ASA防火墙疑难杂症与Cisco ASA 防火墙配置

? 用ACL定义的NAT和PAT ? 更加灵活

? 命令

? Policy nat : static (real_interface,mapped_interface) {mapped_ip |

interface}access-list acl_name

? Policy pat : static (real_interface,mapped_interface) {tcp | udp} {mapped_ip

|interface} mapped_port access-list acl_name

? 举例

? hostname(config)# access-list NET1 permit ip access-list NET2 permit ip

nat (inside) 1 access-list NET1

? hostname(config)# global (outside) 1 nat (inside) 2 access-list NET2

hostname(config)# global (outside) 2 地址表超时

? 地址转换表超时

? 查看命令：show run timeout xlate ? 默认超时为3小时

? 设置命令：timeout xlatehh:mm:ss ? 清除当前表：clear xlat

? 在重新配置了NAT后，如果不重启，只有等到当前表超时才能生效，可以

强制清除表，但此时的连接都将中断

? 连接超时

? 查看命令: show run timeout conn ? 默认超时为1小时

? 设置命令：timeout conn hh:mm:ss ? 清除当前连接：clear conn

? 清除当前连接，当前的连接都将中断

ACL访问控制

? ACL访问控制

? 权限列表，定义外网数据包是否可以进入 ? Deny 优先

? 配合NAT, Static等命令使用

? 内网一般配置成允许所有，外网需要根据实际情况配置

? 命令

? access-list access_list_name [line line_number] [extended]{deny | permit}

protocol source_address mask [operator port] dest_address mask [operator port | icmp_type] [inactive]

? 与接口绑定： access-group access_list_name in/out interface if_name

ACL访问控制

? 举例

? access-list ACL_IN extended permit ip any any

? access-list ACL_IN extended permit ip alout extended permit tcp any

interface outside eq 3389

? access-list alout extended permit tcpany host eq 3389 ? Access-group alout in interface outside

高级配置

? 对象组

? 应用层协议检查 ? AAA认证 ? VPN配置 对象组

? 对象组（Object-group）

? 对其它命令（NAT、access-listd等)用到类似的对象进行的分组 ? 有四种类型的对象组

? icmp-type Specifies a group of ICMP types, such as echo ? network Specifies a group of host or subnet IP addresses ? protocol Specifies a group of protocols, such as TCP, etc ? service Specifies a group of TCP/UDP ports/services

? 命令

? Object-group grpTypegrpName ? description 组描述

? group-object 组中嵌套别的组

? network-object 具体的一个Object定义，这里举network类型的情况

对象组

? 举例

? Object-group network grpNetWork

? network-object alout permit tcp object-group grpNetWork any

应用层协议检查

? 应用层协议检查

? 除使用当前连接，还需要协商使用其它端口的协议。如ftp/tftp, sip, rtsp ? 一定程度代替端口映射的工作 ? 实现了防火墙穿越

? 命令

? policy-map global_policy ? class inspection_default ? inspect ftp/no inspect ftp

其它

? 配置查看

? show 命令

? show startup-config查看启动配置

? show running-config [all] 查看当前配置all,显示默认配置

? 配置保存

? Write memory

? 重新启动：reload/reboot

? 单项配置查看

? Show 单项名称如: show access-list ? Show run 单项名称如：show run static