2014年2月26日星期三

Cisco ASA5520防火墙配置实例

Cisco ASA5505属低端产品,适用于小型企业,且只能用虚拟接口。
网络拓扑:
路由直连外网和防火墙;
防火墙直连内网和DMZ区。
1、主机名,域名和密码设置。
2、配置接口IP,并激活。
3、配置路由,启用NAT(网络地址转换,nat address translate).
4、配置远程管理接入。
5、为出站流量配置NAT。
6、配置ACL。
------------华丽的分豁线------------
主机名,域名和密码设置。
>eable //进入特权模式
#config terminal //进入全局配置模式
(config)#hostname fengxy //配置主机名
(config)#domain-name fengxy.org //配置域名
(config)#enable password 112223 //配置特权密码
(config)#passwd //配置远程登陆密码
(config#int E0/1 //进入接口配置模式
(config-if)#nameif lvluo //配置接口名,这个是必须的,否则不能通讯,可设置默认的inside,outside,安全级别为100
(config-if)#security-level 100 //配置安全级别,最高为100,最低为0,一般内网为100,外网为0。
(config-if)#ip add 192.168.201.1 255.255.255.0 //配置接口IP
(config-if)#no shutdonw 激活接口
(config-if)#exit
(config)#show ip interface ip brief //查看端口.cisco路由器查看端口命令是:show ip interface brief。
(config)#show interface E0/0 //查看具体端口。
配置静态路由
语法#route inerface-name nerwork mask next-hop-adderss(下一跳地址,网关)
如:#route outside 0.0.0.0 0.0.0.0 210.10.10.1 //通过outside接口到达 外部任何网段的网关是210.10.10.1
#show route //查看路由
------------华丽的分豁线------------
配置telnet接入
语法:#telnet ip mask interface-name //允许ip,mask (网段,或一个IP)通过interface-name 接入telnet
例:#telnet 192.168.2.0 255.255.255.0 inside //允许从inside端口过来的网段为192.168.2.0的用户telnet
#telnet 192.168.2.88 255.255.255.0 inside
//允许从inside端口过来的IP为192.168.2.88的用户telnet
------------华丽的分豁线------------
配置SSH接入 (SSH为加密传输方式,telnet为明文传输方式)
#crypto key generate rsa modulus 1024 //生成RSA密钥对
#ssh 192.168.201.0 255.255.255.0 inside //允许从inside端口过来的网段为192.168.201.0的用户SSH
#ssh 0 0 outsied //允许从outside端过来的任意IP用户
#ssh timeout 30 //ssh连接超时的时间为30分钟
#ssh version 2 //设置版本号。不知道这个有什么用。。。。
------------华丽的分豁线------------
配置ASDM(自适应安全设备管理)接入 //在这里主要是说开启web管理
#http server enable [port] //启用防火墙https服务器功能
例:#http server enable 60123
#http 网段/IP mask interface-name //配置允许https接入
例:#http 0 0 outsied //允许从outside端过来的任意IP用户使用https
#asdm image disk0:/asdmfile //指定image地址。 image地址和文件名可用#show running config查询。
#username lvluo password lvluopassword privilege 15
//配置客户端登陆用户名、密码和权限。privilege最高限为15。
//在客户机上需要安装JRE,或者客户端软件才能使用ASDM。
------------华丽的分豁线------------
为出站流量配置NAT(网络地址转换)
#nat (interface-name) nat-id local-ip mask //指定什么流量需要地址转换
#global (interface-name) nat-id {global-ip[global-ip|interface]} //定义一个全局地址池
例:
#nat-control //确认使用nat
#nat (inside) 1 0 0 //定义内部,内部地址范围是内部任意地址,(外部地址编号)nat-id是1,内部接口inside
#global (outside) 1 int //定义外部,外部地址范围是interface,即,解析到接口上的IP,外部接口outside
#global (dmz) 1 192.168.202.100-192.168.202.110 //外部接口dmz,转换地址范围是192.168.202.100-192.168.202.110
------------华丽的分豁线------------
为ASA配置ACL访问控制列表
(config)#access-list lvluoacl standard {permit|deny} ip-address mask //标准访问列表
(config)#access-list lvluoacl extended {permit|deny} protocal src-ip-address src-mask des-ip-address des-mas [operator port] //扩展访问列表;protocal协议类型,不写表示全部协议。
(config)# lvluoacl {in|out} interface interface-name //应用访问列表lvluo
例:(config)#access-list in-to-out deny ip 192.168.201.0 255.255.255.240 any //阻止(源)192.168.201.0 255.255.255.240 访问其他任意网络
(config)#access-list in-to-out permit ip any any //允许任意IP访问任意IP
(config)#access-group in-to-out in int inside //应用访问列表 in/out(方向)看接口
------------华丽的分豁线------------
配置静态NAT(发布内网服务器)
(config)#static (real-inerface,mapped-interface) mapped-ip real-ip
例:
(config)#static(dmz,outside) 210.10.10.253 192.168.202.1 //真实接口dmz,映射接口outside
(config)#access-list out-to-dmz permit tcp any host 210.10.10.253 eq www
//允许任何IP访问210.10.10.253的80端口(eq www) 实际IP在dmz区的192.168.202.1。
(config)#access-group out-to-dmz in int outside
------------华丽的分豁线------------
ICMP协议
(config)#access-list 111 permit icmp any any echo-reply //允许ping应答
(conifg)#access-lsit 111 permit icmp any any unerachable //???
(config)#access-lsit 111 permit icmp any aany time-exceeded //???
(config)#access-group 111 in int outside
------------华丽的分豁线------------
#write memory
#copy running-config startup-config
//保存配置
(config)#clear configure all //清除所有配置
(config)#clear configure command[level2command] //清除部分配置

没有评论:

发表评论