CiscoASA防火墙详细图文配置实例

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

Cisco ASA 防火墙图文配置实例

本文是基于ASA5540 和ASA5520 的配置

截图所做的一篇配置文档，从最初始的配置开始：

1、连接防火墙登陆

与其他的Cisco 设备一样，用Console 线连接到防火墙，初始特权密码为空。

2、配置内部接口和IP 地址

进入到接口配置模式，配置接口的IP 地址，并指定为inside。防火墙的地址配置好后，进行测试，确认可以和防火墙通讯。

3、用dir 命令查看当前的Image 文件版本。

4、更新Image 文件。

准备好TFTP 服务器和新的Image 文件，开始更新。

5、更新ASDM。

6、更新完成后，再用dir 命令查看

7、修改启动文件。以便于ASA 防火墙能够从新的Image 启动

8、存盘，重启

9、用sh version 命令验证启动文件，可以发现当前的Image 文件

就是更新后的

10、设置允许用图形界面来管理ASA 防火墙

表示内部接口的任意地址都可以通过http 的方式来管理防火墙。11、打开浏览器，在地址栏输入防火墙内部接口的IP 地址

选择“是”按钮。

12、出现安装ASDM 的画面

选择“Install ASDM Launcher and Run ASDM”按钮，开始安装过程。

13、安装完成后会在程序菜单中添加一个程序组

14、运行ASDM Launcher，出现登陆画面

15、验证证书

单击“是”按钮后，开始登陆过程

16、登陆进去后，出现防火墙的配置画面，就可以在图形界面下完

成ASA 防火墙的配置

17、选择工具栏的“Configuration”按钮

18、选择“Interface”，对防火墙的接口进行配置，这里配置g0/3

接口

选择g0/3 接口，并单击右边的“Edit”按钮

19、配置接口的IP 地址，并将该接口指定为outside

单击OK 后，弹出“Security Level Change”对话框，单击OK 20、编辑g0/1 接口，并定义为DMZ 区域

21、接口配置完成后，要单击apply 按钮，以应用刚才的改变，这

一步一定不能忘

22、设置静态路由

单击 Routing->Static Route->Add

23、设置enable 密码

24、允许ssh 方式登录防火墙

25、增加用户

定义ssh 用本地数据库验证

26、用ssh 登录测试

登录成功

27、建立动态NAT 转换

选择Add Dynamic NAT Rule

Interface 选择inside，Source 处输入any 单击Manage 按钮

单击add，增加一个地址池

Interface 选择Outside，选择PAT，单击Add 按钮

单击OK

完成了添加动态NAT 转换

28、静态NAT 转换

由于笔者2009 年离开了原单位，有些配置的截图没有做，新单位又没有ASA 防火墙，只好参考《ASA8.0/ASDM6.0 测试报告》的截图

和文档来完成本文，并将该文档中部分常用的配置联接在本文后，对

该文的作者表示感谢。关于在ASA 上配置IPSec VPN 和SSL VPN 的截图都没有，所以本文中就只好省略掉这一部分了。

为172.16.1.10 添加静态NAT 转换。

29、免除NAT

当穿过防火墙的访问某些区域而不需要进行NAT 转换时就需要用到免除NAT 功能。如为inside 访问DMZ 区域的服务器时就不需要进行NAT 转换，这时就可以配置免除NAT。

以下为《ASA8.0/ASDM6.0 测试报告》文档的部分内容，对原文档中的序号等未作修改。

7定义安全策略

注意缺省情况下高安全级别到低安全级别安全策略是允许通过的，所

以inside到ouside，DMZ到ouside不用设置安全策略流量就可以

通过

此时我们只需要建立outside到DMZ的HTTP server

（172.16.1.10）的安全策略