Cisco ASA5520防火墙配置

Cisco ASA5520防火墙配置 前言

? 主要从防火墙穿越的角度，描述Cisco ASA5520防火墙的配置 ? 对Pix ASA系列防火墙配置具有参考意义 内容

? 防火墙与NAT介绍 ? 基本介绍 ? 基本配置 ? 高级配置 ? 其它 ? 案例

防火墙与NAT介绍

? 防火墙

? 门卫

? NAT ? 过道

? 区别

? 两者可以分别使用

? Windows有个人防火墙

? Windows有 Internet Connect sharing服务 ? 一般防火墙产品，同时带有NAT

基本介绍

? 配置连接 ? 工作模式 ? 常用命令 ? ASA5520介绍 配置连接

? 初次连接

? 使用超级终端登陆Console口 ? Cicso的波特率设置为9600

? Telnet连接

? 默认不打开，在使用Console配置后，可以选择开启 ? 开启命令： telnet ip_address netmask if_name ? 连接命令： telnet 192.168.1.1

? ASA5520默认不允许外网telnet,开启比较麻烦

? ASDM连接

? 图形界面配置方式

? SSH连接 工作模式

? 普通模式

? 连接上去后模式

? 进入普通模式需要有普通模式密码 ? Enable 进入特权模式，需要特权密码

? 特权模式

? Config terminal 进入配置模式

? 配置模式 ? 模式转换

? exit 或者 ctrl-z退出当前模式，到前一模式 ? 也适用于嵌套配置下退出当前配置

常用命令

? 命令支持缩写，只要前写到与其它命令不同的地方即可

? config terminal = conf term = conf t

? Tab键盘补全命令 ? ？ Or help 获取帮助

? 取消配置

? no 命令取消以前的配置

? Clear 取消一组配置，具体请查看 帮助

? 查看配置

? Show version

? show run [all] , write terminal ? Show xlat ? Show run nat ? Show run global ? 保存配置

? Write memory ASA5520介绍

? 硬件配置： ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz ? 1个Console口，一个Aux口，4个千兆网口 ? 支持并发：280000个 ? 支持VPN个数：150

? 支持双机热备、负载均衡

? 可以通过show version 查看硬件信息 基本配置

? 接口配置 ? NAT配置 ? ACL访问控制 接口配置

? 四个以太网口

? GigabitEthernet0/0、gig0/1、gig0/2、gig0/3 ? 进入接口配置: interface if_name

? 配置IP

? ip address ip_address [netmask] ? ip address ip_address dhcp

? ? ? ? ? ? ?

打开端口: no shutdown 配置安全级别

security-level [0-100]

数据从安全级别高的流向底的，不能倒流 倒流需要保安允许

所以外网一般配置为0，内网为100 配置别名

? 供其它命令引用 ? Nameif if_name

NAT

? NAT (Network Address Translate)

? NAT类型(与防火墙穿越提到的类型不相关）

? Dynamic NAT ? PAT

? Static NAT & Static PAT ? Identity NAT ? NAT exemption ? Policy NAT ? 地址表超时 NAT配置

? 普通NAT

? Dynamic NAT ? PAT

? NAT例外

? Static NAT ? Identity NAT ? NAT exemption ? Policy NAT

普通NAT

? 普通NAT，只允许内网先发起连接 ? 地址池配置

? global (if_name) natid start_addr-end_addr netmask

? 如：global (outside) 1 192.168.85.111-192.168.85.113 255.255.255.0 ? 定义了natid 1 和地址池 192.168.85.111-192.168.85.113 ? Dynamic NAT

? nat (real_ifc) nat_id inside_network outside_network ? 动态分配给内网一个独立的IP

? PAT

? PAT使用1个地址+65535个端口为内网提供地址转换 ? 地址池中只有一个值时，就是PAT

? 分配给内网连接一个固定IP和一个动态的端口

Static NAT

? Static NAT

? 允许外网先发起连接

? 是一个外网IP固定一个内网IP ? 可以称为IP映射

? 命令

? Static (internal_if_name, external_if_name) maped_addr real_addr ? Maped_addr 与 real_addr不相同

Static PAT

? Static PAT

? ? ?

? 命令

?

允许外网先发起连接

是一个内网IP+一个端口转换成一个固定的外网IP+固定的外网端口 可以称为端口映射

static (real_interface,mapped_interface) {tcp | udp} {mapped_ip |interface} mapped_port real_ip real_port [netmask mask]

Identity NAT

? Identity NAT

? 不使用地址转换，采用原地址出去 ? 只能内网发起连接

? 外网必须配置ACL permit才能先发起连接

? 命令

? NAT （real_if_name） 0 addr/network networkmask ? 如: nat (inside) 0 192.168.1.2 255.255.255.255

? Static Identity NAT

? 不使用地址转换，采用原地址出去 ? 内外网都可先发起连接

? 命令

? static (real_interface,mapped_interface) real_ip real_ip

NAT exemption

? NAT exemption

? Identity NAT和 ACL的混合，功能更加强大 ? 不使用地址转换，采用原地址出去 ? 内外网均可发起连接

? 命令

? 例1：access-list EXEMPT permit ip 10.1.2.0 255.255.255.0 any ? nat (inside) 0 access-list EXEMPT

? 例2：access-list NET1 permit ip 10.1.2.0 255.255.255.0 209.165.201.0 ? access-list NET1 permit ip 10.1.2.0 255.255.255.0 209.165.200.224 ? nat (inside) 0 access-list NET1

Policy NAT

? Policy NAT & Policy PAT

? 用ACL定义的NAT和PAT ? 更加灵活

? 命令

? Policy nat : static (real_interface,mapped_interface) {mapped_ip |

interface}access-list acl_name

? Policy pat : static (real_interface,mapped_interface) {tcp | udp} {mapped_ip

|interface} mapped_port access-list acl_name ? 举例

? hostname(config)# access-list NET1 permit ip 10.1.2.0 255.255.255.0

209.165.201.0 ? 255.255.255.224

? hostname(config)# access-list NET2 permit ip 10.1.2.0 255.255.255.0

209.165.200.224 ? 255.255.255.224

? hostname(config)# nat (inside) 1 access-list NET1

? hostname(config)# global (outside) 1 209.165.202.129 ? hostname(config)# nat (inside) 2 access-list NET2

? hostname(config)# global (outside) 2 209.165.202.130 地址表超时

? 地址转换表超时

? 查看命令： show run timeout xlate ? 默认超时为3小时

? 设置命令： timeout xlate hh:mm:ss ? 清除当前表： clear xlat

? 在重新配置了NAT后，如果不重启，只有等到当前表超时才能生效，可以强

制清除表，但此时的连接都将中断

? 连接超时

? 查看命令: show run timeout conn ? 默认超时为1小时

? 设置命令： timeout conn hh:mm:ss ? 清除当前连接： clear conn

? 清除当前连接，当前的连接都将中断

ACL访问控制

? ACL访问控制

? 权限列表，定义外网数据包是否可以进入 ? Deny 优先

? 配合NAT, Static等命令使用

? 内网一般配置成允许所有，外网需要根据实际情况配置

? 命令

? access-list access_list_name [line line_number] [extended]{deny | permit}

protocol source_address mask [operator port] dest_address mask [operator port | icmp_type] [inactive]

? 与接口绑定： access-group access_list_name in/out interface if_name

ACL访问控制

? 举例