP 了!路由协议也可以起来了! 配置模式下 rl(config)#no ip domain-lookup 关闭动态域名解析 如何连接电脑我就不多说了 网上到处都是。但好像要注意一点,先吧超级终端打开再给防火墙 加电,不然超级终端上什么都看不到。
asa5505(config)#domain-name
10.启动日志
asa5505(config)#logging enable ------------------启动日志
asa5505(config)#logging asdm informational ------------------启动 asdm 报告日志
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute no snmp-server location
no snmp-server contact
基本的.其他业务配置暂时没配,会及时更新的.
Cisco ASA5505 配置
cisco, config, telnet, 防火墙, Cisco
1.配置防火墙名
ciscoasa> enable
ciscoasa# configure terminal
ciscoasa(config)# hostname asa5505
2.配置 telnet
asa5505(config)#telnet 192.168.1.0 255.255.255.0 inside ↑ // 允 许 内 部 接 口
192.168.1.0 网段 telnet 防火墙
3.配置密码
asa5505(config)# password cisco ------------------远程密码
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
access-list 102 extended permit icmp any any
------------------ 设 置
ACL 列表(允许 ICMP 全部通过)
access-list 102 extended permit ip any any 列表(允许所有 IP 全部通过) pager lines 24 mtu outside 1500 mtu inside 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns domain-lookup inside
dns server-group DefaultDNS
name-server 211.99.129.210
name-server 202.106.196.115
asa5505(config)#mtu dmz 1500 ------------------dmz 最大传输单元 1500 字节 7.配置 arp 表的超时时间 asa5505(config)#arp timeout 14400 ------------------arp 表的超时时间 14400 秒 8.FTP 模式 asa5505(config)#ftp mode passive ------------------FTP 被动模式 9.配置域名
telnet timeout 5 ssh 0.0.0.0 0.0.0.0 outside 所有地址进入
----------------------------------------设置 SSH
ssh timeout 30
ssh version 2
console timeout 0
!
dhcpd
address
snmp-server enable traps snmp authentication linkup linkdown coldstart telnet 0.0.0.0 0.0.0.0 inside ---------------------------------------- 设 置 TELNET 所有地址进入
!
interface Ethernet0/3
shutdown
!
interface Ethernet0/4
shutdown
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
shutdown
!
interface Ethernet0/7
shutdown
谈谈日常配置思科的简单问题 2009-11-26 19:15No.1 R1(config)#no ip domain-lookup 禁止路由查找 DNS 服务器,防止输错命令时长时间等待 NO.2 R1(config-line)#logging synchronous Router#relo *Mar 1 00:09:54.055: %SYS-5-CONFIG_I: Configured from console by console 输 入 reload 命令,但是却被打断了,是比较烦躁的事,使用 logging synchronous 后就不会有这样 的情况发生
ip address 192.168.1.1 255.255.255.0
--------------------设置端口等级
!
interface Ethernet0/0
switchport access vlan 2 ---------------------------------------- 设 置 端 口
asa5505(config-if)# switchport access vlan 3 ------------------ 接 口 e0/3 加 入
vlan3
asa5505(config)# interface vlan 3 ------------------进入 vlan3
asa5505(config-if)#
VLAN 与 VLAN2 绑定
!
interface Ethernet0/1
switchport access vlan 3 ---------------------------------------- 设 置 端 口
VLAN 与 VLAN3 绑定
!
interface Ethernet0/2
shutdown
ip address X.X.X.X 255.255.255.224
--------------------调试外网地址
!
interface Vlan3
nameif inside ----------------------------------------对端口命名内端口
security-level 100 ----------------------------------------调试外网地址
asa5505(config-if)# show switch vlan ------------------验证配置
6.最大传输单元 MTU
asa5505(config)#mtu inside 1500 ------------------inside 最大传输单元
1500 字节 asa5505(config)#mtu outside 1500 ------------------outside 最大传输单元 1500 字 节
192.168.1.100-192.168.1.199
inside
------------------设置 DHCP 服务器地址池
dhcpd dns 211.99.129.210 202.106.196.115 interface inside ------------------
设置 DNS 服务器到内网端口
ip
address
10.10.10.36
255.255.255.224
------------------vlan3 配置 IP
asa5505(config-if)# nameif dmz ------------------vlan3 名
asa5505(config-if)# no shutdown ------------------开启
dhcpd
enable
inside
-------------------------------------------------------------- 设 置 DHCP
应用到内网端口
!
前几天去客户那调试 CISCO-ASA-5505 设备,第一次摸,跟 PIX 一样,呵呵.没有技术含量,都是最
asa5505(config)# enable password cisco ------------------特权模式密码