好文档 - 专业文书写作范文服务资料分享网站

CISCO_ASA5510_防火墙配置手册

天下 分享 时间: 加入收藏 我要投稿 点赞

CISCO ASA5510 防火墙配置手册

一. 密码配置

1.telnet密码

Ciscoasa(config)#passwd 123 (用于telnet登陆ASA的密码) 2.enable密码

Ciscoasa(config)#enable password 456 (进入enable特权模式的密码) 3.设备命名

Ciscoasa(config)#hostname wy-ciscoasa 二. 接口配置

2.1接口命名

Ciscoasa(config)#interface Ethernet0/0

Ciscoasa(config-if)#nameif outside 一般的情况将E0/0命为外网接口,而将E0/1命为内网接口。 2.2配置接口安全级别

Ciscoasa(config-if)#security-level 100 (100指权限,数字越高权限越高) 2.3配置IP地址

Ciscoasa(config-if)#ip address 219.139.*.* 2.4关闭/激活接口

Ciscoasa(config-if)#shutdown/no shutdown 三. 静态路由配置

Ciscoasa(config)#route inside 192.168.3.0 255.255.255.0 192.168.10.1 意思为:在inside接口上创建一条到192.168.3.0/24 网络走192.168.10.1 的路由,ASA会将到192.168.3.0/24网络的所有数据包转发给下一条192.168.10.1

Ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 219.139.50.1

创建一条外网默认路由,ASA将所有互联网流量转发给internet网关219.139.50.1

四. 网络地址转换(NAT)配置

4.1NAT的简介

NAT实现的方式有三种:动态NAT 、静态NAT、PAT

动态NAT:指将内部网络私有IP地址转换为公有IP地址,IP地址不确定,是随机的,所有被授权访问intelnet的私有IP地址可随机转换为任何指定合法IP地址。

静态NAT:指IP地址一对一的转换。

PAT:指改变外出数据包的源端口并进行端口转换。内部所有网络均可以共享一个合法外部IP地址实现对intelnet的访问,从而可以最大限度节约IP地址资源。同时,又可以隐藏网络内部的所有主机,有效避免来自己intelnet的攻击。因此,武英项目做NAT时推荐用PAT。 4.2动态NAT的配置

Ciscoasa(config)#nat (inside) 1 192.168.3.0 255.255.0.0 将网络接口为172.16.0.0/16网络激活NAT

Ciscoasa(config)#global(outside) 1 219.139.50.40-219.139.*.* netmask 255.255.255.0

将把来自insid接口1291.68.3.0/24网络的地址动态转换为219.139.50.40-219.139.*.*的地址。 4.3静态NAT的配置

Ciscoasa(config)#nat (inside) 2 192.168.16.254 255.255.255.255 将此地址激活NAT

Ciscoasa(config)#global 2 219.139.*.* 255.255.255.0 将192.168.16.254这个地址转换为219.139.*.* 4.4 PAT配置

Ciscoasa(config)#nat (inside) 3 192.168.16.0 255.255.0.0 将此地址激活NAT

Ciscoasa(config)#global (outside) 3 interface(这个是电信只提供了一个IP时可以这样做,所有内网共享一个IP上网) 4.5端口映射的配置

4.5.1 什么时候要做端口映射

当外网需要访问内网中的一台服务器时,ASA并不知道访问的是哪

一台内网中的机器,这时就需要做静态的端口映射。 4.5.2端口映射的配置

语法:Ciscoasa(config)#access-list list-name extended permit tcp/udp any hsot outside_address eq port_num list_name:访问控制列表名称 tcp/udp:需要映射的协议类型 port_num:需要映射的端口号

Ciscoasa(config)#static (inside,outside) tcp/udp interface port_num local_address port_num netmask 255.255.255.255 Tcp/udp:需要映射的协议类型 port_num:映射前的端口号

local_address:映射后的内网主机IP地址 port_num:映射后的端口号

例如:Ciscoasa(config)#access-list 100 extended permit tcp any host 219.139.*.* eq 80

允许外网访问219.139.*.*的tcp 80端口

Ciscoasa(config)#static (inside,outside) tcp interface 80 192.168.16.254 80 netmask 255.255.255.255

外网访问218.21.217.162的tcp 80端口时启用静态PAT映射到内网192.168.16.254的tcp 80端口

Ciscoasa(config)#access-group 100 in intercae outside per-user-override 访问必须调用ACL

备注如果,只是需要将内网一个服务器映射到公网可以这样做 ciscoasa(config)#static (inside, outside) 219.139.*.* 192.168.16.254

ciscoasa(config)#static (inside, outside) 219.139.*.* 192.168.16.254 10000 10 //后面的10000为限制连接数,10为限制的半开连接数。 五 访问控制列表(ACL)配置

5.1 配置访问控制列表的一般步骤 配置访问控制列表

接口方向的调用 5.2 标准访问控制列表

语法 ciscoasa(config)#access-list list_name standard deny/permit des_address netmask

list_name:标准访问控制列表的名称(1-99) deny/permit:阻止或是允许符合此条规则的流量 des_address :需要做控制的目的地址 netmask:需要做控制的目的地址的掩码

ciscoasa(config)#access-group list_name in/out interface interface_name in/out:标准访问控制列表的名称 interface_name:调用控制列表的接口名 5.3 扩展访问控制列表

ciscoasa(config)#access-list list-name extended deny/permit tcp/udp sour_address sour_mask des_address des_mask eq port_num list-name:扩展访问控制列表名称

deny/permit:拒绝/允许符合此条规则的流量 tcp/udp:此条规则匹配的协议 sour_address:此条规则匹配的源地址 sour_mask:此条规则匹配的源地址掩码 des_address:此条规则匹配目的地址 des_mask:此条规则匹配目的地址掩码 port_num:此条规则匹配的端口号

ciscoasa(config)#access-group list_name in/out interface interface_name in/out:调用接口的入与出口向

interface_name:调用控制列表的接口名

例句1:ciscoasa(config)# access-list 400 extended deny udp 192.168.3.0 255.255.255.0 192.168.16.254 255.255.255.255 eq 80

阻止源地址192.168.3.0/24 网段对目的地址192.168.16.254 主机 ciscoasa(config)#access-group 400 in interface inside

六 ASA防火墙工作状态调试

6.1 查看当前ASA配置 Ciscoasa# show running-config

查看CPU得用率:show cpu usage(正常应该在80%以下) 内存使用:

Ciscoasa#show memory Xlate 表大小

Ciscoasa#show conn count 端口状态

Ciscoasa#show interface interface_name 6.2 验证防火墙的连接性 Ping

Ciscoasa#ping ip_address(ip地址) 查看路由表 Ciscoasa#show route ASA防火墙ACL检查 Ciscoasa#show access-list

CISCO ASA具体配置如下:

: Saved

: Written by enable_15 at 01:00:46.039 UTC Tue Sep 21 2010 !

ASA Version 8.2(1) !

hostname wy-asazlzzx

enable password kt7r2AarZ0QwX7lH encrypted passwd PLBb27eKLE1o9FTB encrypted names !

CISCO_ASA5510_防火墙配置手册

CISCOASA5510防火墙配置手册一.密码配置1.telnet密码Ciscoasa(config)#passwd123(用于telnet登陆ASA的密码)2.enable密码Ciscoasa(config)#enablepassword456(进入enable特权模式
推荐度:
点击下载文档文档为doc格式
5yhy29r0hm3fmdy9ul8q7b8vd5385a00y2b
领取福利

微信扫码领取福利

微信扫码分享