Cisco ASA配置

一、网络拓扑二、实验环境ASA防火墙eth0接口定义为outside区，Security-Level:0，接Router F0/0；ASA防火墙eth1接口定义为insdie区，Security-Level:100，接Switch的上联口；ASA防火墙Eth2接口定义为DMZ区，Security-Level:60，接Mail Server。

三、实验目的实现inside区域能够访问outside，即Switch能够ping通Router的F0/0（202.100.10.2）；dmz区能够访问outside，即Mail Server能够ping通Router 的F0/0（202.100.10.2）；outside能够访问insdie区的Web Server的http端口(80)和dmz区的Mail Server的pop3端口（110）、smtp端口（25）.四、详细配置步骤1、端口配置CiscoASA(config)# interface ethernet 0CiscoASA(config)#nameif ousideCiscoASA(config-if)# security-level 0CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0CiscoASA(config-if)# no shutCiscoASA(config)# interface ethernet 1CiscoASA(config)#nameif insideCiscoASA(config-if)# security-level 100CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0CiscoASA(config-if)# no shutCiscoASA(config)# interface ethernet 2CiscoASA(config)#nameif dmzCiscoASA(config-if)# security-level 50CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0CiscoASA(config-if)# no shut2、路由配置CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由3、定义高安全接口区域需要进行地址转换的IP范围CiscoASA(config)# nat (inside) 1 0 0CiscoASA(config)# nat (dmz) 1 0 04、定义低安全接口区域用于高安全接口区域进行IP转换的地址范围CiscoASA(config)# global (outside) 1 interfaceCiscoASA(config)# global (dmz) 1 interface5、定义静态IP映射（也称一对一映射）CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255#实现从outside区访问inside区10.1.1.1的80端口时，就直接访问10.1.1.1:80 对outside区的映射202.100.10.1:80CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255#实现从outside区访问dmz区172.16.1.2的110时，就直接访问172.16.1.2:110 对outside区的映射202.100.10.1:110CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255#实现从outside区访问dmz区172.16.1.2的25时，就直接访问172.16.1.2:25 对outside区的映射202.100.10.1:256、定义access-listCiscoASA(config)# access-list 101 extended permit ip any any CiscoASA(config)# access-list 101 extended permit icmp any any CiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq wwwCiscoASA(config)# access-list 102 extended permit icmp any any CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp7、在接口上应用access-listCiscoASA(config)# access-group 101 in interface outsideCiscoASA(config)#access-group 102 in interface insideCiscoASA(config)#access-group 103 in interface dmz五、实验总结1、当流量从高权限区域流向低权限区域时1、只要路由配通了，无须配置nat/global，也无须配置access-list，就可以直接telnet低权限区域主机;2、只要路由配通了，同时配置了access-list，无须配置nat/global，就可以直接ping通低权限区域主机；3、只要路由配通了，同时配置了nat/global/access-list，此时telnet/ping 均会执行地址转换2、当流量从低权限区域流向高权限区域时1、即使路由已经配通了，也不能成功访问；2、路由已经配通了，同时必须正确配置了static IP地址映射及access-list，才能成功访问；3、调通路由是基础，同时只跟static/access-list有关，而跟nat/global毫无关系。

Cisco ASA Web VPN 配置详解实验环境如拓朴图。

在做实验之前让我们先来了解一下SSL VPN。

目前市场上VPN产品很多，而且技术各异，就比如传统的IPSec VPN 来讲，SSL 能让公司实现更多远程用户在不同地点接入，实现更多网络资源访问，且对客户端设备要求低，因而降低了配置和运行支撑成本。

很多企业用户采纳SSL VPN 作为远程安全接入技术，主要看重的是其接入控制功能。

SSL VPN 提供增强的远程安全接入功能。

IPSec VPN 通过在两站点间创建隧道提供直接（非代理方式）接入，实现对整个网络的透明访问；一旦隧道创建，用户PC 就如同物理地处于企业LAN 中。

这带来很多安全风险，尤其是在接入用户权限过大的情况下。

SSL VPN 提供安全、可代理连接，只有经认证的用户才能对资源进行访问，这就安全多了。

SSL VPN 能对加密隧道进行细分，从而使得终端用户能够同时接入Internet 和访问内部企业网资源，也就是说它具备可控功能。

另外，SSL VPN 还能细化接入控制功能，易于将不同访问权限赋予不同用户，实现伸缩性访问；这种精确的接入控制功能对远程接入IPSec VPN 来说几乎是不可能实现的。

SSL VPN 基本上不受接入位置限制，可以从众多Internet 接入设备、任何远程位置访问网络资源。

SSL VPN 通信基于标准TCP/UDP 协议传输，因而能遍历所有NAT 设备、基于代理的防火墙和状态检测防火墙。

这使得用户能够从任何地方接入，无论是处于其他公司网络中基于代理的防火墙之后，或是宽带连接中。

IPSec VPN 在稍复杂的网络结构中难于实现，因为它很难实现防火墙和NAT 遍历，无力解决IP 地址冲突。

另外，SSL VPN 能实现从可管理企业设备或非管理设备接入，如家用PC 或公共Internet 接入场所，而IPSec VPN 客户端只能从可管理或固定设备接入。

随着远程接入需求的不断增长，远程接入IPSec VPN 在访问控制方面受到极大挑战，而且管理和运行支撑成本较高，它是实现点对点连接的最佳解决方案，但要实现任意位置的远程安全接入，SSL VPN 要理想得多。

ciscoASA防火墙如何配置思科cisco是全球高端顶尖的通讯厂商，其出产的路由器功能也是世界级的，那么你知道cisco ASA防火墙如何配置的吗?下面是店铺整理的一些关于cisco ASA防火墙如何配置的相关资料，供你参考。

cisco ASA防火墙配置的方法：常用命令有：nameif、interface、ip address、nat、global、route、static等。

global指定公网地址范围：定义地址池。

Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]其中：(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmark global_mask]：表示全局ip地址的网络掩码。

nat地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat (if_name) nat_id local_ip [netmark]其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。

对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

routeroute命令定义静态路由。

语法：route (if_name) 0 0 gateway_ip [metric]其中：(if_name)：表示接口名称。

0 0 ：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。

缺省值是1。

static配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address其中：internal_if_name表示内部网络接口，安全级别较高，如inside。

思科ASA防火墙基本配置思科ASA防火墙基本配置Fire Wall 防火墙，它是一种位于内部网络与外部网络之间的网络安全系统，当然，防火墙也分软件防火墙与硬件防火墙。

硬件防火墙又分为：基于PC架构与基于ASIC芯片今天来聊一聊思科的'硬件防火墙 Cisco ASACisco ASA 防火墙产品线挺多：Cisco ASA5505 Cisco ASA5510 Cisco ASA5520 Cisco ASA5540 Cisco ASA5550 等等ASA 的基本配置步骤如下：配置主机名、域名hostname [hostname]domain-name xx.xxhostname Cisco-ASA 5520domain-name 配置登陆用户名密码password [password]enable password [password]配置接口、路由interface interface_namenameif [name]name 有三种接口类型 insdie outside dmzsecurity-level xx(数值)数值越大接口安全级别越高注：默认inside 100 ,outside 0 ,dmz 介于二者之间静态路由route interface_number network mask next-hop-addressroute outside 0.0.0.0 0.0.0.0 210.210.210.1配置远程管理接入Telnettelnet {network | ip-address } mask interface_nametelnet 192.168.1.0 255.255.255.0 insidetelnet 210.210.210.0 255.255.255.0 outsideSSHcrypto key generate rsa modulus {1024| 2048 }指定rsa系数，思科推荐1024ssh timeout minutesssh version version_numbercrypto key generate rsa modulus 1024ssh timeout 30ssh version 2配置 ASDM(自适应安全设备管理器)接入http server enbale port 启用功能http {networdk | ip_address } mask interface_nameasdm image disk0:/asdm_file_name 指定文件位置username user password password privilege 15NATnat-controlnat interface_name nat_id local_ip maskglobal interface_name nat_id {global-ip [global-ip] |interface} nat-controlnat inside 1 192.168.1.0 255.255.255.0global outside 1 interfaceglobal dmz 1 192.168.202.100-192.168.202.150ACLaccess-list list-name standad permit | deny ip maskaccess-list list-name extendad permit | deny protocol source-ip mask destnation-ip mask portaccess-group list-name in | out interface interface_name如果内网服务器需要以布到公网上staic real-interface mapped-interface mapped-ip real-ip staic (dmz,outside) 210.210.202.100 192.168.202.1保存配置wirte memory清除配置clear configure (all)【思科ASA防火墙基本配置】。

思科ASA防火墙精华配置总结思科防火墙PIX ASA 配置总结一（基础）：下面是我工作以来的配置总结，有些东西是6.3版本的，但不影响在7.＊版本的配置。

一：6个基本命令：nameif、interface、ip address 、nat、global、route。

二：基本配置步骤：step1: 命名接口名字nameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 dmz security50＊＊7版本的配置是先进入接口再命名。

step2：配置接口速率interface ethernet0 10full autointerface ethernet1 10full autointerface ethernet2 10fullstep3：配置接口地址ip address outside 218.106.185.82ip address inside 192.168.100.1 255.255.255.0ip address dmz 192.168.200.1 255.255.255.0step4：地址转换（必须）* 安全高的区域访问安全低的区域（即内部到外部）需NAT 和global;nat(inside) 1 192.168.1.1 255.255.255.0global(outside) 1 222.240.254.193 255.255.255.248＊＊＊nat (inside) 0 192.168.1.1 255.255.255.255 表示192.168.1.1这个地址不需要转换。

直接转发出去。

* 如果内部有服务器需要映像到公网地址(外网访问内网)则需要static和conduit或者acl.static (inside, outside) 222.240.254.194 192.168.1.240static (inside, outside) 222.240.254.194 192.168.1.240 10000 10后面的10000为限制连接数，10为限制的半开连接数。

一，配置接口配置外网口：interface GigabitEthernet0/0nameif outside 定义接口名字security-level 0ip address 111.160.45.147 255.255.255.240 设定ipnoshut!配置内网口：interface GigabitEthernet0/1nameif insidesecurity-level 100ip address 20.0.0.2 255.255.255.252noshut二，配置安全策略access-list outside_acl extended permit icmp any any配置允许外网pingaccess-group outside_acl in interface outside 应用策略到outside口access-list inside_access_in extended permit ip any any配置允许内网访问外网access-group inside_access_in in interface inside应用到inside口三，设置路由route outside 0.0.0.0 0.0.0.0 111.160.45.145 1配置到出口的默认路由route inside 10.1.0.0 255.255.0.0 20.0.0.1 1 配置到内网的静态路由四，配置natobject network nat_net配置需要nat的内网网段subnet 0.0.0.0 0.0.0.0nat (inside,outside) source dynamic nat_net interface配置使用出接口ip做转换ip 五，配置远程管理配置telet管理：telnet 0.0.0.0 0.0.0.0 outsidetelnet 0.0.0.0 0.0.0.0 insidetelnet timeout 30配置ssh管理：crypto key generate rsa建立密钥并保存一次wrissh 0.0.0.0 0.0.0.0 outsidessh 0.0.0.0 0.0.0.0 insidessh timeout 30ssh version 1配置用户名密码：username admin password yfz4EIInjghXNlcu encrypted privilege 15。

ciscoASA虚拟防火墙配置
cisco ASA虚拟防火墙配置
可以把物理的一个防火墙配置出多个虚拟的防火墙，每个防火墙称为context，这样一个防火墙就支持两种工作模式：single-context 和multiple-context，处于后者工作模式的防火墙被分为三个功能模块：system execution space(虽然没有context的功能，但是是所有的基础)，administrative context(被用来管理物理的防火墙) 和user contexts(虚拟出来的防火墙，所有配置防火墙的命令都适用)配置：
首先使用show activation-key来验证是否有multiple-context 的许可，然后通过mode multiple和mode single命令在这两个模式之间进行切换，当然也可以用show mode来验证现在工作在什么模式下。

在不同context下进行切换使用Firewall# changeto {system | context name[/i]}，
总结配置如下几条：
1、进入多模工作模式 mode multiple
2、创建主防火墙 admin_context___(命名)
3、进入主防火墙：admin_context
（1）、命名：context admin
4、添加端口allocate-interface （物理端口）
5、创建存储文件 config-url disk0 ：// admin.cfg 文件名
6、要创建虚拟的防护墙 context 名称
其他步骤同上！
7、各个防火墙之间切换：changto context xxxx,各个防火墙之间独立工作。

彼此不影响！。

C i s c o A S A修订N A T基本配置精编版MQS system office room 【MQS16H-TTMS2A-MQSS8Q8-MQSH16898】一、网络拓扑二、实验环境ASA防火墙eth0接口定义为outside区，Security-Level:0，接RouterF0/0；ASA防火墙eth1接口定义为insdie区，Security-Level:100，接Switch的上联口；ASA防火墙Eth2接口定义为DMZ区，Security-Level:60，接MailServer。

三、实验目的Server能够ping通Router的F0/0（）；outside能够访问insdie区的WebServer的http端口(80)和dmz区的MailServer的pop3端口（110）、smtp端口（25）.四、详细配置步骤1、端口配置CiscoASA(config)#interfaceethernet0CiscoASA(config)#nameifousideCiscoASA(config-if)#security-level0CiscoASA(config-if)#ipaddressCiscoASA(config-if)#noshutCiscoASA(config)#interfaceethernet1CiscoASA(config)#nameifinsideCiscoASA(config-if)#security-level100CiscoASA(config-if)#ipaddressCiscoASA(config-if)#noshutCiscoASA(config)#interfaceethernet2CiscoASA(config)#nameifdmzCiscoASA(config-if)#security-level50CiscoASA(config-if)#CiscoASA(config-if)#noshut2、路由配置CiscoASA(config)#routeoutside1#默认路由CiscoASA(config)#routeinside1#外网访问内网服务器的路由3、定义高安全接口区域需要进行地址转换的IP范围CiscoASA(config)#nat(inside)100CiscoASA(config)#nat(dmz)1004、定义低安全接口区域用于高安全接口区域进行IP转换的地址范围CiscoASA(config)#global(outside)1interfaceCiscoASA(config)#global(dmz)1interface5、定义静态IP映射（也称一对一映射）CiscoASA(config)#static(inside,outside)tcpwwwwwwnetmaskCiscoASA(config)#static(dmz,outside)tcppop3pop3netmask2:110CiscoASA(config)#static(dmz,outside)tcpsmtpsmtpnetmask6、定义access-listCiscoASA(config)#access-list101extendedpermitipanyanyCiscoASA(config)#access-list101extendedpermiticmpanyanyCiscoASA(config)#access-list102extendedpermittcpanyhosteqwwwCiscoASA(config)#access-list102extendedpermiticmpanyanyCiscoASA(config)#access-list103extendedpermittcpanyhosteqpop3 CiscoASA(config)#access-list103extendedpermittcpanyhosteqsmtp7、在接口上应用access-listCiscoASA(config)#access-group101ininterfaceoutsideCiscoASA(config)#access-group102ininterfaceinsideCiscoASA(config)#access-group103ininterfacedmz五、实验总结1、当流量从高权限区域流向低权限区域时1、只要路由配通了，无须配置nat/global，也无须配置access-list，就可以直接telnet低权限区域主机;2、只要路由配通了，同时配置了access-list，无须配置nat/global，就可以直接ping通低权限区域主机；3、只要路由配通了，同时配置了nat/global/access-list，此时telnet/ping均会执行地址转换2、当流量从低权限区域流向高权限区域时1、即使路由已经配通了，也不能成功访问；2、路由已经配通了，同时必须正确配置了staticIP地址映射及access-list，才能成功访问；3、调通路由是基础，同时只跟static/access-list有关，而跟nat/global毫无关系。

CiscoASA透明模式配置Cisco ASA 透明模式配置透明模式只支持两个接口，透明模式也可以用multi-context注意透明模式没有nat,没有路由1. 3层流量要明确放行（ospf，eigrp），要想跨防火墙建邻居，两边都要permit2. 直连的outside和inside网络必须属于相同子网3. 必须要配置一个网管ip地址,必须~~~4 网管ip和内外网ip在同一段.5. 管理ip不能做内网网关6. 可以配置网关,但是只做网管用，远程访问防火墙用7. 每个接口必须在不同vlan,（这个是看的资料上写的，暂时不是很理解）8. 所有流量都可由ip acl和ethernet acl控制是否放行，eth acl 只能管二层流量，但是如果deny any了，则 2，3层都不过9. arp不需要放行就可以过去,除arp外，所有二层流量默认都不通10. cdp不可以过透明模式不支持,nat, dynamic routing protocol,ipv6, dhcp relay,qos, multicast, 不能终结vpnACL对于没有状态的协议是需要两边都放行，有状态的协议防火墙通过查找状态表来允许流量。

配置一firewall transparent切换成透明模式interface GigabitEthernet00nameif outsidesecurity-level 0interface GigabitEthernet01nameif insidesecurity-level 100定义接口级别access-list out-in extended permit tcp any any eq wwwaccess-list out-in extended permit icmp any any 允许ICMP穿越ASA访问规则定义ip address 172.16.1.100 255.255.255.0管理IPaccess-group out-in in interface outsideroute outside 0.0.0.0 0.0.0.0 172.16.1.2 1route inside 10.10.1.0 255.255.255.0 172.16.1.1 1定义路由asdm image disk0asdm-507.bin定义ASDM路径，有时候需要指定http server enablehttp 0.0.0.0 0.0.0.0 inside 启用ASDM管理。

在实验开始这前先来谈⼀谈ASA7.X系统中的默认隧道组和组策略。

ASA/PIX 7.x系统默认在show run时不显⽰默认组策略和默认隧道组，只有使⽤ASDM才能看到。

下⾯列出在ASDM中看到的默认值：默认IPSec-l2l隧道组: DefaultL2LGroup默认IPSec-ra隧道组: DefaultRAGroup默认WebVPN隧道组: DefaultWEBVPNGroup默认组策略: DfltGrpPolicy默认组策略的默认隧道协议: IPSec-l2l可以在命令⾏中直接对以上隧道组和组策略进⾏编辑，ASA在加载WebVPN时默认采⽤DefaultWEBVPNGroup，⽤户⾃定义的WebVPN组必须在启动 “tunnel-group-list”和“group-alias” 后才会出现。

在下⾯的例⼦中，我没有使⽤ASA的默认隧道组，所以会有tunel-group-list和group-alias配置出现。

1、WebVPN服务基本配置。

Archasa(config)# int e0/0Archasa(config-if)# ip address 192.168.0.1 255.255.255.0Archasa(config-if)# nameif outsideINFO: Security level for "outside" set to 0 by default.Archasa(config-if)# no shutArchasa(config-if)# exit!Archasa(config)# int e0/1Archasa(config-if)# ip add 172.20.59.10 255.255.255.0Archasa(config-if)# nameif insideINFO: Security level for "inside" set to 100 by default.Archasa(config-if)# no shArchasa(config-if)# exitArchasa(config)# web*Archasa(config-web*)# enable outside#在外接⼝上启动WebVPN!Archasa(config)# group-policy myweb*-group-policy ?configure mode commands/options:external Enter this keyword to specify an external group policyinternal Enter this keyword to specify an internal group policy#此处需要选择组策略的类型，因为我们是将策略配置在ASA本地的，所以选择Internal。

..Cisco ASA 防火墙图文配置实例本文是基于ASA5540 和 ASA5520 的配置截图所做的一篇配置文档，从最初始的配置开始：1、连接防火墙登陆与其他的 Cisco 设备一样，用 Console 线连接到防火墙，初始特权密码为空。

2、配置部接口和 IP 地址进入到接口配置模式，配置接口的 IP 地址，并指定为 inside。

防火墙的地址配置好后，进行测试，确认可以和防火墙通讯。

3、用 dir 命令查看当前的 Image 文件版本。

4、更新 Image 文件。

准备好 TFTP 服务器和新的 Image 文件，开始更新。

5、更新 ASDM。

6、更新完成后，再用 dir 命令查看8、存盘，重启9、用 sh version 命令验证启动文件，可以发现当前的 Image 文件就是更新后的10、设置允许用图形界面来管理 ASA 防火墙表示部接口的任意地址都可以通过 http 的方式来管理防火墙。

11、打开浏览器，在地址栏输入防火墙部接口的 IP 地址选择“是”按钮。

12、出现安装 ASDM 的画面选择“Install ASDM Launcher and Run ASDM”按钮，开始安装过程。

13、安装完成后会在程序菜单中添加一个程序组14、运行 ASDM Launcher，出现登陆画面15、验证证书单击“是”按钮后，开始登陆过程16、登陆进去后，出现防火墙的配置画面，就可以在图形界面下完成 ASA 防火墙的配置17、选择工具栏的“Configuration”按钮18、选择“Interface”，对防火墙的接口进行配置，这里配置g0/3接口选择 g0/3 接口，并单击右边的“Edit”按钮19、配置接口的 IP 地址，并将该接口指定为 outside单击 OK 后，弹出“Security Level Change”对话框，单击 OK 20、编辑 g0/1 接口，并定义为 DMZ 区域21、接口配置完成后，要单击 apply 按钮，以应用刚才的改变，这一步一定不能忘22、设置静态路由单击 Routing->Static Route->Add23、设置 enable 密码24、允许 ssh 方式登录防火墙25、增加用户定义 ssh 用本地数据库验证26、用 ssh 登录测试登录成功27、建立动态 NAT 转换选择 Add Dynamic NAT RuleInterface 选择 inside，Source 处输入 any 单击 Manage 按钮单击 add，增加一个地址池Interface 选择 Outside，选择 PAT，单击 Add 按钮单击 OK完成了添加动态 NAT 转换28、静态 NAT 转换由于笔者 2009 年离开了原单位，有些配置的截图没有做，新单位又没有 ASA 防火墙，只好参考《ASA8.0/ASDM6.0 测试报告》的截图和文档来完成本文，并将该文档中部分常用的配置联接在本文后，对该文的作者表示感。

一、网络拓扑二、实验环境ASA防火墙eth0接口定义为outside区，Security-Level:0，接RouterF0/0；ASA防火墙eth1接口定义为insdie区，Security-Level:100，接Switch的上联口；ASA防火墙Eth2接口定义为DMZ区，Security-Level:60，接MailServer。

三、实验目的Server能够ping通Router的F0/0（202.100.10.2）；outside能够访问insdie区的WebServer的http端口(80)和dmz区的MailServer的pop3端口（110）、smtp端口（25）.四、详细配置步骤1、端口配置CiscoASA(config)#interfaceethernet0CiscoASA(config)#nameifousideCiscoASA(config-if)#security-level0CiscoASA(config-if)#ipaddressCiscoASA(config-if)#noshutCiscoASA(config)#interfaceethernet1CiscoASA(config)#nameifinsideCiscoASA(config-if)#security-level100CiscoASA(config-if)#ipaddressCiscoASA(config-if)#noshutCiscoASA(config)#interfaceethernet2CiscoASA(config)#nameifdmzCiscoASA(config-if)#security-level50CiscoASA(config-if)#ipaddress172.16.1.1CiscoASA(config-if)#noshut2、路由配置CiscoASA(config)#routeoutside1#默认路由CiscoASA(config)#routeinside1#外网访问内网服务器的路由3、定义高安全接口区域需要进行地址转换的IP范围CiscoASA(config)#nat(inside)100CiscoASA(config)#nat(dmz)1004、定义低安全接口区域用于高安全接口区域进行IP转换的地址范围CiscoASA(config)#global(outside)1interfaceCiscoASA(config)#global(dmz)1interface5、定义静态IP映射（也称一对一映射）CiscoASA(config)#static(inside,outside)tcpwwwwwwnetmaskCiscoASA(config)#static(dmz,outside)tcppop3pop3netmask2:110CiscoASA(config)#static(dmz,outside)tcpsmtpsmtpnetmask6、定义access-listCiscoASA(config)#access-list101extendedpermitipanyanyCiscoASA(config)#access-list101extendedpermiticmpanyanyCiscoASA(config)#access-list102extendedpermittcpanyhosteqwwwCiscoASA(config)#access-list102extendedpermiticmpanyanyCiscoASA(config)#access-list103extendedpermittcpanyhosteqpop3CiscoASA(config)#access-list103extendedpermittcpanyhosteqsmtp7、在接口上应用access-listCiscoASA(config)#access-group101ininterfaceoutsideCiscoASA(config)#access-group102ininterfaceinsideCiscoASA(config)#access-group103ininterfacedmz五、实验总结1、当流量从高权限区域流向低权限区域时1、只要路由配通了，无须配置nat/global，也无须配置access-list，就可以直接telnet低权限区域主机;2、只要路由配通了，同时配置了access-list，无须配置nat/global，就可以直接ping通低权限区域主机；3、只要路由配通了，同时配置了nat/global/access-list，此时telnet/ping均会执行地址转换2、当流量从低权限区域流向高权限区域时1、即使路由已经配通了，也不能成功访问；2、路由已经配通了，同时必须正确配置了staticIP地址映射及access-list，才能成功访问；3、调通路由是基础，同时只跟static/access-list有关，而跟nat/global毫无关系。

CISCO ASA防火墙ASDM安装和配置准备工作：准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口，通过开始——>程序——> 附件——>通讯——>超级终端输入一个连接名，比如“ASA”,单击确定。

选择连接时使用的COM口，单击确定。

点击还原为默认值。

点击确定以后就可能用串口来配置防火墙了。

在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。

在串口下输入以下命令：ciscoasa>ciscoasa> enPassword:ciscoasa# conf t 进入全局模式ciscoasa(config)# webvpn 进入WEBVPN模式ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字ciscoasa(config-if)# no shutdown 激活接口ciscoasa(config)#q 退出管理接口ciscoasa(config)# http server enable 开启HTTP服务ciscoasa(config)# http 192.168.1.0 255.255.255.0 guanli 在管理口设置可管理的IP地址ciscoasa(config)# show run 查看一下配置ciscoasa(config)# wr m 保存经过以上配置就可以用ASDM配置防火墙了。

首先用交叉线把电脑和防火墙的管理口相连，把电脑设成和管理口段的IP 地址,本例中设为192.168.1.0 段的IP打开浏览器在地址栏中输入管理口的IP地址:[url]https://192.168.1.1/admin[/url]弹出一下安全证书对话框，单击“是”输入用户名和密码（就是在串口的WEBVPN模式下新建的用户和密码），然后点击“确定”。