ciscoASA防火墙详细配置

防火墙远程管理配置

一、Cisco ASA系列防火墙

（1）telnet配置

ciscoasa(config)#passwd xxxxxxx //设置登录密码

ciscoasa(config)#telnet 192.168.0.1/192.168.0.0 255.255.255.0 inside/dmz

注意：ASA默认不允许从outside口telnet

（2）ssh配置

ciscoasa(config)#crypto key generate rsa modulus 1024

//指定rsa系数的大小,这个值越大,产生rsa的时间越长,cisco推荐使用1024. ciscoasa(config)#write mem //保存刚刚产生的密钥ciscoasa(config)#username sxit password cisco privilege 15

//设置一个本地账号，15代表管理员，数据越大权限越大

ciscoasa(config)#aaa authentication ssh console LOCAL //为SSH启用aaa认证ciscoasa(config)#ssh 0.0.0.0 0.0.0.0 outside

# ciscoasa(config)#ssh 211.138.236.145 255.255.255.255 outside

//0.0.0.0 0.0.0.0 表示任何外部主机都能通过SSH访问outside接口,当然你可以指定具体的主机或网络来进行访问,outside也可以改为inside即表示内部通过SSH访问防火墙

安全级别：0-100

从高安全级别到低安全级别的流量放行的

从低安全到高安全级别流量禁止的

ASA防火墙的特性是基于TCP和UDP链路状态的，会话列表，记录出去的TCP或者UDP 流量，这些流量返回的时候，防火墙是放行的。

ASA防火墙的基本配置

!

interface Ethernet0/0

nameif inside

security-level 99

ip address 192.168.1.2 255.255.255.0

!

interface Ethernet0/1

nameif dmz

security-level 50

ip address 172.16.1.2 255.255.255.0

!

interface Ethernet0/2

nameif outside

security-level 1

ip address 200.1.1.2 255.255.255.0

ciscoasa# show nameif

Interface Name Security

Ethernet0/0 inside 99

Ethernet0/1 dmz 50

Ethernet0/2 outside 1

2、路由器上配置

配置接口地址

路由--默认、静态

配置VTY 远程登录

R3：

interface FastEthernet0/0

ip address 200.1.1.1 255.255.255.0

no shutdown

配置去内网络的路由

ip route 192.168.1.0 255.255.255.0 200.1.1.2配置去DMZ区域的路由

ASA的NA T配置

配置

1.nat-control命令解释

命令解释

pix7.0版本前默认为nat-control,并且不可以更改

并且不可以更改

nat-control。可以类似路由器一样，直接走路由；如果启用

no nat-control

pix7.0版本后默认为no 

nat-control，那就与pix7.0版本前同。

版本前同。

2.配置动态nat 

把内部网段：172.16.25.0/24 转换成为一个外部的地址池

转换成为一个外部的地址池

200.1.1.1-200.1.1.99 

NA T配置命令

配置命令

ASA(config)# nat (inside) 1 172.16.25.0 255.255.255.0 (

定义源网段) 

ASA(config)# global (outside) 1 200.1.1.1-200.1.1.99 （定义地址池）

（定义地址池）

注意：id必须匹配，并且大于1，这里先使用1 

检测命令：

检测命令：

ASA(config)# show run nat 

ASA(config)# show run global 

ASA(config)# show xlate 

ASA(config)# show connect 

3.配置P A T 

把内部网段：172.16.26.0/24 转换成为一个外部的一个地址：200.1.1.149 

NA T配置命令

配置命令

ASA(config)# nat (inside) 2 172.16.26.0 255.255.255.0 (

定义源网段) 

ASA(config)# global (outside) 2 200.1.1.149 （定义地址）

CiscoASA防⽕墙详细图⽂配置实例解析Cisco ASA 防⽕墙图⽂配置实例

本⽂是基于ASA5540 和ASA5520 的配置

截图所做的⼀篇配置⽂档，从最初始的配置开始：

1、连接防⽕墙登陆

与其他的Cisco 设备⼀样，⽤Console 线连接到防⽕墙，初始特权密码为空。

2、配置内部接⼝和IP 地址

进⼊到接⼝配置模式，配置接⼝的IP 地址，并指定为inside。

防⽕墙的地址配置好后，进⾏测试，确认可以和防⽕墙通讯。

3、⽤dir 命令查看当前的Image ⽂件版本。

4、更新Image ⽂件。

准备好TFTP 服务器和新的Image ⽂件，开始更新。

5、更新ASDM。

6、更新完成后，再⽤dir 命令查看

7、修改启动⽂件。以便于ASA 防⽕墙能够从新的Image 启动

8、存盘，重启

9、⽤sh version 命令验证启动⽂件，可以发现当前的Image ⽂件

就是更新后的

10、设置允许⽤图形界⾯来管理ASA 防⽕墙

表⽰内部接⼝的任意地址都可以通过http 的⽅式来管理防⽕墙。11、打开浏览器，在地址栏输⼊防⽕墙内部接⼝的IP 地址

选择“是”按钮。

12、出现安装ASDM 的画⾯

选择“Install ASDM Launcher and Run ASDM”按钮，开始安装过程。

13、安装完成后会在程序菜单中添加⼀个程序组

14、运⾏ASDM Launcher，出现登陆画⾯

15、验证证书

单击“是”按钮后，开始登陆过程

16、登陆进去后，出现防⽕墙的配置画⾯，就可以在图形界⾯下完成ASA 防⽕墙的配置

17、选择⼯具栏的“Configuration”按钮

配置asa 5505防火墙

1.配置防火墙名

ciscoasa> enable

ciscoasa# configure terminal

ciscoasa(config)# hostname asa5505

2.配置Http.telnet和ssh管理

#username xxx password xxxxxx encrypted privilege 15 #aaa authentication enable console LOCAL

#aaa authentication telnet console LOCAL

#aaa authentication http console LOCAL

#aaa authentication ssh console LOCAL

#aaa autoentication command LOCAL

#http server enable

#http 192.168.1.0 255.255.255.0 inside

#telnet 192.168.1.0 255.255.255.0 inside

#ssh 192.168.1.0 255.255.255.0 inside

#crypto key generate rsa(打开SSH服务)

//允许内部接口192.168.1.0网段telnet防火墙

3.配置密码

asa5505(config)# password cisco

//远程密码

asa5505(config)# enable password cisco

//特权模式密码

4.配置IP

ASA防火墙怎么样配置

asa防火墙配置方法一：

cisco asa5550防火墙配置总结

asa防火墙配置一、网络拓扑

|172.x.x.x

|outside

|========|=========|

| |-----internet 61.x.x.x

|========|=========|

|inside

|133.x.x.x

防火墙分别配置三个端口，端口名称和ip地址分配如上。client的ip address pool为100.100.100.0 255.255.255.0。

asa防火墙配置二、配置过程

1、建立动态map

crypto ipsec transform-set myset esp-aes-256 esp-sha-hmac

crypto dynamic-map dymap 1 set transform-set myset

crypto dynamic-map dymap 1 set reverse-route

crypto map mymap 1 ipsec-isakmp dynamic dymap

crypto map mymap interface internet

crypto isakmp enable internet

crypto isakmp policy 10

authentication pre-share

encryption 3des

hash sha

group 2

lifetime 86400

crypto isakmp nat-traversal 20

2、建立tunnel group

asa 55051.配置防火墙名 ciscoasa> enable ciscoasa# configure terminal ciscoasa(config)# hostname asa5505 2.配置telnet asa5505(config)#telnet 192.168.1.0 255.255.255.0 inside //允许内部接口192.168.1.0网段telnet防火墙 3.配置密码 asa5505(config)# password cisco //远程密码 asa5505(config)# enable password cisco //特权模式密码 4.配置IP asa5505(config)# interface vlan 2 //进入vlan2 asa5505(config-if)# ip address 218.xxx.37.222 255.255.255.192 //vlan2配置IP asa5505(config)#show ip address vlan2 //验证配置 5.端口加入vlan asa5505(config)# interface e0/3 //进入接口e0/3 asa5505(config-if)# switchport access vlan 3 //接口e0/3加入vlan3 asa5505(config)# interface vlan 3 //进入vlan3 asa5505(config-if)# ip address 10.10.10.36 255.255.255.224 //vlan3配置IP asa5505(config-if)# nameif dmz //vlan3名 asa5505(config-if)# no shutdown //开启 asa5505(config-if)# show switch vlan //验证配置 6.最大传输单元MTU asa5505(config)#mtu inside 1500 //inside最大传输单元1500字节 asa5505(config)#mtu outside 1500 //outside最大传输单元1500字节 asa5505(config)#mtu dmz 1500 //dmz最大传输单元1500字节 7.配置arp表的超时时间 asa5505(config)#arp timeout 14400 //arp表的超时时间14400秒 8.FTP模式 asa5505(config)#ftp mode passive //FTP被动模式 9.配置域名 asa5505(config)#domain-name 10.启动日志 asa5505(config)#logging enable //启动日志 asa5505(config)#logging asdm informational //启动asdm报告日志 asa5505(config)#Show logging //验证配置 11.启用http服务 asa5505(config)#http server enable //启动HTTP server,便于ASDM连接。 asa5505(config)#http 0.0.0.0 0.0.0.0 outside //对外启用ASDM连接 asa5505(config)#http 0.0.0.0 0.0.0.0 inside //对内启用ASDM连接 12.控制列表 access-list acl_out extended permit tcp any any eq www //允许tcp协议80端口入站 access-list acl_out extended permit tcp any any eq https //允许tcp协议443端口入站 access-list acl_out extended permit tcp any host 218.xxx.37.223 eq ftp //允许tcp协议21端口到218.xxx.37.223主机 access-list acl_out extended permit tcp any host 218.xxx.37.224 eq 3389 //允许tcp协议3389端口到218.xxx.37.224主机 access-list acl_out extended permit tcp any host 218.xxx.37.225 eq 1433 //允许tcp协议1433端口到218.xxx.37.225主机 access-list acl_out extended permit tcp any host 218.xxx.37.226 eq 8080 //允许tcp协议8080端口到218.xxx.37.226主机 asa5505(config)#show access-list //验证配置 13.设置路由 asa5505(config)#route dmz 10.0.0.0 255.0.0.0 10.10.10.33 1 //静态路由到10.0.0.0网段经过10.10.10.33网关跳数为1 asa5505(config)#rout

2.基本配置 配置主机名：ciscoasa>enciscoasa#cinf tciscoasa(config)#hostname asa802域名:asa802(config)#domain-name 特权密码:asa802(config)#enable password 123Telnet或SSH密码:asa802(config)#passwd ciscoASA接口名字和安全级别asa802(config-if)#nameif inside（不起名，ping不通）asa802(config-if)#security-level 100(取值0—100 ，值越大，安全级越高)接口地址：asa802(config-if)#ip address 10.0.0.0.1 255.255.255.0asa802(config-if)#no shut查看接口地址：asa802(config)#show ip address（备注：在5505中不支持在物理接口上直接进行配置，必须将将接口加入vlan，进vlan配置，在vlan没no shu时，接口也不可以no shu）配置路由：asa802(config)#route outside（端口名称） 0.0.0.0 0.0.0.0 （目的网段）20.0.0.1(下一跳)可简写asa802(config)#route outside（端口名称）0 0（目的网段） 20.0.0.1(下一跳)asa802#show route 查看路由表3. ASA支持3种主要的远程管理接入方式：Telnet、SSH和ASDM。①配置允许Telnet接入：asa802(config)#telnet 192.168.0.0 255.255.255.0 inside 允许某个网段通过inside口进行telnetasa802(config)#telnet 192.168.0.1 255.255.255.255 inside 允许某台主机通过inside口进行telnetasa802(config)#telnet 0.0 inside 允许所有主机通过inside口进行telnet配置空闲超时时间asa802(config)#telnet timeout 15 （1—1440分钟，默认是5分钟）telnet时可用show run telnet 查看运行的telnet命令使用Telnet远程管理是不安全的，所以一般禁止从外部接口使用Telnet接入。②配置SSH的接入：四步第一步：给防火墙配置主机名和域名第二步：生成RSA密钥对（RSA是一种算法）asa802(config)#crypto key generate rsa modulue 1024（密钥长度，大小为512、768、1024 、2048，默认是1024）第三步：配置防火墙允许SSH接入asa802(config)#ssh 192.168.0.0 255.255.255.0 inside 允许某个网段通过inside口进行sshasa802(config)#ssh 192.168.0.1 255.255.255.255 inside 允许某台主机通过inside口进行sshasa802(config)#ssh 0.0 outside 允许所有主机通过outside口进行ssh （ 更安全）配置空闲超时时间asa802(config)#ssh timeout 15 （1—1440分钟，默认是5分钟）配置SSH版本：asa802(config)#ssh version 1（版本号，有1和2两个版本，不兼容，防火墙与客户机的版本需要保持一致）配置完成后，在主机上用Putty登陆ASA的相应接口ASA默认用户名是pix，密码是自己设置的在ASA上查看SSH会话：asa802#show ssh session③配置ASDM（自适应安全设备管理器，一种GUI远程管理方式）接入使用前提:ASA的Flash中有ASDM映像，可以查看asa802#dir第一步：启用防火墙HTTPS服务器功能asa802（config）#http server enable [prot]默认端口是443，可以指定端口第二步：配置防火墙允许HTTP接入

CISCO ASA防火墙ASDM安装和配置

准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口，通过开始——>程序——> 附件——>通讯——>超级终端

输入一个连接名，比如“ASA”,单击确定。

选择连接时使用的COM口，单击确定。

点击还原为默认值。

点击确定以后就可能用串口来配置防火墙了。

在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。

在串口下输入以下命令：

CiscoASA>

CiscoASA> en

Password:

CiscoASA# conf t 进入全局模式

CiscoASA(config)# username cisco password cisco 新建一个用户和密码

CiscoASA(config)# interface e0 进入接口

CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 添加IP地址

CiscoASA(config-if)# nameif inside 给接口设个名字

CiscoASA(config-if)# no shutdown 激活接口

CiscoASA(config)#q 退出接口

CiscoASA(config)# http server enable 开启HTTP服务

CiscoASA(config)# http 192.168.1.0 255.255.255.0 inside 在接口设置可管理的IP地址

CiscoASA(config)# show run 查看一下配置

ASA的基本安全级别

Cisco ASA 5500不同安全级别区域实现互访实验

一、网络拓扑

二、实验环境

ASA防火墙eth0接口定义为outside区，Security-Level:0，接Router F0/0；ASA防火墙eth1接口定义为insdie区，Security-Level:100，接Switch的上联口；ASA防火墙Eth2接口定义为DMZ区，Security-Level:60，接Mail Server。

三、实验目的

实现inside区域能够访问outside，即Switch能够ping通Router的F0/0（202.100.10.2）；dmz区能够访问outside，即Mail Server能够ping通Router的F0/0（202.100.10.2）；

outside能够访问insdie区的Web Server的http端口(80)和dmz区的Mail Server的pop3端口（110）、smtp端口（25）.

四、详细配置步骤

1、端口配置

CiscoASA(config)# interface ethernet 0

CiscoASA(config)#nameif ouside

CiscoASA(config-if)# security-level 0

CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0

CiscoASA(config-if)# no shut

CiscoASA(config)# interface ethernet 1

ciscoASA防火墙配置

思科cisco依靠自身的技术和对网络经济模式的深刻理解，成为了网络应用的成功实践者之一，那么你知道cisco ASA防火墙配置吗?下面是店铺整理的一些关于cisco ASA防火墙配置的相关资料，供你参考。

cisco ASA防火墙配置的方法：

常用命令有：nameif、interface、ip address、nat、global、route、static等。

global

指定公网地址范围：定义地址池。

Global命令的配置语法：

global (if_name) nat_id ip_address-ip_address [netmark global_mask]

其中：

(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmark global_mask]：表示全局ip地址的网络掩码。

nat

地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat (if_name) nat_id local_ip [netmark]

其中：

(if_name)：表示接口名称，一般为inside.

nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

route

route命令定义静态路由。

语法：

route (if_name) 0 0 gateway_ip [metric]

CISCO ASA防火墙ASDM安装和配置

准备工作：

准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口，通过开始——>程序——> 附件——>通讯——>超级终端

输入一个连接名，比如“ASA”,单击确定。

选择连接时使用的COM口，单击确定。

点击还原为默认值。

点击确定以后就可能用串口来配置防火墙了。

在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。

在串口下输入以下命令：

ciscoasa>

ciscoasa> en

Password:

ciscoasa# conf t 进入全局模式

ciscoasa(config)# webvpn 进入WEBVPN模式

ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码

ciscoasa(config)# int m 0/0 进入管理口

ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0

添加IP地址

ciscoasa(config-if)# nameif guanli 给管理口设个名字ciscoasa(config-if)# no shutdown 激活接口

ciscoasa(config)#q 退出管理接口

ciscoasa(config)# http server enable 开启HTTP服务

ciscoasa(config)# http 192.168.1.0 255.255.255.0 guanli 在管理口设置可管理的IP地址

..

Cisco ASA 防火墙图文配置实例

本文是基于ASA5540 和 ASA5520 的配置

截图所做的一篇配置文档，从最初始的配置开始：

1、连接防火墙登陆

与其他的 Cisco 设备一样，用 Console 线连接到防火墙，初始特权密码为空。

2、配置部接口和 IP 地址

进入到接口配置模式，配置接口的 IP 地址，并指定为 inside。防火墙的地址配置好后，进行测试，确认可以和防火墙通讯。

3、用 dir 命令查看当前的 Image 文件版本。

4、更新 Image 文件。

准备好 TFTP 服务器和新的 Image 文件，开始更新。

5、更新 ASDM。

6、更新完成后，再用 dir 命令查看

8、存盘，重启

9、用 sh version 命令验证启动文件，可以发现当前的 Image 文件

就是更新后的

10、设置允许用图形界面来管理 ASA 防火墙

表示部接口的任意地址都可以通过 http 的方式来管理防火墙。

11、打开浏览器，在地址栏输入防火墙部接口的 IP 地址

选择“是”按钮。

12、出现安装 ASDM 的画面

选择“Install ASDM Launcher and Run ASDM”按钮，开始安装过程。

13、安装完成后会在程序菜单中添加一个程序组

14、运行 ASDM Launcher，出现登陆画面

15、验证证书

单击“是”按钮后，开始登陆过程

16、登陆进去后，出现防火墙的配置画面，就可以在图形界面下完

成 ASA 防火墙的配置

17、选择工具栏的“Configuration”按钮

18、选择“Interface”，对防火墙的接口进行配置，这里配置g0/3

图解Cisco ASA防火墙SSL VPN的配置(图)

随着现在互联网的飞速发展，企业规模也越来越大，一些分支企业、在外办公以及SOHO一族们，需要随时随地的接入到我们企业的网络中，来完成我们一些日常的工作，这时我们VPN在这里就成了一个比较重要的一个角色了。SSL VPN设备有很多。如Cisco 路由器、Cisco PIX防火墙、Cisco ASA 防火墙、Cisco VPN3002 硬件客户端或软件客户端。这极简化了远程端管理和配置。说的简单点就是在Server 端配置复杂的策略和密钥管理等命令，而在我们的客户端上只要配置很简单的几条命令就能和Server端建立VPN链路的一种技术，主要的目的当然就是简化远端设备的配置和管理。

那么今天我们看看我们要实现的是SSL VPN，那什么是SSL VPN呢？

SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN，这是因为SSL 嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。

什么是SSL VPN？

从概念角度来说，SSL VPN即指采用SSL （Security Socket Layer）协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据性。对于、外部应用来说，使用SSL可保证信息的真实性、完整性和性。目前SSL 协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被置于IE等浏览器中，使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。