CISCO_ASA5510_防火墙配置手册

由天下分享时间：2024/10/17 2:56:44 加入收藏我要投稿点赞

CISCO ASA5510 防火墙配置手册

一．密码配置

1.telnet密码

Ciscoasa(config)#passwd 123 (用于telnet登陆ASA的密码) 2.enable密码

Ciscoasa(config)#enable password 456 (进入enable特权模式的密码) 3.设备命名

Ciscoasa(config)#hostname wy-ciscoasa 二．接口配置

2.1接口命名

Ciscoasa(config)#interface Ethernet0/0

Ciscoasa(config-if)#nameif outside 一般的情况将E0/0命为外网接口，而将E0/1命为内网接口。 2.2配置接口安全级别

Ciscoasa(config-if)#security-level 100 (100指权限，数字越高权限越高) 2.3配置IP地址

Ciscoasa(config-if)#ip address 219.139.*.* 2.4关闭/激活接口

Ciscoasa(config-if)#shutdown/no shutdown 三．静态路由配置

Ciscoasa(config)#route inside 192.168.3.0 255.255.255.0 192.168.10.1 意思为：在inside接口上创建一条到192.168.3.0/24 网络走192.168.10.1 的路由，ASA会将到192.168.3.0/24网络的所有数据包转发给下一条192.168.10.1

Ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 219.139.50.1

创建一条外网默认路由，ASA将所有互联网流量转发给internet网关219.139.50.1

四．网络地址转换（NAT）配置

4.1NAT的简介

NAT实现的方式有三种：动态NAT 、静态NAT、PAT

动态NAT：指将内部网络私有IP地址转换为公有IP地址，IP地址不确定，是随机的，所有被授权访问intelnet的私有IP地址可随机转换为任何指定合法IP地址。

静态NAT：指IP地址一对一的转换。

PAT：指改变外出数据包的源端口并进行端口转换。内部所有网络均可以共享一个合法外部IP地址实现对intelnet的访问，从而可以最大限度节约IP地址资源。同时，又可以隐藏网络内部的所有主机，有效避免来自己intelnet的攻击。因此，武英项目做NAT时推荐用PAT。 4.2动态NAT的配置

Ciscoasa(config)#nat (inside) 1 192.168.3.0 255.255.0.0 将网络接口为172.16.0.0/16网络激活NAT

Ciscoasa(config)#global(outside) 1 219.139.50.40-219.139.*.* netmask 255.255.255.0

将把来自insid接口1291.68.3.0/24网络的地址动态转换为219.139.50.40-219.139.*.*的地址。 4.3静态NAT的配置

Ciscoasa(config)#nat (inside) 2 192.168.16.254 255.255.255.255 将此地址激活NAT

Ciscoasa(config)#global 2 219.139.*.* 255.255.255.0 将192.168.16.254这个地址转换为219.139.*.* 4.4 PAT配置

Ciscoasa(config)#nat (inside) 3 192.168.16.0 255.255.0.0 将此地址激活NAT

Ciscoasa(config)#global (outside) 3 interface(这个是电信只提供了一个IP时可以这样做，所有内网共享一个IP上网) 4.5端口映射的配置

4.5.1 什么时候要做端口映射

当外网需要访问内网中的一台服务器时，ASA并不知道访问的是哪

一台内网中的机器，这时就需要做静态的端口映射。 4.5.2端口映射的配置

语法：Ciscoasa(config)#access-list list-name extended permit tcp/udp any hsot outside_address eq port_num list_name:访问控制列表名称 tcp/udp:需要映射的协议类型 port_num:需要映射的端口号

Ciscoasa(config)#static (inside,outside) tcp/udp interface port_num local_address port_num netmask 255.255.255.255 Tcp/udp:需要映射的协议类型 port_num：映射前的端口号

local_address：映射后的内网主机IP地址 port_num：映射后的端口号

例如：Ciscoasa(config)#access-list 100 extended permit tcp any host 219.139.*.* eq 80

允许外网访问219.139.*.*的tcp 80端口

Ciscoasa(config)#static (inside,outside) tcp interface 80 192.168.16.254 80 netmask 255.255.255.255

外网访问218.21.217.162的tcp 80端口时启用静态PAT映射到内网192.168.16.254的tcp 80端口

Ciscoasa(config)#access-group 100 in intercae outside per-user-override 访问必须调用ACL

备注如果，只是需要将内网一个服务器映射到公网可以这样做 ciscoasa(config)#static (inside, outside) 219.139.*.* 192.168.16.254

ciscoasa(config)#static (inside, outside) 219.139.*.* 192.168.16.254 10000 10 //后面的10000为限制连接数，10为限制的半开连接数。五访问控制列表（ACL）配置

5.1 配置访问控制列表的一般步骤配置访问控制列表

接口方向的调用 5.2 标准访问控制列表

语法 ciscoasa(config)#access-list list_name standard deny/permit des_address netmask

list_name:标准访问控制列表的名称（1-99） deny/permit：阻止或是允许符合此条规则的流量 des_address ：需要做控制的目的地址 netmask:需要做控制的目的地址的掩码

ciscoasa(config)#access-group list_name in/out interface interface_name in/out:标准访问控制列表的名称 interface_name:调用控制列表的接口名 5.3 扩展访问控制列表

ciscoasa(config)#access-list list-name extended deny/permit tcp/udp sour_address sour_mask des_address des_mask eq port_num list-name:扩展访问控制列表名称

deny/permit:拒绝/允许符合此条规则的流量 tcp/udp：此条规则匹配的协议 sour_address：此条规则匹配的源地址 sour_mask：此条规则匹配的源地址掩码 des_address：此条规则匹配目的地址 des_mask：此条规则匹配目的地址掩码 port_num：此条规则匹配的端口号

ciscoasa(config)#access-group list_name in/out interface interface_name in/out:调用接口的入与出口向

interface_name：调用控制列表的接口名

例句1：ciscoasa(config)# access-list 400 extended deny udp 192.168.3.0 255.255.255.0 192.168.16.254 255.255.255.255 eq 80

阻止源地址192.168.3.0/24 网段对目的地址192.168.16.254 主机 ciscoasa(config)#access-group 400 in interface inside

六 ASA防火墙工作状态调试

6.1 查看当前ASA配置 Ciscoasa# show running-config

查看CPU得用率：show cpu usage(正常应该在80%以下) 内存使用：

Ciscoasa#show memory Xlate 表大小

Ciscoasa#show conn count 端口状态

Ciscoasa#show interface interface_name 6.2 验证防火墙的连接性 Ping

Ciscoasa#ping ip_address(ip地址) 查看路由表 Ciscoasa#show route ASA防火墙ACL检查 Ciscoasa#show access-list

CISCO ASA具体配置如下：