好文档 - 专业文书写作范文服务资料分享网站

防火墙配置实例

天下 分享 时间: 加入收藏 我要投稿 点赞

CISCO 5520防火墙配置实例

本人在项目中已经两次接触到思科5500系列防火墙的配置应用了,根据项目的需求不同,详细的配置也不一样,因此汇总了一个通用版本的思科5500系列防火墙的配置,不详之处,请各位大虾给予指点,谢谢!

CD-ASA5520# show run : Saved :

ASA Version (2) !

hostname CD-ASA5520&nb sp; //给防火墙命名

enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard !

interface GigabitEthernet0/0 //内网接口:

duplex full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名 :内部接口inside

security-level 100 //设置安全级别 0~100 值越大越安全 !

interface GigabitEthernet0/1 //外网接口

nameif outside //为外部端口命名 :外部接口outside

security-level 0 !

interface GigabitEthernet0/2 nameif dmz security-level 50 !

interface GigabitEthernet0/3 shutdown no nameif

no security-level no ip address !

interface Management0/0 //防火墙管理地址 shutdown no nameif

no security-level no ip address !

passwd encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS

access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表

access-list outside_permit extended permit tcp any interface outside range 30000 30010

//允许外部任何用户可以访问outside 接口的30000-30010的端口。 pager lines 24

logging enable //启动日志功能 logging asdm informational

mtu inside 1500 内部最大传输单元为1500字节 mtu outside 1500 mtu dmz 1500

//定义一个命名为vpnclient的IP地址池,为remote用户分配IP地址 no failover

icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/ no asdm history enable

arp timeout 14400 //arp空闲时间为14400秒

global (outside) 1 interface //由于没有配置NAT 故这里是不允许内部用户上INTERNET

//端口映射 可以解决内部要公布的服务太多,而申请公网IP少问题。

access-group outside_permit in interface outside //把outside_permit控制列表运用在外部接口的入口方向。

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute

------------定义一个命名为vpnclient的组策略------------------------- group-policy vpnclient internal //创建一个内部的组策略。 group-policy vpnclient attributes //设置vpnclient组策略的参数

vpn-idle-timeout none //终止连接时间设为默认值 vpn-session-timeout none //会话超时采用默认值

vpn-tunnel-protocol IPSec //定义通道使用协议为IPSEC。 split-tunnel-policy tunnelspecified //定义。 default-domain value //定义默认域名为

------------定义一个命名为l2lvpn的组策略------------------------- group-policy l2lvpn internal group-policy l2lvpn attributes

vpn-simultaneous-logins 3 vpn-idle-timeout none vpn-session-timeout none vpn-tunnel-protocol IPSec

username test password P4ttSyrm33SV8TYp encrypted privilege 0 //创建一个远程访问用户来访问安全应用

username cisco password 3USUcOPFUiMCO4Jk encrypted http server enable //启动HTTP服务

no snmp-server location no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart //snmp的默认配置

crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac //配置转集(定义了IPSC隧道使用的加密和信息完整性算法集合) crypto dynamic-map vpn_dyn_map 10 set transform-set ESP-DES-MD5

防火墙配置实例

CISCO5520防火墙配置实例本人在项目中已经两次接触到思科5500系列防火墙的配置应用了,根据项目的需求不同,详细的配置也不一样,因此汇总了一个通用版本的思科5500系列防火墙的配置,不详之处,请各位大虾给予指点,谢谢!CD-ASA5520#showrun:Saved:ASAVersion(2)!hos
推荐度:
点击下载文档文档为doc格式
2wbwg9405g7b3ef97wu606i7k4ff8500zgy
领取福利

微信扫码领取福利

微信扫码分享