cisco asa5510-K8防火墙实例教程

cisco ASA5510配置实例

2008年11月11日 07:52

ASA5510# SHOW RUN

: Saved

:

ASA Version 7.0(6)

!

hostname ASA5510

enable password 2KFQnbNIdI.2KYOU encrypted

names

dns-guard

!

interface Ethernet0/0 此接口为外部网络接口

nameif outside 设置为 OUTSIDE 外部接口模式

security-level 0 外部接口模式安全级别为最低 0

ip address 192.168.3.234 255.255.255.0 添加外部IP地址（一般为电信/网通提供）

!

interface Ethernet0/1此接口为内部网络接口

nameif inside设置为 INSIDE 内部接口模式

security-level 100内部接口模式安全级别最高为 100

ip address 10.1.1.1 255.255.0.0添加内部IP地址

!

interface Ethernet0/2 没用到

shutdown

no nameif

no security-level

no ip address

!

interface Management0/0

nameif management

security-level 100

ip address 192.168.1.1 255.255.255.0 没用，用网线连接管理的端口。management-only

!

passwd 2KFQnbNIdI.2KYOU encrypted

ftp mode passive

pager lines 24

logging asdm informational

mtu outside 1500

mtu inside 1500

mtu management 1500

no asdm history enable

arp timeout 14400

global (outside) 1 interface 一定要打表示 PAT端口扩展：“1”为其NAT ID nat (inside) 1 10.1.0.0 255.255.0.0 转换所有10.1.0.0 的内部地址

route outside 0.0.0.0 0.0.0.0 192.168.3.254 1 缺省路由

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00

timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

http server enable 打开http server

http 192.168.1.0 255.255.255.0 management 限定能通过http方式访问防火墙的机器

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5

ssh timeout 5

console timeout 0

dhcpd address 10.1.1.30-10.1.1.200 inside DHCP 自动提供分配范围为10.1.1.30－200

dhcpd address 192.168.1.2-192.168.1.254 management

dhcpd dns 192.168.0.1 DNS 添加：可以是电信网通提供直接添加，或者自己的DNS服务器地址。

dhcpd lease 3600

dhcpd ping_timeout 50

dhcpd domain suzhou.jy 域名

dhcpd enable inside 打开内部网段自动分配

dhcpd enable management

Cryptochecksum:6148633dac00f8f7a3418833f98d5ad4

access-group icmp_in in interface outside 这两句表示，

access-list icmp_in extended permit icmp any any 允许PING包发送或接收: end

关于CISCO asa5510防火墙端口映射配置

2009-05-21 14:18

先进思科防火墙，telnet 192.168.1.254

输入密码：

系统变成ciscoasa>

再输入en回车后

再次输入密码

系统变成ciscoasa#这个时候输入show running-config回车后

可以看到端口E0/0配的外网地址是多少，e0/配的内网地址是多少，和没有配的端口地址。还能看见访问列表access-list。再往下看可以看到具体的网络映射地址。可以看到公网地址的那个端口具体映射到内网地址的那个端口。

回到

ciscoasa#

后在里面输入conf t回车后变成

ciscoasa(config)#在到端口里面，再输入int e0/0命令后就到e0/0端口命令下面状态就变成

ciscoasa(config-if)#在此状态下再次输入

static (inside,outside) tcp 125.76.115.136 5222 192.168.1.132 5222 netmask 255.255.255.255

意思就是公网的5222端口映射到内网的192.168.1.132 的5222端口下面.这个时候命令符又变回

ciscoasa(config)#这个状态。这个时候你再次输入sh ru回车后就能看到自己编辑的端口映射了。然后再次做个访问列表。在

ciscoasa(config)#下面输入access-list outside-inside extended permit tcp any host 125.76.115.136 eq 5222

这个时候你就可以把内网的地址的5222端口映射到公网去了再输入wr写入并保存后，在输入exit就可以退出了

如果端口映射错了，也可以删除掉，具体做法是

在ciscoasa(config)#模式下输入no access-list outside-inside extended permit tcp any host 125.76.115.136 eq 5222就可以先将地址列表中的5222端口删除掉

再到ciscoasa(config)#进入e0/0端口下面输入 int e0/0模式就变成e0/0端口编辑状态下

cisco asa(asa5510 设置)防火墙的配置详解

2010-02-08 10:02