ASA 配置SSH

asa5520防火墙透明模式的配置例子ciscoasa# sh run: Saved:ASA Version 7.2(3)!firewall transparenthostname ciscoasadomain-name default.domain.invalidenable password 8Ry2YjIyt7RRXU24 encryptednames!interface GigabitEthernet0/0nameif outsidesecurity-level 0!interface GigabitEthernet0/1nameif insidesecurity-level 100!interface GigabitEthernet0/2shutdownno nameifno security-level!interface GigabitEthernet0/3shutdownno nameifno security-level!interface Management0/0nameif managementsecurity-level 100ip address 192.168.1.1 255.255.255.0management-only!passwd 2KFQnbNIdI.2KYOU encryptedftp mode passivedns server-group DefaultDNSdomain-name default.domain.invalidaccess-list acl_inside extended permit ip any any access-list acl_inside extended permit icmp any anyaccess-list acl_outside extended permit tcp any any eq 3306access-list acl_outside extended permit tcp any any eq wwwaccess-list acl_outside extended permit tcp any any eq 8080access-list acl_outside extended permit tcp any any eq httpsaccess-list acl_outside extended permit tcp any any eq sqlnetaccess-list acl_outside extended permit tcp any any eq ftpaccess-list acl_outside extended permit tcp any any eq 1433access-list acl_outside extended permit esp any anyaccess-list acl_outside extended permit udp any any eq isakmpaccess-list acl_outside extended permit tcp any any eq pop3access-list acl_outside extended permit tcp any any eq smtpaccess-list acl_outside extended permit icmp any anypager lines 24mtu outside 1500mtu inside 1500mtu management 1500ip address 172.16.177.208 255.255.255.0no failovericmp unreachable rate-limit 1 burst-size 1asdm image disk0:/ASDM-523.BINno asdm history enablearp timeout 14400access-group acl_outside in interface outsideaccess-group acl_inside in interface insidetimeout xlate 3:00:00timeout conn 0:20:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolutehttp server enablehttp 192.168.1.0 255.255.255.0 managementhttp 0.0.0.0 0.0.0.0 insideno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstarttelnet timeout 5ssh timeout 5console timeout 0!class-map inspection_defaultmatch default-inspection-traffic!!policy-map type inspect dns preset_dns_mapparametersmessage-length maximum 512policy-map global_policyclass inspection_defaultinspect dns preset_dns_mapinspect ftpinspect h323 h225inspect h323 rasinspect rshinspect rtspinspect esmtpinspect sqlnetinspect skinnyinspect sunrpcinspect xdmcpinspect sipinspect netbiosinspect tftpinspect pptp!service-policy global_policy globalusername cisco password 3USUcOPFUiMCO4Jk encryptedprompt hostname contextCryptochecksum:4682fd668f251c28d32a0cb82a3ac5f3: endciscoasa#注意点：语句ip address 172.16.177.208 255.255.255.0是在interface GigabitEthernet0/0下配的，自己跑到外面来了，如果不配这个，好像ping不通。

防火墙远程管理配置一、Cisco ASA系列防火墙（1）telnet配置ciscoasa(config)#passwd xxxxxxx //设置登录密码ciscoasa(config)#telnet 192.168.0.1/192.168.0.0 255.255.255.0 inside/dmz注意：ASA默认不允许从outside口telnet（2）ssh配置ciscoasa(config)#crypto key generate rsa modulus 1024//指定rsa系数的大小,这个值越大,产生rsa的时间越长,cisco推荐使用1024. ciscoasa(config)#write mem //保存刚刚产生的密钥ciscoasa(config)#username sxit password cisco privilege 15//设置一个本地账号，15代表管理员，数据越大权限越大ciscoasa(config)#aaa authentication ssh console LOCAL //为SSH启用aaa认证ciscoasa(config)#ssh 0.0.0.0 0.0.0.0 outside# ciscoasa(config)#ssh 211.138.236.145 255.255.255.255 outside//0.0.0.0 0.0.0.0 表示任何外部主机都能通过SSH访问outside接口,当然你可以指定具体的主机或网络来进行访问,outside也可以改为inside即表示内部通过SSH访问防火墙ciscoasa(config)#ssh timeout 30 //设置超时时间,单位为分钟ciscoasa(config)#ssh version 1 //指定SSH版本,可以选择版本2二、Huawei Eudemon系统防火墙（1）telnet配置<Eudemon> system-view[Eudemon] aaa // 进入AAA视图。

1、ASA基本配置静态路由：route outside 192.168.100.0 255.255.255.0 192.168.1.99配置允许telnet：telnet 192.168.10.0 255.255.255.0 inside配置telnet超时时间：telnet timeout 5配置本地认证telnet与console：aaa authentication telnet console LOCAL配置SSH生成密钥对：aaa authentication ssh console LOCALciscoasa(config)# crypto key generate rsaINFO: The name for the keys will be: <Default-RSA-Key>Keypair generation process begin. Please wait...ciscoasa(config)#配置允许SSH：ssh 192.168.10.0 255.255.255.0 inside配置允许ASDM管理：http server enablehttp 192.168.10.0 255.255.255.0 insideasdm image disk0:/asdm-602.binusername cisco password cisco privilege 15配置PAT：nat (inside) 1 192.168.10.0 255.255.255.0global (outside) 1 interface配置端口映射：access-list to_server extended permit tcp any host 192.168.1.99 eq wwwaccess-group to_server in interface outsidestatic (inside,outside) tcp interface www 192.168.10.98 www netmask 255.255.255.255配置ACL：access-list to_server extended permit tcp any host 192.168.1.99 eq wwwaccess-group to_server in interface outside配置允许ICMP穿越：policy-map global_policyclass inspection_defaultinspect icmp配置URL过滤：url-server (outside) vendor websense host 192.168.1.100 timeout 30 protocol TCP version 1 connections 5filter url http 192.168.10.0 255.255.255.0 0.0.0.0 0.0.0.0 allow日志管理：开启logging：logging enable开启console日志：logging console 7将日志发送到日志服务器：logging trap 7logging host inside 192.168.10.98配置IPS：ip audit name zxd info action alarmip audit name cisco attack action alarmip audit interface outside zxdip audit interface outside cisco2、VPN配置ASA IPSec L2L配置：access-list nonat extended permit ip 192.168.10.0 255.255.255.0 192.168.100.0 255.255.255.0 nat (inside) 0 access-list nonatcrypto ipsec transform-set cisco esp-des esp-nonecrypto map cisco 10 match address nonatcrypto map cisco 10 set peer 192.168.1.96crypto map cisco 10 set transform-set ciscocrypto map cisco interface outsidecrypto isakmp enable outsidecrypto isakmp policy 1authentication pre-shareencryption deshash shagroup 1tunnel-group 192.168.1.96 type ipsec-l2ltunnel-group 192.168.1.96 ipsec-attributespre-shared-key ciscoASA Remote VPN Server配置：ip local pool vpnpool 192.168.2.250-192.168.2.254group-policy vpntest internalgroup-policy vpntest attributesvpn-tunnel-protocol IPSecusername zhong password xiaodongtunnel-group vpntest type remote-accesstunnel-group vpntest general-attributesaddress-pool vpnpooldefault-group-policy vpntesttunnel-group vpntest ipsec-attributespre-shared-key ciscocrypto ipsec transform-set cisco esp-des esp-md5-hmac crypto dynamic-map vpntest 1 set transform-set cisco crypto dynamic-map vpntest 1 set reverse-route crypto map cisco 1 ipsec-isakmp dynamic vpntest crypto map cisco interface outsidecrypto isakmp enable outsidecrypto isakmp policy 10authentication pre-shareencryption aeshash shagroup 2RADIUS认证用户：aaa-server vpntest protocol radiusaaa-server vpntest (outside) host 192.168.1.100key ciscotunnel-group vpntest general-attributes authentication-server-group (outside) vpntestASA SSL VPN配置ip local pool vpnpool 192.168.2.200-192.168.2.210 username zhong password xiaodongwebvpnenable outsidesvc image disk0:/sslclient-win-1.1.3.173.pkgsvc enabletunnel-group-list enablegroup-policy webvpn internalgroup-policy webvpn attributesvpn-tunnel-protocol svc webvpnwebvpnsvc ask enabletunnel-group webvpn type remote-accesstunnel-group webvpn general-attributesaddress-pool vpnpooldefault-group-policy webvpntunnel-group webvpn webvpn-attributesgroup-alias hnebony enableIOS SSL VPN配置aaa new-modelaaa authentication login vpnauthen localusername zhong password xiaodongip local pool vpnpool 192.168.20.200 192.168.20.254interface loopback 0ip address 192.168.20.1 255.255.255.0exitwebvpn install svc disk0:/webvpn/svc.pkgwebvpn gateway outip address 192.168.1.99inservicewebvpn context vpntestpolicy group vpntestfunctions svc-enabledsvc address-pool vpnpoolsvc split include 192.168.0.0 255.255.0.0exitdefault-group-policy vpntestaaa authentication list vpnauthengateway outinserviceIOS Easy VPN Server配置:aaa new-modelaaa authentication login vpnauthen localaaa authorization network vpnauthor localusername zhong password xiaodongip local pool vpnpool 192.168.20.200 192.168.20.254ip access-list extended splitpermit ip 192.168.0.0 0.0.255.255 192.168.20.0 0.0.0.255 crypto isakmp policy 1authentication pre-sharehash md5group 2crypto isakmp client configuration group vpntestkey ciscopool vpnpoolacl splitcrypto ipsec transform-set cisco esp-aes esp-sha-hmac crypto dynamic-map vpndymap 1set transform-set ciscoreverse-routecrypto map vpntest client authentication list vpnauthen crypto map vpntest client configuration address respond crypto map vpntest isakmp authorization list vpnauthor crypto map vpntest 10 ipsec-isakmp dynamic vpndymap inter f0/0crypto map vpntest使用ACS认证与授权：aaa authentication login vpnauthen group radiusaaa authorization network vpnauthor group radiusradius-server host 192.168.1.100 auth-port 1645 acct-port 1646 key ciscoRADIUS (IETF)选中6、64、65、69、81.建立用户：vpntest（vpn组路由器配置crypto isakmp client configuration group vpntest可以取消）然后建立用户IOS Easy VPN Client配置:crypto ipsec client ezvpn vpntestmode clientconnect autopeer 192.168.10.1group vpntest key ciscousername zhong password xiaodonginterface f0/0crypto ipsec client ezvpn vpntestinterface f1/0crypto ipsec client ezvpn vpntest inside R1#crypto ipsec client ezvpn xauthUsername: zhongPassword:3、802.1X认证aaa new-modelaaa authentication dot1x default group radius aaa authorization network default group radius radius-server host 192.168.1.100 key cisco dot1x system-auth-controlinterface f0/1dot1x port-control auto指定VLAN：4、RSTPAlternate port—Offers an alternate path toward the root switch to that provided by the current root port.Backup port—Acts as a backup for the path provided by a designated port toward the leaves of the spanning tree. A backup port can exist only when two ports are connected in a loopback by a point-to-point link or when a switch has two or more connections to a shared LAN segment.Edge ports—If you configure a port as an edge port on an RSTP switch by using the spanning-tree portfast interface configuration command, the edge port immediately transitions to the forwarding state. An edge port is the same as a Port Fast-enabled port, and you should enable it only on ports that connect to a single end station.Root ports—If the RSTP selects a new root port, it blocks the old root port and immediately transitions the new root port to the forwarding state.Point-to-point links—If you connect a port to another port through a point-to-point link and the local port becomes a designated port, it negotiates a rapid transition with the other port by using the proposal-agreement handshake to ensure a loop-free topology. As shown in Figure 18-4, Switch A is connected to Switch B through a point-to-point link, and all of the ports are in the blocking state. Assume that the priority of Switch A is a smaller numerical value than the priority of Switch B. Switch A sends a proposal message (a configuration BPDU with the proposal flag set) to Switch B, proposing itself as the designated switch. After receiving theproposal message, Switch B selects as its new root port the port from which the proposalmessage was received, forces all nonedge ports to the blocking state, and sends an agreement message (a BPDU with the agreement flag set) through its new root port. After receiving Switch B’s agreement message, Switch A also immediately transitions its designated port to the forwarding state. No loops in the network are formed because Switch B blocked all of its nonedge ports and because there is a point-to-point link between Switches A and B. When Switch C is connected to Switch B, a similar set of handshaking messages are exchanged.Switch C selects the port connected to Switch B as its root port, and both ends immediately transition to the forwarding state. With each iteration of this handshaking process, one more switch joins the active topology. As the network converges, this proposal-agreement handshaking progresses from the root toward the leaves of the spanning tree. The switch learns the link type from the port duplex mode: a full-duplex port is considered to have a point-to-point connection; a half-duplex port is considered to have a shared connection. You can override the default setting that is controlled by the duplex setting by using the spanning-tree link-type interface configuration command.5、时间访问列表time-range zxdabsolute start 08:30 24 August 2009 end 18:00 01 September 2009time-range ciscoperiodic daily 8:00 to 18:00access-list 110 permit ip any any time-range cisco6、QOSCAR：rate-limit input access-group 101 1000000 3000 4000 conform-action transmit exceed-action dropGTS：class-map match-all ciscomatch access-group 101!!policy-map ciscoclass ciscopolice cir 500000 bc 10000 pir 1000000 be 10000conform-action transmitexceed-action set-prec-transmit 2violate-action dropinterface f1/0service-policy output ciscoCBWFQ:class-map match-all cbwfqmatch access-group 101policy-map cbwfqclass cbwfqpriority percent 60interface f1/0service-policy output cbwfq7、NA T-T8、标准化产品特色：1定位准确，以就业为导向。

思科系统公司思科在全球设有 200 多个办事处。

有关地址、电话号码和传真号码信息， 可查阅思科网站：/go/offices 。

思科 ASA 系列常规操作 CLI 配置指南软件版本 9.4适用于 ASA 5506-X 、ASA 5506H-X 、ASA 5506W-X 、ASA 5508-X 、ASA 5512-X 、ASA 5515-X 、ASA 5516-X 、ASA 5525-X 、ASA 5545-X 、ASA 5555-X 、ASA 5585-X 、ASA 服务模块和自适应安全虚拟设备首次发行日期：2015 年 3 月 23 日最后更新日期：2015 年 4 月 7 日文本部件号： 不适用，仅在线提供本手册中有关产品的规格和信息如有更改，恕不另行通知。

本手册中的所有声明、信息和建议均准确可靠，但我们不为其提供任何明示或暗示的担保。

用户必须承担使用产品的全部责任。

随附产品的软件许可和有限担保在随产品一起提供的信息包中提供，且构成本文的一部分。

如果您无法找到软件许可或有限担保，请与思科代表联系以获取副本。

思科所采用的 TCP 信压缩是加州大学伯克莱分校 (UCB) 开发的一个程序的改版，是 UCB 的 UNIX 操作系统公共域版本的一部分。

保留所有权利。

版权所有 © 1981，加州大学董事会。

无论在该手册中是否作出了其他担保，来自这些供应商的所有文档文件和软件都按“原样”提供且仍有可能存在缺陷。

思科和上述供应商不承诺所有明示或暗示的担保，包括（但不限于）对特定用途的适销性、适用性、非侵权性以及因交易、使用或商业惯例所衍生的担保。

在任何情况下，对于任何间接、特殊、连带发生或偶发的损坏，包括（但不限于）因使用或无法使用本手册而导致的任何利润损失或数据损失或损坏，思科及其供应商概不负责，即使思科及其供应商已获知此类损坏的可能性也不例外。

思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。

hostname asa-1enable password cisco!interface GigabitEthernet0/0nameif insidesecurity-level 100ip address 192.200.31.249 255.255.255.192 standby 192.200.31.248!interface GigabitEthernet0/1description LAN Failover Interface（做failover link的接口不需要做地址配置）!interface GigabitEthernet0/2description STATE Failover Interface!interface GigabitEthernet0/3nameif outsidesecurity-level 100ip address 192.200.31.4 255.255.255.224 standby 192.200.31.5!interface Management0/0shutdownnameif managementsecurity-level 100ip address 10.168.1.1 255.255.255.0management-only!same-security-traffic permit inter-interface!failoverfailover lan unit primaryfailover lan interface faillink（自己起的failover名字）GigabitEthernet0/1（心跳线接口）failover polltime unit 1 holdtime 3failover link statelink GigabitEthernet0/2failover interface ip faillink 10.168.100.1 255.255.255.0 standby 10.168.100.2 failover interface ip statelink 10.168.101.1 255.255.255.0 standby 10.168.101.2 monitor-interface outsidemonitor-interface insideicmp permit any insideicmp permit any outsideroute inside 192.200.31.32 255.255.255.224 192.200.31.250 1route inside 192.200.31.64 255.255.255.192 192.200.31.250 1route inside 192.200.31.128 255.255.255.192 192.200.31.250 1route inside 192.200.31.192 255.255.255.192 192.200.31.250 1route outside 0.0.0.0 0.0.0.0 192.200.31.1 1telnet 0.0.0.0 0.0.0.0 insidetelnet 0.0.0.0 0.0.0.0 outside!hostname asa-2enable password 2KFQnbNIdI.2KYOU encryptedpasswd 2KFQnbNIdI.2KYOU encryptednamesno dns-guard!interface Ethernet0/0nameif insidesecurity-level 100ip address 192.200.31.249 255.255.255.192 standby 192.200.31.248 !interface Ethernet0/1description LAN Failover Interface!interface Ethernet0/2description STATE Failover Interfaceshutdown!interface Ethernet0/3nameif outsidesecurity-level 100ip address 192.200.31.4 255.255.255.224 standby 192.200.31.5!interface Management0/0nameif managementsecurity-level 100ip address 10.168.1.1 255.255.255.0management-only!no ftp mode passiveclock timezone CST 8same-security-traffic permit inter-interfacepager lines 24logging asdm informationalmtu inside 1500mtu outside 1500mtu management 1500failoverfailover lan unit primaryfailover lan interface faillink Ethernet0/1failover polltime unit 1 holdtime 3failover link statelink Ethernet0/2failover interface ip faillink 10.168.100.1 255.255.255.0 standby 10.168.100.2 failover interface ip statelink 10.168.101.1 255.255.255.0 standby 10.168.101.2 icmp permit any insideicmp permit any outsideno asdm history enablearp timeout 14400route inside 192.200.31.128 255.255.255.192 192.200.31.250 1route inside 192.200.31.64 255.255.255.192 192.200.31.250 1route inside 192.200.31.32 255.255.255.224 192.200.31.250 1route outside 0.0.0.0 0.0.0.0 192.200.31.1 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00timeout uauth 0:05:00 absolutehttp server enableno snmp-server locationno snmp-server contactcrypto ipsec security-association lifetime seconds 28800crypto ipsec security-association lifetime kilobytes 4608000telnet 0.0.0.0 0.0.0.0 insidetelnet 0.0.0.0 0.0.0.0 outsidetelnet timeout 5ssh timeout 5console timeout 0dhcpd ping_timeout 50!<--- More --->class-map inspection_defaultmatch default-inspection-traffic!!policy-map global_policyclass inspection_defaultinspect dns maximum-length 512inspect ftpinspect h323 h225inspect h323 rasinspect rshinspect rtspinspect esmtpinspect sqlnetinspect skinnyinspect sunrpcinspect xdmcpinspect sipinspect netbiosinspect tftp!Cryptochecksum:a0b294ccce697e561e4e0fcf9e1cae91 : endasa-2#### END LOG - DATE: 090313, TIME: 024509 ###。

1.在IP数据包的首部包头格式中和分片有关的3个字段是那3个字段答案：标识，标志和分片偏移量2.ICMP的报文分为2大类，分别是那2大类？答案：差错报文和查询报文3.MSS字段存在TCP建立3次握手的那几个报文中，当MSS值协商成功以后在数据的发送过程中是否会发生改变？答案：MSS字段存在于TCP3次握手的SYN和SYN+ACK的报文中，当MSS值协商成功以后再以后的通信过程中是不会再发生改变的除非重新建立TCP链接4.终止TCP的连接可以通过那几个控制位来实现答案：2个，第一个是把FIN位置为1，第二个是把RST位置为15.在UDP中是否存在着流量控制机制，UDP的报文格式由那几个字段组成答案：UDP中不存在任何的流量控制机制，UDP的报文是由源端口，目的端口，UDP的长度，UDP的校验和这4部分组成6.在ASA中配置特权密码和远程登录密码的命令是什么？答案：特权密码的命令为enable password 远程登录密码命令：passwd7.在ASA上配置SSH时，首先需要配置哪2个命令以后才能产生SSH使用RSA密钥对答案：需要在ASA上配置主机名和域名以后才能使用命令来产生RSA密钥对8.在ASA上接口是存在安全级别的，如果希望实现高级别的接口的主机能够去访问低级别接口的WEB服务器需要在ASA上做哪些配置答案：1。

如果ASA上配置命令nat-control那么需要配置nat和global让流量转换以后才能去访问。

2.如果没有配置过nat-control的话，默认情况下高级别接口主机是能直接去访问低级别接口的WEB服务器9.在ASA上如果配置了nat-control并且也配置nat和global命令。

并且已经实现高级别接口的主机能够去访问低级别接口的WEB服务器。

在这个时候高级别接口的主机是否能够去PING通低级别接口的服务器，如果希望ping通需要做什么配置答案：不能ping通，如果希望高级别的主机能ping通低级别接口的服务器需要在ASA上配置ACL访问控制列表，允许ping包返回，并且把该访问控制列表在低级别接口上进行引用。

一般网络机构来理解asa5520外网-----asa5520----分别是内网和dmzasa配置都在全局模式下配置，很多跟cisco路由交换的一样（大同小异）第一次连接防火墙时有个初始化配置主要有配置密码，时间，内部ip，和管理ip1、配置主机名、域名、和密码主机名：ciscoasa5520（config）#hostname 5520域名：5520（config）#domain—name 密码：5520（config）#enable password asa5520 （特权密码）5520（config）#password cisco （telnet密码）2、配置接口名字、安全级别5520（config）#int f0/15520（config）#nameif inside (内网，dmz，outside)5520（config）#security-level 100 （安全级别为100，dmz：50，outside：0）5520（config）#ip add 192.168.1.1 255.255.255.0 (配置ip地址)5520（config）#no shut5520（config）#exit查看接口show interface ipbriefshow interface f/03、配置路由5520（config）#route 接口名目标网段掩码下一跳例上网的缺省路由5520（config）#route outside 0.0.0.0 0.0.0.0 61.232.14.815520（config）#route inside 192.168.0.0 0.0.255.255 192.168.1.254查看路由show route4、管理（启用telnet或者ssh）5520（config）#telnet ip或网段掩码接口例：5520（config）#telnet 192.168.2.20 255.255.255.0 inside（表示只允许这个ip地址telnet asa）5520（config）#telnet 192.168.2.0 255.255.255.0 inside （表示允许这个ip段telnet asa）设置telnet超时5520（config）#telnet timeout 30 单位为分ssh为密文传送（RSA密钥对）5520（config）#cryto key generate rsa modulus 1024连接5520（config）#ssh 192.168.2.0 255.255.255.0 inside5520（config）#ssh 0 0 outside 允许外网任意ip连接配置空闲超时ssh timeout 30ssh version 25、远程接入ASDM（cisco的自适应安全管理器）客户端可以用cisco自带的软件也可以装jre走https启用https服务器功能5520（config）#http server enable 端口号（越大越好）设置允许接入网段5520（config）#http 网段|ip 掩码接口名（http 0 0 outside 外网任何ip接入）指定ASDM的映像位置5520（config）#asdm image disk0:/asdmfilse(这个一般用show version产看版本号)配置客户端登录使用的用户名和密码5520（config）# username 用户名password 密码privilege 156、nat的配置（这个好像与pix类似）5520（config）# nat （interface-名）nat-id 本地ip 掩码5520（config）#global （接口名）nat-id 全局ip、网段或接口例：5520（config）#nat-control （启用nat）5520（config）#nat（inside）1 0 0 （可以指定一个网段或者全部）5520（config）#global （outside）1 interface （这就称了pat，当然也可以写一个ip段或者一个ip）5520（config）# global（dmz）1 172.16.1.100-172.16.1.110 意思与上差不多这里要注意：内网到dmz区域都应是nat如果内网到dmz用路由的话，这样可能导致黑客先攻击dmz，然后长区直入到内网。

cisco-asa 防火墙配置hostname CD-ASA5520 //给防火墙命名domain-namedefault.domain.invalid //定义工作域enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码names dns-guard！interface GigabitEthernet0/0 //内网接口：duplex full //接口作工模式：全双工，半双，自适应nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全ip address192.168.1.1 255.255.255.0 //设置本端口的IP地址！interface GigabitEthernet0/1 //外网接口nameif outside //为外部端口命名：外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置！interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0！interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address！interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address！passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表access-list outside_permit extended permit tcp any interface outside range 30000 30010 //允许外部任何用户可以访问outside 接口的30000-30010的端口。

思科ASA防火墙配置要想配置思科的防火墙得先了解这些命令：常用命令有：nameif、interface、ip address、nat、global、route、static等。

global指定公网地址范围：定义地址池。

Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]其中：(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmark global_mask]：表示全局ip地址的网络掩码。

nat地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat (if_name) nat_id local_ip [netmark]其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。

对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

routeroute命令定义静态路由。

语法：route (if_name) 0 0 gateway_ip [metric]其中：(if_name)：表示接口名称。

0 0 ：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。

缺省值是1。

static配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address 其中：internal_if_name表示内部网络接口，安全级别较高，如inside。

external_if_name表示外部网络接口，安全级别较低，如outside。

华为SSH配置指南SSH（Secure Shell）是一种网络协议，可以通过加密的方式在网络上安全地远程登录和传输数据。

华为设备支持SSH协议，并提供了SSH配置功能，以下是华为SSH配置指南。

1.登录设备：首先，使用用户名和密码登录到华为设备的控制台或终端界面。

2.启用SSH服务：在设备控制台或终端界面上，输入命令“system-view”进入系统视图。

然后，输入命令“ssh server enable”启用SSH服务。

3.生成RSA密钥对：输入命令“rsa local-key-pair create”生成本地RSA密钥对。

系统会提示输入密钥名称，按照要求输入一个名称。

4.配置SSH用户：输入命令“user-interface vty 0 4”进入虚拟终端视图。

然后，输入命令“authentication-mode aaa”设置SSH用户认证方式为AAA。

接下来，输入命令“user privilege level 15”设置SSH用户权限级别为15（最高权限）。

最后，输入命令“protocol inbound ssh”允许SSH协议作为终端协议。

5.配置SSH访问限制：输入命令“acl number 2000”创建一个ACL（访问控制列表）。

然后，输入命令“rule 0 permit source x.x.x.x 0”设置允许通过SSH访问设备的IP地址范围。

最后，输入命令“user-interface vty 0 4”进入虚拟终端视图。

输入命令“acl 2000 inbound”将ACL应用于SSH虚拟终端。

6.配置SSH版本和加密算法：输入命令“ssh server version {1 ，2}”设置SSH协议版本。

然后，输入命令“ssh server ci pher {aes128-cbc ， 3des-cbc ，des-cbc}”设置SSH加密算法。

可以根据具体需求选择合适的版本和算法。

图解Cisco ASA防火墙SSL VPN的配置(图)随着现在互联网的飞速发展，企业规模也越来越大，一些分支企业、在外办公以及SOHO一族们，需要随时随地的接入到我们企业的网络中，来完成我们一些日常的工作，这时我们VPN在这里就成了一个比较重要的一个角色了。

SSL VPN设备有很多。

如Cisco 路由器、Cisco PIX防火墙、Cisco ASA 防火墙、Cisco VPN3002 硬件客户端或软件客户端。

这极大地简化了远程端管理和配置。

说的简单点就是在Server 端配置复杂的策略和密钥管理等命令，而在我们的客户端上只要配置很简单的几条命令就能和Server端建立VPN链路的一种技术，主要的目的当然就是简化远端设备的配置和管理。

那么今天我们看看我们要实现的是SSL VPN，那什么是SSL VPN呢？SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。

与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。

任何安装浏览器的机器都可以使用SSL VPN，这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。

什么是SSL VPN？从概念角度来说，SSL VPN即指采用SSL 〔Security Socket Layer〕协议来实现远程接入的一种新型VPN技术。

SSL 协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证〔可选〕、SSL链路上的数据完整性和SSL链路上的数据保密性。

对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。

目前SSL 协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。

正因为SSL 协议被内置于IE等浏览器中，使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。

相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，这两种类型的VPN之间的差异就类似C/S构架和B/S构架的区别。