CISCO 5520防火墙配置实例
本人在项目中已经两次接触到思科5500系列防火墙的配置应用了,根据项目的需求不同,详细的配置也不一样,因此汇总了一个通用版本的思科5500系列防火墙的配置,不详之处,请各位大虾给予指点,谢谢!
CD-ASA5520# show run : Saved :
ASA Version (2) !
hostname CD-ASA5520&nb sp; //给防火墙命名
enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard !
interface GigabitEthernet0/0 //内网接口:
duplex full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名 :内部接口inside
security-level 100 //设置安全级别 0~100 值越大越安全 !
interface GigabitEthernet0/1 //外网接口
nameif outside //为外部端口命名 :外部接口outside
security-level 0 !
interface GigabitEthernet0/2 nameif dmz security-level 50 !
interface GigabitEthernet0/3 shutdown no nameif
no security-level no ip address !
interface Management0/0 //防火墙管理地址 shutdown no nameif
no security-level no ip address !
passwd encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS
access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表
access-list outside_permit extended permit tcp any interface outside range 30000 30010
//允许外部任何用户可以访问outside 接口的30000-30010的端口。 pager lines 24
logging enable //启动日志功能 logging asdm informational
mtu inside 1500 内部最大传输单元为1500字节 mtu outside 1500 mtu dmz 1500
//定义一个命名为vpnclient的IP地址池,为remote用户分配IP地址 no failover
icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/ no asdm history enable
arp timeout 14400 //arp空闲时间为14400秒
global (outside) 1 interface //由于没有配置NAT 故这里是不允许内部用户上INTERNET
//端口映射 可以解决内部要公布的服务太多,而申请公网IP少问题。
access-group outside_permit in interface outside //把outside_permit控制列表运用在外部接口的入口方向。
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute
------------定义一个命名为vpnclient的组策略------------------------- group-policy vpnclient internal //创建一个内部的组策略。 group-policy vpnclient attributes //设置vpnclient组策略的参数
vpn-idle-timeout none //终止连接时间设为默认值 vpn-session-timeout none //会话超时采用默认值
vpn-tunnel-protocol IPSec //定义通道使用协议为IPSEC。 split-tunnel-policy tunnelspecified //定义。 default-domain value //定义默认域名为
------------定义一个命名为l2lvpn的组策略------------------------- group-policy l2lvpn internal group-policy l2lvpn attributes
vpn-simultaneous-logins 3 vpn-idle-timeout none vpn-session-timeout none vpn-tunnel-protocol IPSec
username test password P4ttSyrm33SV8TYp encrypted privilege 0 //创建一个远程访问用户来访问安全应用
username cisco password 3USUcOPFUiMCO4Jk encrypted http server enable //启动HTTP服务
no snmp-server location no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart //snmp的默认配置
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac //配置转集(定义了IPSC隧道使用的加密和信息完整性算法集合) crypto dynamic-map vpn_dyn_map 10 set transform-set ESP-DES-MD5