ASA配置笔记

合集下载

Asa配置大全

1、ASA基本配置静态路由：route outside 192.168.100.0 255.255.255.0 192.168.1.99配置允许telnet：telnet 192.168.10.0 255.255.255.0 inside配置telnet超时时间：telnet timeout 5配置本地认证telnet与console：aaa authentication telnet console LOCAL配置SSH生成密钥对：aaa authentication ssh console LOCALciscoasa(config)# crypto key generate rsaINFO: The name for the keys will be: <Default-RSA-Key>Keypair generation process begin. Please wait...ciscoasa(config)#配置允许SSH：ssh 192.168.10.0 255.255.255.0 inside配置允许ASDM管理：http server enablehttp 192.168.10.0 255.255.255.0 insideasdm image disk0:/asdm-602.binusername cisco password cisco privilege 15配置PAT：nat (inside) 1 192.168.10.0 255.255.255.0global (outside) 1 interface配置端口映射：access-list to_server extended permit tcp any host 192.168.1.99 eq wwwaccess-group to_server in interface outsidestatic (inside,outside) tcp interface www 192.168.10.98 www netmask 255.255.255.255配置ACL：access-list to_server extended permit tcp any host 192.168.1.99 eq wwwaccess-group to_server in interface outside配置允许ICMP穿越：policy-map global_policyclass inspection_defaultinspect icmp配置URL过滤：url-server (outside) vendor websense host 192.168.1.100 timeout 30 protocol TCP version 1 connections 5filter url http 192.168.10.0 255.255.255.0 0.0.0.0 0.0.0.0 allow日志管理：开启logging：logging enable开启console日志：logging console 7将日志发送到日志服务器：logging trap 7logging host inside 192.168.10.98配置IPS：ip audit name zxd info action alarmip audit name cisco attack action alarmip audit interface outside zxdip audit interface outside cisco2、VPN配置ASA IPSec L2L配置：access-list nonat extended permit ip 192.168.10.0 255.255.255.0 192.168.100.0 255.255.255.0 nat (inside) 0 access-list nonatcrypto ipsec transform-set cisco esp-des esp-nonecrypto map cisco 10 match address nonatcrypto map cisco 10 set peer 192.168.1.96crypto map cisco 10 set transform-set ciscocrypto map cisco interface outsidecrypto isakmp enable outsidecrypto isakmp policy 1authentication pre-shareencryption deshash shagroup 1tunnel-group 192.168.1.96 type ipsec-l2ltunnel-group 192.168.1.96 ipsec-attributespre-shared-key ciscoASA Remote VPN Server配置：ip local pool vpnpool 192.168.2.250-192.168.2.254group-policy vpntest internalgroup-policy vpntest attributesvpn-tunnel-protocol IPSecusername zhong password xiaodongtunnel-group vpntest type remote-accesstunnel-group vpntest general-attributesaddress-pool vpnpooldefault-group-policy vpntesttunnel-group vpntest ipsec-attributespre-shared-key ciscocrypto ipsec transform-set cisco esp-des esp-md5-hmac crypto dynamic-map vpntest 1 set transform-set cisco crypto dynamic-map vpntest 1 set reverse-route crypto map cisco 1 ipsec-isakmp dynamic vpntest crypto map cisco interface outsidecrypto isakmp enable outsidecrypto isakmp policy 10authentication pre-shareencryption aeshash shagroup 2RADIUS认证用户：aaa-server vpntest protocol radiusaaa-server vpntest (outside) host 192.168.1.100key ciscotunnel-group vpntest general-attributes authentication-server-group (outside) vpntestASA SSL VPN配置ip local pool vpnpool 192.168.2.200-192.168.2.210 username zhong password xiaodongwebvpnenable outsidesvc image disk0:/sslclient-win-1.1.3.173.pkgsvc enabletunnel-group-list enablegroup-policy webvpn internalgroup-policy webvpn attributesvpn-tunnel-protocol svc webvpnwebvpnsvc ask enabletunnel-group webvpn type remote-accesstunnel-group webvpn general-attributesaddress-pool vpnpooldefault-group-policy webvpntunnel-group webvpn webvpn-attributesgroup-alias hnebony enableIOS SSL VPN配置aaa new-modelaaa authentication login vpnauthen localusername zhong password xiaodongip local pool vpnpool 192.168.20.200 192.168.20.254interface loopback 0ip address 192.168.20.1 255.255.255.0exitwebvpn install svc disk0:/webvpn/svc.pkgwebvpn gateway outip address 192.168.1.99inservicewebvpn context vpntestpolicy group vpntestfunctions svc-enabledsvc address-pool vpnpoolsvc split include 192.168.0.0 255.255.0.0exitdefault-group-policy vpntestaaa authentication list vpnauthengateway outinserviceIOS Easy VPN Server配置:aaa new-modelaaa authentication login vpnauthen localaaa authorization network vpnauthor localusername zhong password xiaodongip local pool vpnpool 192.168.20.200 192.168.20.254ip access-list extended splitpermit ip 192.168.0.0 0.0.255.255 192.168.20.0 0.0.0.255 crypto isakmp policy 1authentication pre-sharehash md5group 2crypto isakmp client configuration group vpntestkey ciscopool vpnpoolacl splitcrypto ipsec transform-set cisco esp-aes esp-sha-hmac crypto dynamic-map vpndymap 1set transform-set ciscoreverse-routecrypto map vpntest client authentication list vpnauthen crypto map vpntest client configuration address respond crypto map vpntest isakmp authorization list vpnauthor crypto map vpntest 10 ipsec-isakmp dynamic vpndymap inter f0/0crypto map vpntest使用ACS认证与授权：aaa authentication login vpnauthen group radiusaaa authorization network vpnauthor group radiusradius-server host 192.168.1.100 auth-port 1645 acct-port 1646 key ciscoRADIUS (IETF)选中6、64、65、69、81.建立用户：vpntest（vpn组路由器配置crypto isakmp client configuration group vpntest可以取消）然后建立用户IOS Easy VPN Client配置:crypto ipsec client ezvpn vpntestmode clientconnect autopeer 192.168.10.1group vpntest key ciscousername zhong password xiaodonginterface f0/0crypto ipsec client ezvpn vpntestinterface f1/0crypto ipsec client ezvpn vpntest inside R1#crypto ipsec client ezvpn xauthUsername: zhongPassword:3、802.1X认证aaa new-modelaaa authentication dot1x default group radius aaa authorization network default group radius radius-server host 192.168.1.100 key cisco dot1x system-auth-controlinterface f0/1dot1x port-control auto指定VLAN：4、RSTPAlternate port—Offers an alternate path toward the root switch to that provided by the current root port.Backup port—Acts as a backup for the path provided by a designated port toward the leaves of the spanning tree. A backup port can exist only when two ports are connected in a loopback by a point-to-point link or when a switch has two or more connections to a shared LAN segment.Edge ports—If you configure a port as an edge port on an RSTP switch by using the spanning-tree portfast interface configuration command, the edge port immediately transitions to the forwarding state. An edge port is the same as a Port Fast-enabled port, and you should enable it only on ports that connect to a single end station.Root ports—If the RSTP selects a new root port, it blocks the old root port and immediately transitions the new root port to the forwarding state.Point-to-point links—If you connect a port to another port through a point-to-point link and the local port becomes a designated port, it negotiates a rapid transition with the other port by using the proposal-agreement handshake to ensure a loop-free topology. As shown in Figure 18-4, Switch A is connected to Switch B through a point-to-point link, and all of the ports are in the blocking state. Assume that the priority of Switch A is a smaller numerical value than the priority of Switch B. Switch A sends a proposal message (a configuration BPDU with the proposal flag set) to Switch B, proposing itself as the designated switch. After receiving theproposal message, Switch B selects as its new root port the port from which the proposalmessage was received, forces all nonedge ports to the blocking state, and sends an agreement message (a BPDU with the agreement flag set) through its new root port. After receiving Switch B’s agreement message, Switch A also immediately transitions its designated port to the forwarding state. No loops in the network are formed because Switch B blocked all of its nonedge ports and because there is a point-to-point link between Switches A and B. When Switch C is connected to Switch B, a similar set of handshaking messages are exchanged.Switch C selects the port connected to Switch B as its root port, and both ends immediately transition to the forwarding state. With each iteration of this handshaking process, one more switch joins the active topology. As the network converges, this proposal-agreement handshaking progresses from the root toward the leaves of the spanning tree. The switch learns the link type from the port duplex mode: a full-duplex port is considered to have a point-to-point connection; a half-duplex port is considered to have a shared connection. You can override the default setting that is controlled by the duplex setting by using the spanning-tree link-type interface configuration command.5、时间访问列表time-range zxdabsolute start 08:30 24 August 2009 end 18:00 01 September 2009time-range ciscoperiodic daily 8:00 to 18:00access-list 110 permit ip any any time-range cisco6、QOSCAR：rate-limit input access-group 101 1000000 3000 4000 conform-action transmit exceed-action dropGTS：class-map match-all ciscomatch access-group 101!!policy-map ciscoclass ciscopolice cir 500000 bc 10000 pir 1000000 be 10000conform-action transmitexceed-action set-prec-transmit 2violate-action dropinterface f1/0service-policy output ciscoCBWFQ:class-map match-all cbwfqmatch access-group 101policy-map cbwfqclass cbwfqpriority percent 60interface f1/0service-policy output cbwfq7、NA T-T8、标准化产品特色：1定位准确，以就业为导向。

ASA个人学习笔记

2.3.2 Object-Group(对象组)
对象组的作用是为了简化 ACL 的创建和维护工作，如果在工作中大量的的配置 ACL 的时候，而有些同样的网络访问同样的服务的时候，这样对象组将是个很个的工具了。配置： object-group network inside-net network-object host 1.1.1.1 network-object host 1.1.1.2 network-object host 1.1.1.3 ！！配置一个网络的对象组，名字为 inside-net。配置内部的地址。 object-group network outside-net network-object host 100.1.1.1 network-object host 100.1.1.2 network-object host 100.1.1.3 ！！配置外部的地址 object-group service out-to-in service-object icmp service-object tcp destination eq telnet service-object udp destination eq isakmp service-object esp ！！创建一个基于服务的对象组，选择需要放行的服务协议。 access-list 111 extended permit object-group out-to-in object-group outside-net object-group inside-net ！！应用在 ACL 里，注意：第一个
Authentication ssh console LOCAL ！！SSH 认证用本地数据库 Username admin password admin

配置ASA

防火墙技术实验报告实验名称：防火墙技术实验内容一、拓扑图：二、实验步骤：1.分别在ASA1和ASA2上配置ip地址和命名。

ASA1：ciscoasa(config)# host ASA1ASA1(config)# int e0/0ASA1(config-if)# ip add 192.168.1.3 255.255.255.0 ASA1(config-if)# no shASA1(config-if)# nameif insideASA1(config-if)# int e0/1ASA1(config-if)# ip add 120.3.2.21 255.255.255.252 ASA1(config-if)# no shASA1(config-if)# nameif outsideASA1(config-if)# exitASA2：ASA2(config)# int e0/0ASA2(config-if)# ip add 192.168.1.3 255.255.255.0 ASA2(config-if)# no shASA2(config-if)# nameif insideASA2(config-if)# exitASA2(config)# int e0/1ASA2(config-if)# ip address 120.3.2.22 255.255.255.252ASA2(config-if)# no shASA2(config-if)# nameif outsideASA2(config-if)# exit2.分别在ASA1和ASA2上配置NAT和映射,还有ACL。

ASA1:ASA1(config)# nat (inside) 1 0.0.0.0 0.0.0.0ASA1(config)# global (outside) 1 interfaceASA1(config)# route outside 0.0.0.0 0.0.0.0 120.3.2.22ASA1(config)# route inside 192.168.0.0 255.255.0.0 192.168.1.3ASA1(config)# access-list 101 extended permit icmp any anyASA1(config)# access-list 101 extended permit ip any anyASA1(config)# access-group 101 in interface outsideASA2:ASA2(config)# nat (inside) 1 0.0.0.0 0.0.0.0ASA2(config)# global (outside) 1 interfaceASA2(config)# route inside 192.168.0.0 255.255.0.0 192.168.1.1ASA2(config)# route outside 0.0.0.0 0.0.0.0 120.3.2.21ASA2(config)# access-list 101 extended permit icmp any anyASA2(config)# access-list 101 extended permit ip any anyASA2(config)# access-group 101 in interface outsideASA2(config)# static (inside,outside) tcp 120.3.2.22 www 192.168.140.254 www 3.在SW1和SW2上配置ip地址后配置默认路由。

asa配置手册

asa配置手册一些基础配置，个人工作学习中的一点整理，如有错误请指正，谢谢。

#设置主机名：(config)#hostname dust#设置时区：dust(config)#clock timezone EST 7#设置时钟：dust#clock set 15:45:30 28 FEB 2008#配置内接口 IPdust(config)#int Ethernet 0/0dust(config-if)#nameif insidedust(config-if)#security-level 100dust(config-if)#ip address 192.168.88.254 255.255.255.0#配置外部接口IPdust(config)#int Ethernet 0/1dust(config-if)#nameif outsidedust(config-if)#security-level 0dust(config-if)#ip address 210.X.X.X 255.255.255.248#配置用户名和密码dust(config)#username admin password ********* privilege 15 注：15 表示有最高权限#配置HTTP 和TELNETdust(config)#aaa authentication telnet console LOCALdust(config)#http server enabledust(config)#http 192.168.88.0 255.255.255.0 insidedust(config)#telnet 192.168.88.0 255.255.255.0 inside#配置SSH接入：dust(config)#crypto key generate rsa modulus 1024dust(config)#aaa authentication ssh console LOCALdust(config)#ssh 192.168.88.0 255.255.255.0 insidedust(config)#ssh 0 0 outsidedust(config)#ssh timeout 30dust(config)#ssh version 2#配置ASDM(自适应安全设备管理器)接入：dust(config)#http server enable 8080dust(config)#http 192.168.88.0 255.255.255.0 insidedust(config)#http 0 0 outsidedust(config)#asdm image disk0:/asdm-621.bindust(config)#username dust password ccie privilege 15#动态NAT：dust(config)#nat-controldust(config)#nat (inside) 1 192.168.10.0 255.255.255.0dust(config)#nat (inside) 1 0 0dust(config)#global (outside) 1 interfacedust(config)#global (dmz) 1 192.168.202.100-192.168.202.110#静态NATdust(config)#static (dmz.outside) 210.10.10.253 192.168.202.1dust(config)#access-list ccie extended permit tcp any host 210.10.10.253 eq wwww dust(config)#access-group ccie in interface outside#配置ACLdust(config)#access-list ccie extended deny ip 192.168.201.0 255.255.255.240 any dust(config)#access-list ccie extended permit ip any anydust(config)#access-group ccie in interface inside#ICMP协议dust(config)#icmp deny any echo outsidedust(config)#icmp permit any outsidedust(config)#access-list 111 permit icmp any any echo-reply dust(config)#access-list 111 permit icmp any any unrechable dust(config)#access-list 111 permit icmp any any time-exceededdust(config)#access-group 111 in interface outside#配置默认路由dust(config)#route ouside 0.0.0.0 0.0.0.0 220.1.1.1 1#配置DHCP服务器dust(config)#dhcpd address 192.168.10.50-192.168.10.100 insidedust(config)#dhcpd enable insidedust(config)#dhcpd dns 202.102.192.68 insidedust(config)#dhcpd lease 86400 interface insidedust(config)#dhcpd option xx ip 192.168.10.10#保存配置dust#write memory 或copy running-config startup-config #清除配置dust(config)#clear configure alldust(config)#clear configure xxx xxxasa remote vpn#在outside接口上启用isakampdust#configure terminaldust(config)#crypto isakmp enable outside#创建一个isakmp策略dust(config)#crypto isakmp policy 1dust(config-isakmp-policy)#authentication pre-sharedust(config-isakmp-policy)#encryption desdust(config-isakmp-policy)#hash md5dust(config-isakmp-policy)#group 2dust(config-isakmp-policy)#lifetime 86400#配置组策略dust(config)#group-policy mypolicy internaldust(config)#group-policy mypolicy attributesdust(config-group-policy)#vpn-tunnel-protocol ipsecdust(config-group-policy)#split-tunnel-policy tunnelspecifieddust(config-group-policy)#nem enable#定义地址池dust(config)#ip local pool vpn-pool 192.168.88.110-192.168.88.120#定义隧道组dust(config)#tunnel-group cisco type remote-accessdust(config)#tunnel-group cisco general-attributesdust(config-tunnel-general)#address-pool vpn-pooldust(config-tunnel-general)#authentication-server-group (outside) LOCAL dust(config-tunnel-general)#default-group-policy mypolicydust(config-tunnel-general)#tunnel-group cisco ipsec-attributesdust(config-tunnel-ipsec)#pre-shared-key cisco#配置转换集dust(config)#crypto ipsec transform-set ccsp esp-des esp-md5-hmacdust(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac#添加本地帐户dust(config)#username user01 password adminabcdust(config)#username user02 password admindec#定义映射集,并应用到外部接口dust(config)#crypto dynamic-map dyn-map 10 set transform-set ccsp ciscodust(config)#crypto dynamic-map dyn-map 10 set reverse-routedust(config)#crypto map cisco 60001 ipsec-isakmp dynamic dyn-mapdust(config)#crypto map cisco interface outside#配置分离隧道dust(config)#access-list split_list standard permit 192.168.88.0 255.255.255.0 dust(config)#group-policy mypolicy attributesdust(config-group-policy)#split-tunnel-policy tunnelspecifieddust(config-group-policy)#split-tunnel-network-list value split_listdust(config-group-policy)#dns-server value 202.102.192.68 8.8.8.8#放行访问列表dust(config)#access-list 100 extended permit ip 192.168.88.0 255.255.255.0 192.168.88.0 255.255.255.0dust(config)#access-list 111 extended permit icmp any any echo-replydust(config)#access-list 111 extended permit icmp any any unreachabledust(config)#access-list 111 extended permit icmp any any time-exceededdust(config)#nat (inside) 0 access-list split_listdust(config)#access-group 111 in interface outsidedust(config)#access-group 100 in interface outsidedust(config)#access-group 100 in interface inside#查看被asp和acl drop的包dust(config)# show asp drop frame acl-drop客户端连接时，地址为outside的IP，组名为cisco 密码为cisco。

ASA型号及配置命令

ASA型号及配置命令asa复习笔记一、cisco防火墙1.软件防火墙它用于基于IOS软件的设备。

一般来说，客户端上具有应用层智能的状态检测防火墙引擎占CPU和内存资源的2.5%（可以定期欣赏）硬件防火墙（更多优势）应用在一般企业外部网络：pix500系列安全设备、asa5500系列自适应安全设备、catalyst6500系列交换机和cisco7600系列路由器的防火墙服务模块（不可以定期升值）二、 Ciscosa1常见型号：型号asa5505asa5510asa5520asa5540asa5550asa5580规模作用交换机接小型企业、分公司和企业设备成本低，易于部署、集成8个10/100端口快速口远程办公环境以太网交换机中型企业、分公司企业环设备成本低，易于部署，具有高级安全和网络服务境中型企业具有模块化、高性能网络中的高可用性主动/主动服路(小凡模拟器)务，并能连接千兆以太网设备由大中型企业，服务提供商提供高密度，主动/主动高可用性服务和千兆以太网连器接，设备具有高可靠性和高性能接大型企业、服务提供商网千兆级提供高达1.2gb/s的防火墙吞吐量，具有主动口络的高性能设备/主动高可用性服务、光纤和千兆位以太网连接性大型企业、数据中心、和提供王兆位以太网连接运营商网络型号为asa5580-20、asa5580-402.基本配置配置主机名：ciscoasa>enciscoasa#cinft思科ASA（配置）#主机名ASA802域名：asa802(config)#enablepassword123telnet或ssh密码:Asa802（配置）#passwdciscoasa接口名称和安全级别asa802(config-if)#nameifinside（不起名，ping不通）Asa802（如果配置）#安全级别100（值为0-100，值越大，安全级别越高）//默认情况下，outside口安全级别为0，inside口安全级别为100，防火墙允许数据从高安全级别流向低安全级别的接口，但不允许流量从低安全级别流向高安全级别的接口，若要放行，必须做策略，acl放行；若接口的安全级别相同，那么它们之间不允许通信，绝对不允许，但有时有这个需要，故意把它们设成一样。

Cisco ASA命令总结

Cisco ASA 命令总结Cisco ASA 命令总结2014-12-11 思科企业网络阅读 6091.清除现有所有配置：clear configure all2.基础配置wr保存配置hostname asa主机名enable password xxxxx特权密码passwd xxxxx远程密码3.设置网卡interface GigabitEthernet0/0nameif outsidesecurity-level 0-100duplex fullspeed 100ip address 192.168.100.188 255.255.255.0no shutdown4.设置ssh登录：ssh 0.0.0.0 0.0.0.0 outsidessh 0.0.0.0 0.0.0.0 insidessh timeout 30aaa authentication ssh console LOCAL设置SSH使用本地用户认证username xxx password xxx添加一个本地用户admin,并为其设置密码,同样可以更改密码show aaa local user查看当前本地用户5.默认路由设置：route outside-1 0.0.0.0 0.0.0.0 124.xx.xx.193 1 124.xx.xx.193为运营商的给的网关6.nat 设置：静态nat：hostname(config)# object network myWebServ定义一个objecthostname(config-network-object)# host 10.1.2.27此为内网需要映射出去的Iphostname(config-network-object)# nat (inside,outside) static 209.xx.xx.10动态nat：hostname(config)# object network myNatPool定义一个object,这个特殊地方是个Ip池hostname(config-network-object)# range 209.xx.201.20 209.xx.201.30ip池范围hostname(config)# object network myInsNet定义一个内网的objecthostname(config-network-object)# subnet 10.1.2.0 255.255.255.0内网地址范围hostname(config-network-object)# nat (inside,outside) dynamic myNatPool或者 nat (inside,outside-1) dynamic interfacehostname(config)# object network myWebServ定义一个web服务器的objecthostname(config-network-object)# host 209.xx.xx.12这里和静态nat 不同是外网Iphostname(config-network-object)# nat (outside,inside) static 10.1.2.20注意括号里面inside 和outside 变换了位置端口nat：hostname(config)# object network FTP_SERVER定义一个objecthostname(config-network-object)# host 10.1.2.27此为内网Iphostname(config-network-object)# nat (inside,outside) static 209.xx.xx.3 service tcp ftp ftp 对应外网Ip7.ACL 设置：在ASA上配置ACL有两个作用：一是允许入站连接；二是控制出战连接的流量标准ACL：asa（config）#access-list acl-name [standrad] {permit | deny } ip_addr maskaccess-list out_to_in permit ip host 172.16.1.1 host 10.1.1.1扩展ACL：Asa（config）#access- list acl_name [extended] {permit | deny } protocol src_ip_addr src_mask dst_ip_addr dst_mask [operator port]access-list out-in-ser extended permit tcp any host 192.168.1.141 eq https将ACL应用到接口：asa（config）#access-group acl_name {in | out} interface interface_nameaccess-list aa extended permit tcp any host 192.168.10.88access-list aa extended permit tcp any object obj-192.168.10.6 eq wwwaccess-list aa extended permit tcp any object obj-192.168.10.6 eq httpsaccess-list aa extended permit tcp any object obj-192.168.10.8 eq 3306access-list aa extended permit tcp any object obj-192.168.10.171 eq 797access-list aa extended permit tcp any object obj-192.168.10.171 eq 873access-list aa extended permit tcp any object obj-192.168.10.169 eq 78788.允许ping：access-list my-list extended permit icmp any any9.开启snmpsnmp-server host inside 192.168.100.210 community publicinsid后面跟的IP是你监控机器的IP,community是公用提名,建议不要用public。

ASA基本配置与实验环境搭建

标准ACL：asa802(config)#access-list out-to-dmz standard {permit | deny} ip-add mask
扩展ACL：asa802(config)#access-list acl-name extended {permit | deny} protocol src-ip-add src-mask dst-ip-add dst-mask [operator port]
NETSCREEN防火墙：通过对外网端口MIP和访问策略（set policy）来实现外网对内网及DMZ专项服务的访问限制。
ASA防火墙: 通过静态映射（static
(inside,outside)）和策略（access-list）来实现外网对内网及DMZ专项服务的访问限制。
3、
内网地址转换
Telnet或SSH密码:
asa802(config)#passwd cisco
ASA接口名字和安全级别
asa802(config-if)#nameif inside（不起名，ping不通）
asa802(config-if)#security-level 100(取值0—100 ，值越大，安全级越高)
5、
路由的实现
PIX防火墙：通过route outside 、route inside来实现内外网的访问路由。
NETSCREEN防火墙：通过set route来实现内外网的访问路由。
ASA防火墙：通过route outside 、route inside来实现内外网的访问路由。
6、
管理地址的定义
定义一个全局地址池：
asa802(config)#global (outside) 1 200.1.1.100-200.0.0.110

ASA系统的基本管理、NTP配置

ASA系统的基本管理接口的配置：1、逻辑名称把接口加入到一个安全区域-zone2、安全级别（范围0-100）不同安全级别的接口之间访问时，遵从的默认规则：允许出站（outbound）连接，从一个高安全级别的区域到一个低安全级别区域的访问禁止入站（inbound）连接，从低到高禁止相同安全级别的接口之间通信3、IP地址interface GigabitEthernet0nameif inside 逻辑名称security-level 100 安全级别ip address 192.168.123.200 255.255.255.04、清空配置write erase 清空startup config（启动配置文件）clear config all 清空running config （当前加载的配置）#在全局配置模式下使用ciscoasa# copy startup-config running-config（把启动配置加载到内存）reload 重启ASA5、配置子接口路由器的配置interface FastEthernet0/0.6encapsulation dot1Q 6ip address 196.1.1.1 255.255.2556、配置静态路由常规配置：设备的基本管理，常规配置：设备的基本管理，1、主机名hostname ASA12、域名后缀domain-name 3、域名和DNS服务器domain-name 【小提醒】:ASA1(config)# show run dnsDNS server-group DefaultDNSdomain-name ASA1(config)# dns domain-lookup dmz （先配置）--在DMZ区域启用DNS解析ASA1(config)#dns name-server 172.16.123.100ASA1(config)# show run dnsdns domain-lookup dmzDNS server-group DefaultDNSname-server 172.16.123.100domain-name 4、如何对设备启用远程管理---TelnetASA1(config)# telnet 192.168.123.0 255.255.255.0 inside 注意：在outside接口启用telnet是不允许的ASA1(config)# enable password cisco 默认使用特权模式口令做为登录口令查看到达ASA的流量5、使用NTP同步时间时区和时间的设置NTP Server:NTPServer(config)#clock timezone Beijing +8NTPServer#clock set 09:51:00 Mar 12 2016NTPServer(config)#ntp master 1NTPServer(config)#show clockNTP Client:NTPClient(config)#clock timezone Beijing +8NTPClient(config)#ntp server 192.168.1.1验证：NTP-Client#show clock detail09:11:41.089 Beijing Tue Mar 15 2016Time source is NTP启用认证：防火墙ASA1上的认证配置：ntp server 172.16.123.1 key 1 source dmzntp authentication-key 1 md5 ciscontp trusted-key 1ntp authenticateASA1(config)#show ntp statusASA1(config)# show clock detailLinux下的配置：1）设置时区[root@extmail ~]#cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime 2）向指定ntp服务器同步系统时间，同时同步硬件时钟[root@extmail ~]#ntpdate - set the date and time via NTP[root@extmail ~]#ntpdate 172.16.123.1[root@extmail ~]#hwclock -w3）编辑一个任务计划让系统在每天的0点向时间服务器同步[root@extmail~]#crontab -e0 * * * * ntpdate 172.16.123.1;hwclock -w Windows下的设置：6、【附录】一些互联网的时间服务器 (公共NTP时间服务器) (上海交通大学网络中心NTP服务器地址) 202.120.2.101 (上海交通大学网络中心NTP服务器地址）210.72.145.44 (国家授时中心服务器的IP地址).hk(香港)。

思科ASA防火墙精华配置总结

思科防⽕墙 PIX ASA 配置总结⼀（基础）：思科防⽕墙已经从PIX发展到ASA了，IOS也已经从早期的6.0发展到7.2。

但总体的配置思路并没有多少变化。

只是更加⼈性化，更加容易配置和管理了。

下⾯是我⼯作以来的配置总结，有些东西是6.3版本的，但不影响在7.＊版本的配置。

⼀：6个基本命令： nameif、 interface、 ip address 、nat、 global、 route。

⼆：基本配置步骤： step1: 命名接⼝名字 nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 ＊＊7版本的配置是先进⼊接⼝再命名。

step2：配置接⼝速率 interface ethernet0 10full auto interface ethernet1 10full auto interface ethernet2 10full step3：配置接⼝地址 ip address outside 218.106.185.82 ip address inside 192.168.100.1 255.255.255.0 ip address dmz 192.168.200.1 255.255.255.0 step4：地址转换（必须） * 安全⾼的区域访问安全低的区域（即内部到外部）需NAT和global; nat(inside) 1 192.168.1.1 255.255.255.0 global(outside) 1 222.240.254.193 255.255.255.248 ＊＊＊ nat (inside) 0 192.168.1.1 255.255.255.255 表⽰192.168.1.1这个地址不需要转换。

直接转发出去。

* 如果内部有服务器需要映射到公地址(外访问内)则需要static和conduit或者acl. static (inside, outside) 222.240.254.194 192.168.1.240 static (inside, outside) 222.240.254.194 192.168.1.240 10000 10 后⾯的10000为限制连接数，10为限制的半开连接数。

ASA的配置

清除配置信息：
conf t
clear configure all
clear configure command[level2 command]
end
=======================================================================
exit
regex url1 \.sina\.com
class-map type regex match-any url-class1
match regex url1
exit
class-map type inspect http http-url-class1
match not request header host regex class url-class1
access-list 111 permit icmp any any
access-list 111 permit ip any any
access-group 111 in int outside
access-group 111 in int inside
access-group 111 in int dmz
http 192.168.201.0 255.255.255.0 inside
http 0 0 outside
asdm image disk0:/asdm-615.bin
username lgs password cisco privlege 15
-----------------------------------------------------------------------

CCIE Security (安全) ASA课程笔记一(明教教主版)

神州数码(中国)有限公司
Journey
2011.9
Inspect就是知道FTP协议特性，在系统里自动生成建立信道二回来要用的ACL和Xlate，以便FTP可以通行
控制FTP类型的policy-map,应用程序特殊policy map;不是普通的三四层MAP。
Mask掉banner信息，和syst“请求回送服务器信息命令”的信息
监控ICMP里相关参数（源目IP，ICMP类型，ID等）出去时，建立conn条目，reply回来，对照参数，相同的放行，并且关闭该conn，确保安全。
VPN 建立链接认证是的协议
即时聊天
Match-all:两条都要同时满足
例：监控了SIP，电话能进来注册CM，与其他电话建立连接信令，之后要放哪些协议，ASA可根据监控的SIP情况，自动放行。
建一个insppect
ftp 类型的 class-map,
建一个insppect
ftp 类型的 policy-map,
匹配上之前的class-map
URL
Request :用户向服务器发送的包 Body : Request里的所有内容 Method(命令) : 这里的“Get” URL: 协议+Host+URI
路由器做负载均衡，前面架一个ASA，做成两个虚强，跑透明墙
最新版本支持NAT了
否则不通
In-out 单播流量可默认通信，但是组播，广播要放行
谢谢!
IT 服务创新
Banner:链接服务器时，随欢饮界面一起出来的关于该服务器的信息，如服务器类型（FTP），软件版本等。
应用程序特殊policy map,在已有的inspect
ftp <strict>后面调用

FW-ASA-笔记

防火墙课程笔记：第一天：防火墙概述与初始化第二天：系统管理与日志第三天：访问控制列表与穿越用户认证第四天：Modular Policy Framework第五天：基于用户的MPF、高级访问控制和地址转换第六天：透明墙与多模式防火墙第七天：接口和网络冗余技术FO第一天：防火墙四种类型：1.无状态包过滤——即基于ACL（限制控制技术即默认deny any）2.状态监控包过滤（来回，只建立一张状态表，回程包可查状态信息表）3.运用层监控和控制状态包过滤4.代理服务器双防火墙做DMZ，建议双防火墙使用不同的厂商：ASA产品线：5505、5510、5510x、5512x、5515x、5520、5525x、5540、5550、5585x授权升级：(config)#activation-key xxxxxx，重启即可，购买时需要提供序列号ASA配置命令：一.清空配置：wr erase ——清空start-config，clear config all—清空running-config，重启—reload二．配置向导退出：crtl+Z三．默认密码：无，直接回车四．图型化网管：ASDM前提条件：需要ASA安装asdm服务，名称为asdm-641.bin，拷到flash后重启即可。

1.为一个接口配置IP地址并且命名2.启用HTTPS服务器，并且允许网管流量，命令：http server enable3.指定Cisco ASDM的image文件（可选），命令：http 0 0 inside，表示从inside进来，所有源允许ASDM网管ASA手动指定路径：Asdm image flash:/asdm-641.bin4.需jave环境。

从ASA下载ASDM客户端路径：https://x.x.x.x五.ASA的接口一定需要命名才能用，用nameif命令，区分大小写六．接口命名后，安全级别会自动分配一个，手动改是0-100，默认情况下，inside为100，其余默认为0，ASA支持101个安全级别，和多于101个（子）接口。

ASA基本配置

ASA命令介绍:一、基本配置1、显示ASA版本信息ciscoasa# show version2、配置主机名ciscoasa(config)# hostname asa8023、配置域名asa802(config)# domain-name 4、配置密码a、配置特权密码asa802(config)# enable password asa802b、配置远程登陆(telnet、SSH）密码asa802(config)# passwd cisco5、配置接口a、配置接口IP地址asa802(config-if)# ip address 192.168.1.1 255.255.255.0b、配置接口名字asa802(config-if)# nameif namec、配置接口安级级别asa802(config-if)# security-level number6、查看接口信息asa802(config-if)# show run interface(不必要在特权下)7、查看IP信息asa802(config-if)# show ip address(show ip)8、配置静态路由asa802(config)# route interface-name network mask next-hop-address 9、查看路由表asa802# show route10、配置远程管理接入a、配置Telnet接入----明文传输asa802(config)# telnet {network|ip-address} mask interface-name 注：ASA不允许telnet流量从安全级别为0的接口进入b、配置SSH(安全的telnet加密传输)接入(3个步骤)步骤1：配置主机名和域名步骤2：生成RSA密钥对(公钥和私钥)asa802(config)# crypto key generate rsa modulus 1024步骤3：配置防火墙允许SSH接入asa802(config)# ssh 192.168.0.0 255.255.255.0 insideasa802(config)# ssh 0 0 outside配置空闲超时时间与版本(可选)asa802(config)# ssh timeout 30asa802(config)# ssh version 2c、配置ASDM(ASA安全设备管理器)接入asa802(config)# http server enableasa802(config)# http 192.168.0.0 255.255.255.0 insideasa802(config)# asdm image disk0:/asdm-602.binasa802(config)# username benet password cisco privilege 1511、配置网络地址转换(NAT)a、配置PAT(2个步骤）---把多个私网地址转换成1个公网地址,多对少的转换步骤1：定义什么流量需要被转换asa802(config)# nat （interface_name） nat-id local-ip mask 步骤2:定义全局地址池(也可转到外部接口)asa802(config)# global （interface_name） nat-id {global-ip [-global-ip] |interface}b、配置Staticasa802(config)# static (real_interface,mapped_interface) mapped_ip real_ip注:从低到高需要通过ACL放行相应的流量c、查看NAT的转换条目asa802(config)#show xlate12、配置ACLa、标准ACLasa802(config)#access-list acl_name standard {permit | deny}ip_addr maskb、扩展ACLasa802(config)# access-list acl_name extended {permit | deny}protocol src_ip_addr src_mask dst_ip_addr dst_mask [operator port]c、将ACL应用到接口asa802(config)# access-group acl_name {in | out} interface interface_name12、清空当前ASA相关协议配置asa802(config)#clear config route|static|nat|global13、清空当前ASA所有配置asa802(config)#clear config all--------------------------------------------------------二、ASA的高级应用1、配置URL(统一资源定位符）过滤(4个步骤)步骤1：定义Regex(正则表达式)-定义URL匹配的字符串asa802(config)# regex url1 "\.sohu\.com"---""步骤2：创建class-map(类映射)-识别传输流量，分类流量asa802(config)# access-list tcp_filter permit tcp 192.168.10.0255.255.255.0 any eq wwwasa802(config)# class-map tcp_filter_classasa 802(config-cmap)# match access-list tcp_filter-------------------------------------------------------------------------------------------------asa802(config)# class-map type inspect http http_class--------把字符串划分类asa802(config-cmap)# match request header host regex url1 步骤3：创建policy-map(策略映射)-针对不同的类执行不同的操作 asa802(config)# policy-map type inspect http http_url_policy-----带http 检测类型的策略映射asa802(config-pmap)# class http_classasa802(config-pmap-c)# drop-connection log ---同时产生日志信息-----------------------------------------------------------------------------------------------------asa802(config)# policy-map inside_http_url_policy ---标准的策略映射asa802(config-pmap)# class tcp_filter_classasa802(config-pmap-c)# inspect http http_url_policy步骤4：应用policy-map应用接口上asa802(config)# service-policy inside_http_url_policy interface inside2、配置日志管理服务器(三种方式）第一种：本地Buffer保存日志asa802(config)# logging enableasa802(config)# logging buffered informational 第二种：配置ASDM日志asa802(config)# logging enableasa802(config)# logging asdm informational 第三种：配置日志服务器asa802(config)# logging enableasa802(config)# logging trap informationalasa802(config)# logging host inside 192.168.10.13、配置ASA安全特性a、基本威胁检测asa802(config)# threat-detection basic-threatb、防范IP分攻击asa802(config)# fragment chain 1c、启用IDS(入侵检测系统)功能(可选)。

ASA5505基本配置笔记

9. 设置指向内部网和外部网的缺省路由
route inside 0 0 inside_default_router_ip_address
route outside 0 0 outside_default_router_ip_address
10. 配置静态IP地址对映：
static outside ip_address inside ip_address
<cபைடு நூலகம்nfig>#http server enable
<config>#http 192.168.1.0 255.255.255.0 inside
<config>#telnet 192.168.1.0 255.255.255.0 inside
<config>#ssh 192.168.1.0 255.255.255.0 inside
2.把端口指定到相应VLAN中
<config>#int Eth0/0
<config-if>#switchport access vlan 1
<config-if>end
<config>#int Eth0/1
<config-if>switchport access vlan 2
foreign_ip 表示可访问global_ip的外部ip，其中表示所有的ip。
12. 设置telnet选项：
telnet local_ip [netmask]
local_ip 表示被允许通过telnet访问到pix的ip地址（如果不设此项，
PIX的配
置只能由consle方式进行）。

CISCO ASA原配置(带批注)

access-list out extended permit tcp any host 117.36.101.166 eq 8080 /名为"out"的扩展访问控制列表开放117.36.101.166主机的8080服务端口
access-list out extended permit tcp any host 117.36.101.166 eq https /名为"out"的扩展访问控制列表开放117.36.101.166主机的https服务端口
static (inside1,outside) tcp interface ftp 192.168.123.2 ftp netmask 255.255.255.255 /将内网1主机192.168.123.2的ftp服务端口映射到外网口地址的ftp服务端口上
static (inside1,outside) tcp interface 3306 192.168.123.2 3306 netmask 255.255.255.255 /将内网1主机192.168.123.2的3306服务端口映射到外网口地址的3306服务端口
access-list out extended permit tcp any host 117.36.101.164 eq 8080 /名为"out"的扩展访问控制列表开放117.36.101.164主机的8080服务端口
access-list out extended permit icmp any any /名为"out"的扩展访问控制列表开放ping服务
static (inside2,outside) tcp 117.36.101.164 8080 192.168.223.2 8080 netmask 255.255.255.255 /将内网2主机192.168.223.2的8080服务端口映射到外网口地址117.36.101.164的8080服务端口上

ASA配置笔记

ASA配置笔记ASA配置笔记ASA配置笔记1. 常用技巧 (1)2. 故障倒换 (1)3. 配置telnet、ssh及http管理 (3)4. vpn常用管理命令 (3)5. 配置访问权限 (3)6. 配置sitetosite之VPN (4)7. webvpn配置（ssl vpn） (4)8. 远程拨入VPN (5)9. 日志服务器配置 (6)10. Snmp网管配置 (7)11. ACS配置 (7)12. AAA配置 (7)13. 升级IOS (8)14. 疑难杂症 (8)1. 常用技巧Sh ru ntp查看与ntp有关的Sh ru crypto 查看与vpn有关的Sh ru | inc crypto 只是关健字过滤而已2. 故障倒换failoverfailover lan unit primaryfailover lan interface testint Ethernet0/3failover link testint Ethernet0/3failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001failover mac address Ethernet0/0 0018.1900.40000018.1900.4001failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001failover mac address Management0/0 0018.1900.7000 0018.1900.7001 failover interface ip testint 10.3.3.1 255.255.255.0 standby 10.3.3.2注：最好配置虚拟MAC地址sh failover显示配置信息write standby写入到备用的防火墙中failover命令集如下：configure mode commands/options:interface Configure the IP address and mask to be used for failoverand/or stateful update informationinterface-policy Set the policy for failover due to interface failureskey Configure the failover shared secret or keylan Specify the unit as primary or secondary or configure the interface and vlan to be used for failover communication link Configure the interface and vlan to be used as a link for stateful update informationmac Specify the virtual mac address for a physical interface polltime Configure failover poll intervalreplication Enable HTTP (port 80) connection replicationtimeout Specify the failover reconnect timeout value forasymmetrically routed sessionssh failover 命令集如下：history Show failover switching historyinterface Show failover command interface informationstate Show failover internal state informationstatistics Show failover command interface statistics information| Output modifiers3. 配置telnet、ssh及http管理username jiang password Csmep3VzvPQPCbkx encrypted privilege 15aaa authentication enable console LOCALaaa authentication telnet console LOCALaaa authentication ssh console LOCALaaa authorization command LOCALhttp 192.168.40.0 255.255.255.0 managementssh 192.168.40.0 255.255.255.0 inside4. vpn常用管理命令sh vpn-sessiondb full l2l 显示site to site 之vpn通道情况sh ipsec stats 显示ipsec通道情况sh vpn-sessiondb summary 显示vpn汇总信息sh vpn-sessiondb detail l2l 显示ipsec详细信息sh vpn-sessiondb detail svc 查看ssl client信息sh vpn-sessiondb detail webvpn 查看webvpn信息sh vpn-sessiondb detail full l2l 相当于linux下的ipsec whack ?Cstatus 如果没有建立连接，则表示ipsec通道还没有建立起来。

个人总结的ASA多模式配置注意点

个人总结的ASA多模式配置注意点ASA 5505不支持context mode路由context mode可以共享接口透明context mode不可以共享物理接口（可以通过子接口来实现），而且不同的VFW都必须在不同的子网内多模式不支持如下feature1,VPN2,组播3,动态路由协议原理相当于把一个硬件的防火墙虚拟成很多虚拟的防火墙，每个VFW都拥有独立的配置、接口、安全策略以及标准防火墙的选项，系统全局配置主要是系统全局创建VFW并把接口和VFW关联起来，但是在系统全局配置中使没有任何网络相关的设置，没有IP，所以就需要一个admin VFW，用它的路由功能来为全局系统配置提供服务，可以利用它来和AAA通信以及让用户可以telnet到这台ASA来且换到其他VFW上来配置，也可以基于admin VFW作为跳板来管理其他VFW。

注意！！！admin VFW可以用来传流量admin-context VFW名字－－－只有telnet到这个名字的VFW上，才可以切换到系统以及切换到其他VFW上什么时候需要用到VFW1，IDC里用到，一个物理防火墙为很多公司提供服务2，大的企业为他的部门或者分支提供不同的安全策略3，遇到重叠的网段，可以通过不同的VFW来处理什么情况下公司内部需要共享物理接口1，当所有VFW要和AAA通信时可以在内部共享一个连接AAA的物理接口，但是此时AAA不能上网两大类配置系统全局配置－－－物理防火墙有一个全局的系统配置文件，它的作用就是为每个VFW设置基本配置。

例如创建VFW以及把物理接口和VFW进行关联VFW独立配置－－－每个VFW都有自己的配置文件包分类（如何把数据给适当的VFW来处理）1，基于源接口或者SVI子接口（当从某个和VFW绑定的接口进来的流量，必定给这个VFW来处理）2，（共享接口）基于目的地址（这个目的地址指的是VFW共享物理接口里的VFW 虚拟接口地址，虽然物理MAC是一样的，但是IP不同，可以分给相应的VFW处理）3，（共享接口）唯一的mac地址（默认所有context共享物理口的MAC，现在通过命令可以使每个context interface拥有自己独立的MAC来分类）注意！！！（共享接口）基于目的的时候会出现问题，比如，如果inside的物理接口共享给了2个VFW，当从这个接口收到目的是公网IP的流量时，由于从同一接口以及目的IP不是VFW的inside接口IP地址（虽然网关是正确的VFW 接口IP，但是最终用的是物理接口的MAC），所以不知道把这个数据交给哪个VFW，就会丢包解决共享接口，目的非接口地址不通问题的方法在需要处理这个流量的VFW里配置1，做目的IP的static的转换（有目的IP的NAT转换表的VFW处理该数据）作用：告诉ASA，目的是这个IP的交给这台VFW处理2，global (收到数据的接口) ID 目的IP 作用：告诉ASA，目的是这个IP的交给这台VFW处理3，system的全局下（mac-adress auto）－－－不同的context不再共享物理接口mac，开始单独自动为每个context interface创建mac用来去分流量（强烈建议这种方法）其中ID随便注意！！！共享接口不是划子接口，共享物理接口的时候不同VFW的接口需要在同一网段内，子接口是当物理接口来看的（）用地址池的话，inside到outside方向，返回流的目的IP虽然不是static，但是还是有动态创建的nat表，还是可以通的当你从single mode且还到multiple mode时，会产生2个新的配置文件，一个是新的系统配置文件，一个是admin配置文件，原来的配置文件会成old.running.cfg注意！！！ .cfg需要存盘才会出现注意！！！配置完后需要为system，不同的VFW分别存盘===================================================================== ============admin-context admincontext adminconfig-url disk0:/admin.cfg //admin context is created by default once you enable multiple mode--------------------------:!−−− Outside interface for context1 and context2.!−−− Create the sub interface in!−−− outside interface for context1 and context2.ciscoasa(config)# interface Ethernet0/0ciscoasa(config−if)# no shutdown!−−− Inside interface for context1 and context2.!−−− Create the sub interface in!−−− inside interface for context1 and context2. ciscoasa(config)# interface Ethernet0/1ciscoasa(config−if)# no shutdown!−−− Outside interface for admin context!−−− to access the ASA from outside network!−−− using telnet or SSH.ciscoasa(config−if)# interface Ethernet0/2ciscoasa(config−if)# no shutdownciscoasa(config−if)# vlan 6!−−− Inside interface for admin context!−−− to access the ASA from inside network!−−− using telnet or SSH.ciscoasa(config−if)# interface Ethernet0/3ciscoasa(config−if)# no shutdownciscoasa(config−if)# vlan 7!−−− Context1 outside subinterfaceciscoasa(config−subif)# interface Ethernet0/0.1 ciscoasa(config−subif)# vlan 2!−−− !−−− Context1 inside subinterfaceciscoasa(config−subif)# interface ethernet 0/1.1 ciscoasa(config−subif)# vlan 3!−−− !−−− Context2 outside subinterfaceciscoasa(config−subif)# interface ethernet 0/0.2 ciscoasa(config−subif)# vlan 4!−−− !−−− Context2 inside subinterfaceciscoasa(config−subif)# interface ethernet 0/1.2 ciscoasa(config−subif)# vlan 5!−−− Customer A Context as Context1ciscoasa(config)# context context1Creating context 'context1'... Done. (3)ciscoasa(config−ctx)# allocate−interfaceEthernet0/0.1 outside−context1ciscoasa(config−ctx)# allocate−interfaceEthernet0/1.1 inside−context1!−−− To specify the interfaces!−−− used for the context1ciscoasa(config−ctx)# config−url disk0:/context1.cfg !−−− To identify the URL from which the!−−− system downloads the context configuration. ciscoasa(config−ctx)# exit!−−− Customer B Context as Context2ciscoasa(config)# context context2Creating context 'context2'... Done. (3)ciscoasa(config−ctx)# allocate−interfaceEthernet0/0.2 outside−context2ciscoasa(config−ctx)# allocate−interfaceEthernet0/1.2 inside−context2ciscoasa(config−ctx)# config−urldisk0:/context2.cfgciscoasa(config)# context adminciscoasa(config−ctx)# allocate−interface Ethernet0/2 outside ciscoasa(config−ctx)# allocate−interface Ethernet0/3 inside。

八年级上册第4单元笔记

八年级上册第4单元笔记
一、三角形全等的判定。

1. 边边边（SSS）
- 要是三个边都相等，那这两个三角形就全等啦。

就好比三根一样长的棍子，怎么摆形状都一样。

2. 边角边（SAS）
- 两条边和它们的夹角相等，三角形也就全等咯。

这就像一个人两条胳膊长度一样，夹角也一样，那姿势肯定就一样啦。

3. 角边角（ASA）
- 两个角和夹边相等，三角形就全等。

想象一下，两个角定好了，中间那条边也一样长，那三角形不就重合了嘛。

4. 角角边（AAS）
- 有两个角和其中一个角的对边相等，三角形也能全等。

这就好像知道了两个角度和一条边，剩下的也就确定啦。

二、直角三角形全等的判定。

1. 除了上面那些，直角三角形还有个特殊的，叫“斜边、直角边”（HL）
- 斜边和一条直角边相等，这俩直角三角形就全等。

直角三角形就像个有脾气的家伙，只要斜边和一条直角边搞定，它就乖乖听话全等啦。

三、角平分线的性质。

角平分线上的点到角两边的距离相等。

比如说，角平分线就像一个公平的裁判，它上面的点到两边的距离都一样，谁也不偏袒。

四、全等三角形的性质。

全等三角形的对应边相等，对应角相等。

这就好比双胞胎，长得一模一样，边边相等，角角也相等。

怎么样，这样的笔记有没有让您觉得学习变得有趣点啦？。

思科ASA防火墙笔记

思科ASA防火墙笔记防火墙命令1、可以在config下面直接show run int，而路由器是do show run int2、查看路由表show route 而路由器是show ip route3、查看接口状态show int ip b 而路由器是show ip int b4、防火墙检测是a、初始化状态化检测b、access-list c、默认防火墙策略MPF模块化策略框架class-map match -----> policy-map class inspect -----> service-policy5、Icmp包中的id和序列号，一般是把id当做端口号6、可以在config下面clear config all 清除running-configure 或者叫做出厂重置，wr erase清空start-config而路由器不能清除running-configure7、网管telnet23 ssh22 snmp(get set trap ) asdm（ASA设备管理，java程序，通过https443）在configure模式下telnet 0 0 inside 表示从inside进来的所有的源允许telnet，注意telnet不能从接口级别最低的接口AAA authentication telnet console LOCAL8、SSH 路由器需要hostname+domain-name，而防火墙不需要9、Managerment-only把防火墙的任何接口都变成纯网管管理接口，不能穿越ASA10、redundant冗余接口不能起子接口11、channel捆绑接口带宽叠加ON LACP( ACTIVE PASSIVE)公有PAgp私有捆绑接口根据源MAC做HASH 可以起子接口12、静态路由route nameif 前缀掩码next-hop13、防火墙所有的都是正掩码比如是255.255.255.0 255.255.255.22414、SLA(service-level Aggrement服务等级协议探测probe线路是否可用，依托ipicmpecho 即ping包测试) ECMP (equal cost mutil path等价开销多路径)15、防火墙配置PBR解决浮动静态路由(调整管理距离)问题，既主备又流量分担的问题。