GNS3中ASA防火墙的使用

基于GNS3模拟器的Cisco ASA防火墙技术应用仿真实现刘景林【摘要】利用GNS3模拟器搭建Cisco ASA防火墙应用的网络场景,仿真模拟ASA防火墙的工作过程并测试验证防火墙内部网络、外部网络以及DMZ三个区域主机间的相互通信.通过配置ASA防火墙实现内网主机可访问外部网络以及对外发布内网服务器,同时也可针对来自外网的非法访问进行拦截过滤,有效地保护内网的安全.【期刊名称】《河北软件职业技术学院学报》【年(卷),期】2018(020)003【总页数】5页(P12-16)【关键词】GNS3模拟器;ASA防火墙;内网安全【作者】刘景林【作者单位】泉州经贸职业技术学院信息技术系,福建泉州 362000【正文语种】中文【中图分类】TP393.0820 引言在网络与信息安全形势日益复杂的今天，如何更好地保护内网的安全成了网络安全技术人员研究的热点，防火墙作为保护内网安全的第一道门槛，担负着数据包的检查与过滤功能，其作用是隔离不同的网络区域，并针对不同的信任区域制定不同的限制规则[1]。

防火墙可根据预先配置好的策略和规则，来阻塞和放行试图进入网络的流量[2]。

通过配置防火墙的ACL功能，实现内网、外网以及DMZ三个区域数据包的访问控制，同时利用防火墙的NAT功能，实现内网私有地址的主机访问外部网络以及对外发布内网服务器。

利用GNS3模拟器搭建ASA防火墙的应用场景，实现内网主机可访问DMZ区域主机和外网主机，DMZ区域主机与外网主机之间也可以相互访问，同时能够针对来自外网的非法流量进行过滤，从而保障内网的安全。

1 ASA防火墙应用场景的搭建GNS3是一款具有图形化界面的网络搭建虚拟仿真软件，可以运行在Windows和Linux平台上，它通过模拟路由器和交换机来创建复杂的物理网络的模拟环境[3]。

利用GNS3模拟器搭建包含自适应安全设备（ASA）防火墙的如下网络场景的拓扑，整个网络分为内网、外网与DMZ三个区域，每个区域都有其相应的主机，如图1所示。

安全级别：0-100从高安全级别到低安全级别的流量放行的从低安全到高安全级别流量禁止的ASA防火墙的特性是基于TCP和UDP链路状态的，会话列表，记录出去的TCP或者UDP 流量，这些流量返回的时候，防火墙是放行的。

ASA防火墙的基本配置!interface Ethernet0/0nameif insidesecurity-level 99ip address 192.168.1.2 255.255.255.0!interface Ethernet0/1nameif dmzsecurity-level 50ip address 172.16.1.2 255.255.255.0!interface Ethernet0/2nameif outsidesecurity-level 1ip address 200.1.1.2 255.255.255.0ciscoasa# show nameifInterface Name SecurityEthernet0/0 inside 99Ethernet0/1 dmz 50Ethernet0/2 outside 12、路由器上配置配置接口地址路由--默认、静态配置VTY 远程登录R3：interface FastEthernet0/0ip address 200.1.1.1 255.255.255.0no shutdown配置去内网络的路由ip route 192.168.1.0 255.255.255.0 200.1.1.2配置去DMZ区域的路由ip route 172.161.0 255.255.255.0 200.1.1.2配置远程登录VTYR3(config)#line vty 0 2R3(config-line)#password 666R3(config-line)#loginR2：interface FastEthernet0/0ip address 172.16.1.1 255.255.255.0no shutdown配置默认路由IP route 0.0.0.0 0.0.0.0 172.16.1.2配置远程登录VTYR3(config)#line vty 0 2R3(config-line)#password 666R3(config-line)#loginR2：interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0no shutdown配置默认路由IP route 0.0.0.0 0.0.0.0 192.168.1.2配置远程登录VTYR3(config)#line vty 0 2R3(config-line)#password 666R3(config-line)#loginR1可以Telnet R3 ，反过来不行R1不可以ping通R3防火墙放行流量防火墙能放行R3低安全级别的---R1高安全级别区域--Telnet流量ciscoasa(config)# access-list 100 permit tcp host 200.1.1.1 host 192.168.1.1 eq 23应用列表到接口ciscoasa(config)# access-group 100 in interface outside验证：防火墙能放行R3低安全级别的---R1高安全级别区域--ICMP流量ciscoasa(config)# access-list 100 permit icmp host 200.1.1.1 host 192.168.1.1验证。

【模拟环境】我所使用的GNS3版本为0.7.4，如果低于这个版本，有些版本会缺少些选项无法支持。

GNS3_0.74下的asa配置【ASA】下载地址：/data/219643ASA有2种模式的编译文件，分别为单模式和多模式，可选择使用。

我使用的是单模式，我试用过多模式，不太好用。

这里不是使用Unpack将IOS中提取出编译文件（initrd文件）和内核（vmlinuz文件）来使用，网上有使用这种方法的，但是我尝试不成功。

于是我直接使用已经编译好的.gz文件，虽然需要初始化等一些操作，但可以使用CRT 的按钮功能来弥补。

如果你们还有更好的方法，可以共享。

一、配置我将它存放到GNS3文件夹下，路径分别为：G:\GNS3\Fw\ASA\Run\asa802-k8-sing.gzG:\GNS3\Fw\ASA\Run\asa802-k8-muti.gzG:\GNS3\Fw\ASA\Run\asa802-k8.vmlinuz3、打开GNS3，编辑→首选项→Qemu→ASA；添加单模式：Identifier name：asa802-k8-sing（自己填名称，但不能是中文）RAM：256（使用默认的256）Number of NICs：6（网卡数量，默认是6）NIC model：e1000（网卡类型，默认是e1000）Qemu Options：-hdachs 980,16,32 -vnc :1（手动输入）Initrd：G:\GNS3\Fw\ASA\Run\asa802-k8-sing.gz（编译文件路径）Kernel：G:\GNS3\Fw\ASA\Run\asa802-k8.vmlinuz（内核文件路径）Kernel cmd line：auto console=ttyS0,9600n8 nousb ide1=noprobe bigphysarea=16384 hda=980,16,32（关键，否则无法telnet）输入完后，点击保存，下面列表中会出现。

ASA防火墙IPSECVPN配置一.IPSECVPN(itetoite)第一步：在外部接口启用IKE协商cryptoikev1enableoutide第二步：配置ikev1协商策略Ikev1策略两边要一致，可设置多个策略模板，只要其中一个和对方匹配即可cryptoikev1policy5//启用并创建一个ikev1策略，并指定优先级为5 authenticationpre-hare//配置认证方式为预共享密钥第三步：配置需要加密的数据流10.30.0.0为本地内网地址，172.17.0.0为对方内网地址acce-litipec-vpne某tendedpermitip10.30.0.0255.255.0.0172.17.0.0255.255.0.0第四步：设置到对方私网地址的路由配置静态路由指向outide接口,某.某.某.某为ASA防火墙outide接口地址,172.17.0.0为对方内网地址routeoutide172.17.0.0255.255.0.0某.某.某.某第五步：配置ipec的数据转换格式集cryptoipecikev1tranform-etE7_AWS_tran(自定义名)ep-3deep-ha-hmac第六步：建立加密静态映射图cryptomapE7_to_AWS10matchaddreipec-vpn//配置哪些数据流会启用IPSEC加密cryptomapE7_to_AWS10etpeer某.某.某.某//指定对端地址，某.某.某.某为对端VPN公网地址cryptomapE7_to_AWS10etikev1tranform-etE7_AWS_tran//建立加密静态映射图，加密格式引用数据转换格式集my_tran（两边要一致）第七步：将加密静态映射图应用于外网接口cryptomapE7_to_AWSinterfaceoutide第八步：建立IPSECVPN隧道组tunnel-group某.某.某.某typeipec-l2l//建立IPSECVPN隧道组类型tunnel-group某.某.某.某ipec-attribute//配置IPSECVPN隧道组参数pre-hared-key某//配置预共享密钥，两边要一致，否则第一阶段协商不起来二.IPSECVPN(clienttoite)第一步：配置地址池iplocalpooltetipec172.19.7.1-172.19.7.127mak255.255.255.128//ipec拨入后的地址池第二步：配置隧道分离ACLacce-litplit-le某tendedpermitip192.168.0.0255.255.0.0any第三步：配置访问控制ACLacce-littetipece某tendedpermitipany192.168.0.0255.255.0.0第四步：配置不走NAT的ACLacce-litnonat-vpne某tendedpermitip192.168.0.0255.255.0.0172.19.0.0255.255.248.0 nat(inide)0acce-litnonat-vpn//不走NATcryptoiakmpenableoutide//在外部接口启用IKE协商第五步：配置IKE策略第六步：配置组策略group-policyipectetinternal//配置组策略group-policyipectetattribute//配置组策略属性vpn-filtervaluetetipec//设置访问控制vpn-tunnel-protocolIPSec//配置隧道协议plit-tunnel-policytunnelpecified//建立隧道分离策略plit-tunnel-network-litvalueplit-l//配置隧道分离，相当于推送一张路由表第七步：设置VPN隧道组tunnel-groupipectettyperemote-acce//设置VPN隧道组类型tunnel-groupipectetgeneral-attribute//设置VPN隧道组属性addre-pooltetipec//设置地址池default-group-policyipectet//指定默认的组策略tunnel-groupipectetipec-attribute//设置VPN远程登入(即使用隧道分离)的ipec属性pre-hared-key某//设置共享密钥1．查看IPSECVPN的相关信息基本命令howcryptoiakmpa//查看IPSECVPNiakmp（IPSEC第一阶段）协商的结果howcryptoipecapeer某.某.某.某//查看IPSEC会话的相关信息（IPSEC第二阶段）debugcryptoipec//ipecitetoite建立不起来的时候可使用debug命令来获取相关错误信息，通常ASA设备的CPU利用率都比较低，debug命令可放心使用，具体情况区别对待IPSEC第一阶段协商不起来的常见原因:peer路由不通cryptoikmpkey没有设置或者不一致iakmp的策略（IKE策略）不匹配IPSEC第二阶段协商不起来的常见原因:IPSEC加密流不对称Ipec协商参数不一致2．IPSECipecitetoite需要注意的问题ipec会话有默认的时间限制，到默认的时间后会话会失效重新建立，当两端设备类型不一致时，两边的会话的默认到期时间由于不一致将会导致问题，这个参数不影响IPSECVPN的建立，但是当一边到期后，另外一边ipeceion保留在那里，而发起访问的服务器是从保留eion的那一端过来的话，将不会重新建立新的ipec会话。

印象网络--工作室群号：300309792实验名称： 配置ASA（三个区域） 实验人：lun0yellow（ylxl） 实验目的： Inside、outside、dmz：R1、R2和R3用来模拟PC：实验拓扑：实验环境： GNS3实验器材： GNS3实验步骤：//配置路由器和ASA的接口、路由、实现网络互通：ciscoasa(config)# int e0/1ciscoasa(config-if)# nameif insideINFO: Security level for "inside" set to 100 by default.ciscoasa(config-if)# ip add 10.1.1.254 255.255.255.0ciscoasa(config-if)# no shciscoasa(config-if)# int e0/0ciscoasa(config-if)# nameif outsideINFO: Security level for "outside" set to 0 by default.ciscoasa(config-if)# ip add 172.16.1.254 255.255.255.0ciscoasa(config-if)# no shciscoasa(config-if)# int e0/2ciscoasa(config-if)# nameif dmzINFO: Security level for "dmz" set to 0 by default.ciscoasa(config-if)# security-level 50ciscoasa(config-if)# ip add 192.168.1.254 255.255.255.0ciscoasa(config-if)# no shciscoasa(config-if)# exitciscoasa(config)# route outside 172.16.2.0 255.255.255.0 172.16.1.1//在R1、R2、R3、R4上配置：R1(config)#int f0/0R1(config-if)#ip add 10.1.1.1 255.255.255.0R1(config-if)#no shR1(config-if)#exitR1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.254R1(config)#do wrR2(config)#int f0/0R2(config-if)#ip add 172.16.1.1 255.255.255.0R2(config-if)#no shR2(config-if)#int f0/1R2(config-if)#int f0/1R2(config-if)#ip add 172.16.2.2 255.255.255.0R2(config-if)#no shR2(config-if)#exitR2(config)#ip route 10.1.1.0 255.255.255.0 172.16.1.254R2(config)#ip route 192.168.1.0 255.255.255.0 172.16.1.254 R2(config)#do wrR3(config)#int f0/0R3(config-if)#ip add 172.16.2.1 255.255.255.0R3(config-if)#no shR3(config-if)#exitR3(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.2R3(config)#do wrR4(config)#int f0/0R4(config-if)#ip add 192.168.1.1 255.255.255.0R4(config-if)#no shR4(config-if)#exitR4(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254R4(config)#do wr//配置R1/R2/R3/R4的vty密码。

GNS3模拟 Linux Microcore ，PIX ，Juniper ，ASA ，IPS【模拟环境】我所使用的GNS3版本为0.7.4，如果低于这个版本，有些版本会缺少些选项无法支持。

GNS3官方下载地址：/download【Linux Microcore 】 一、配置1、下载所需要的文件（linux-microcore-2.10.img ）； 下载地址：/file/e60l5ch9#linux-microcore-2.10.img到2011-9-7已经更新到linux-microcore-3.8.2 官网下载：/gns-3/linux-microcore-3.8.2.img?download2、将下载好的文件统一存放，文件夹和文件名必须使用英文，GNS3不识别中文路径； 我这里将它统一存放到GNS3文件夹下，路径： G:\GNS3\Qemu\linux-microcore-2.10.img3、打开GNS3，编辑→首选项→Qemu→Qemu Host ；Un Re gi st er ed按以下内容输入：Identifier name ：Linux-MicroCore-2.10（自己填写名称，但不能是中文）Binary image ：G:\GNS3\Qemu\linux-microcore-2.10.img （image 路径，就是第2步的路径） RAM ：128（内存，默认是128）Number of NICs ：6（网卡数量，默认是6） NIC model ：e1000（网卡类型，默认是e1000） Qemu Options ：-no-acpi （手动输入，默认为空）这个版本显示Qemu 窗口，不能telnet ，目前linux-microcore-3.8.2.img 可以telnet 了。

需要的可以去gns3官网下载；高级用户：root 高级密码：root 普通用户：tc切换用户命令： su root/tclinux-microcore-3.8.2版本设置： Identifier name ：linux-microcore-3.8.2Binary image ：G:\GNS3\Qemu\linux-microcore-3.8.2.img RAM ：128（内存，默认是128） Number of NICs ：6 NIC model ：e1000Qemu Options ：-no-acpi console=ttyS0,38400n8 -vnc :1（可telnet 登陆，去掉-vnc :1后，运行时显示Qemu 控制台）Qemu 窗口为Linux 的控制台，默认是登陆的是普通模式 控制台修改用户密码：sudopasswd root //修改root 用户密码 su root //切换用户为roottelnet 密码修改先用tc 登陆，再修改root 密码用户密码：tc 高级用户：root高级用户密码：root(官网发布的密码，但一直提示不正确)输入完后，点击保存，下面列表中会出现，然后点Apply （应用）/OK （确定），这样Linux Microcore 2.10就配置完成。

近期学习ccnp，一直使用gns3做各种实验，在做模拟asa 时遇到较大问题，一直不成功，网上寻找相关gns各种模拟asa教程，发现网上单用asa模拟成功的较少，遇到问题的较多。

这个看似简单，因为各种参数不知所云，所以实际使用各种问题较多，我只能按照各种教程不断尝试，一一破除各种问题，花了整整2天时间，最后终于成功，因此写下来给有需要的参考下。

1、我使用软件就使用Gns3 0.8.6，其他vm虚拟机等都不用！2、asa文件3、参数配置内核命令行：auto nousb ide1=noprobe bigphysarea=16384 console=ttyS0,9600n8 hda=980,16,32网卡设置：我试了2个e1000和i82667b好像都行，不明白原理。

从一开始到最后成功我所遇到的各种奇葩现象：1、配置拉出asa后，启动后，双击运行asa，标题栏显示connection error!不能成功进入配置窗口！通过尝试各个教程的参数配置后不再出现！2、直接进入配置界面，没有#命令窗口，不能按照网上教程输入/mnt/disk0/lina_monitor载入flash，所以，能进入配置界面，但是通过#show flash显示flansh是空的，表明没成功，端口不能起来！3、通过更换initrd和kernel不同版本文件及gns3参数，能进入#窗口输入命令，输入/mnt/disk0/lina_monitor后，刷入后，进入到>命令界面，直接在gns3中，点击关闭所有设备，然后在开启，在进入asa配置界面，再用sh flansh 就显示已成功刷入。

这一步我也走了弯路，进入>后，按照网上教程说是要重启，我傻傻的在#模式下用reload命令重启，然后一直卡住，还以为还是不对。

4、不能保存可以通过在特权模式下输入boot config disk0:/.private/startup-configcopy running-config disk0:/.private/startup-config 2条命令破解。

这段时间有几位同学问我GNS3模拟器的使用方法，现将这个模拟器详细的使用方法整理成文档，希望对同学们学习企业网络高级技术这门课程有所帮助！GNS3 使用教程—安装设置篇一、软件安装1、下载软件：GNS3-0.7.2-win32-all-in-one （网上下载或与本人联系）2、GNS3 简介:GNS3是基于Dynamips开源的免费软件，（感谢作者Jeremy Grossman），GNS3可以仿真复杂网络的图形界面模拟器，可以模拟路由器、交换机、ASA防火墙、PC等，可以用来完成ATEN 课程中的实验，比小凡更直观，更方便及占用CPU更省。

3、安装过程：安装过程相当简单，直接“NEXT”就可以了，如下图所示：到此，GNS3的安装已全部完成。

二、GNS3设置：安装完成后，打开GNS3软件，第一次打开GNS3，会出现设置向导，设置具体步骤如下： 1、设置“Dynamips”：在设置向导界面中，选择“STEP1”，或选编辑—首选项如下图所示：上“简体中文(cn)”。

如下图所示：接着，我们需要设置一下“工程目录”和“IOS/PIXOS 目录”，如下图所示：工程目录----网络拓扑图保存位置IOS/PIXOS目录----Cisco IOS/PIXOS 位置选上“当添加链接默认使用手动模式”，如下图所示：GNS3 是Dynamips的图形界面，记得测试一下。

如下图所示：如下图所示：2、设置“IOS”：返回到设置向导，选择“Step 2”设置IOS ,或选编辑---IOS和Hypervisor。

在“IOS”窗口选择Cisco IOS文件，以及和IOS文件对应的“平台”和“型号”后，单击“保存”，如下图所示：在“外部Hypervisors”窗口单击保存添加主机端口，如下图所示：GNS3 使用教程—软件使用篇 1、软件界面：完成设置向导后，进入到软件界面，如下图所示：2、绘制拓扑图：拖动左边“节点类型”中的设备到中间的“拓扑图绘制区”可绘制网络拓扑图。

GNS3中的ASA防火墙如何使用ASDM关联
软件：ASDM的客户端、bin文件、JDK、3CD （TFTP）
1、设置云的桥接方式为本地物理连接，如果正使用无线，也可以选择无线连接。

如下图所示：
下拉三角选择—点击“添加”—点击“apply”—点击“OK”
2、如下图所示进行拓扑搭建
3、333333312
3、启动ASA防火墙，清空startup-config，特权下#write erase，然后write保存，最后reload一下，与配置回答NO。

4、配置接口ip，需要与本机ip处于同一个网段，并且配置完成保证互通。

首先查看本机ip：ipconfig/all
这里我的本机ip为10.255.250.46，ASA接口ip设置为10.255.250.1，如图
互通：
5、设置TFTP服务器的文件路径正确，为bin 文件的所在路径。

上传文件到ASA的flash中：
回车，根据提示输入TFTP的ip；源文件名称（就是全部的名称，加上后缀的）；目标名称（直接回车就好）
6、对ASA进行如下配置
然后安装并运行ASDM的客户端软件，输入用户名与密码
记得勾上Run in Demo Mode，某则报错，反正我的不勾就报错了。

界面如下：。

图２　设置流程
３　开始实验
将一个ASA拖到工作区不要立刻启用。

在通电之前，右键单击该设备，出现浮动菜单。

选择“配置”菜单，在打开的“节点配置”窗口中点击“ASA1”选项。

在“网卡模块”的下拉列表中把“e1000”改为“pcnet”。

点击【OK】按钮，保存设置。

如图2所示。

在设备初次通电运行，就直接右键点击“console”，会发现在CLI
然最后也能到达命令提示符，但是在实验过程中对端口进行“no shutdown”却不能成功。

４　结　语
GNS3是可以运行在多平台上的图形界面网络虚拟软件，可以通过它完成CCNA、CCNP、CCIE
实验模拟操作[3]。

只要通过以上方法配置好
比其他软件更好地模拟出ASA防火墙。

学生就能完成更多的防火墙实验，就能更深刻理解防火墙知识，就能更好掌握
图１　设置ＡＳＡ参数的流程。

ASA防火墙初始配置1.模式介绍“>”用户模式firewall>enable 由用户模式进入到特权模式password:“#”特权模式firewall#config t 由特权模式进入全局配置模式“（config）#”全局配置模式防火墙的配置只要在全局模式下完成就可以了。

2.接口配置(以5510以及更高型号为例，5505接口是基于VLAN的)：interface Ethernet0/0nameif inside (接口的命名，必须！)security-level 100（接口的安全级别）ip address 10.0.0.10 255.255.255.0no shutinterface Ethernet0/1nameif outsidesecurity-level 0ip address 202.100.1.10 255.255.255.0no shut3.路由配置：默认路由：route outside 0 0 202.100.1.1 （0 0 为0.0.0.0 0.0.0.0）静态路由：route inside 192.168.1.0 255.255.255.0 10.0.0.15505接口配置:interface Ethernet0/0!interface Ethernet0/1switchport access vlan 2interface Vlan1nameif insidesecurity-level 100ip address 192.168.6.1 255.255.255.0!interface Vlan2nameif outsidesecurity-level 0ip address 202.100.1.10ASA防火墙NAT配置内网用户要上网，我们必须对其进行地址转换，将其转换为在公网上可以路由的注册地址，防火墙的nat和global是同时工作的，nat定义了我们要进行转换的地址，而global定义了要被转换为的地址，这些配置都要在全局配置模式下完成，Nat配置：firewall（config）# nat (inside) 1 0 0上面inside代表是要被转换得地址，1要和global 后面的号对应，类似于访问控制列表号，也是从上往下执行，0 0 代表全部匹配（第一个0代表地址，第二个0代表掩码），内部所有地址都回进行转换。

Gns3+ASA安装说明1 、进入GNS3设置，首选项--》Qemu-->General Settings2 、进入GNS3设置，首选项--》Qemu-->ASA3 、创建拓扑4 、启动ASA，出面如下界面不要关闭，最小化就可以了4 、SecureCRT登录，端口为3000。

4 、回到命令提示符后，请等大概1 分钟左右，等待FLASH文件的初始化，此时去看相应的工作目录下的FLASH 文件，会发现FLASH 文件的大小开始变化，大概到24.9M 时，就OK 了，在FLASH 文件初始化的时候，你会发现硬盘灯开始狂闪了。

执行/mnt/disk0/lina_monitorPS:再次运行ASA 的时候，将直接启动到ciscoasa>的状态下，不用再执行上面的命令了5、上面的步骤中格式化了FLASH 文件等等，但是在ASA中还是没有加载了FLASH，所以执行show flash:后可用空间为05、停止所有的ASA，然后重新启动ASA，再执show flash:,FLASH 文件已经被加载了基本命令练习1、接口配置Interface E 0/0Ip address 192.168.0.254 255.255.255.0Nameif inside //设置内接口名字Security-level 100 //设置内接口安全级别No shutdownInterface E 0/1Ip add 192.168.1.254 255.255.255.0Nameif dmz //设置接口为DMZSecurity-level 50 //设置DMZ接口的安全级别No shutdownInterface E 0/2Ip address 200.0.0.2 255.255.255.252Nameif outside //设置外接口名字Security-level 0 //设置外接口安全级别No shutdown2、ASA路由配置：静态路由方式(config)#Route outside 0.0.0.0 0.0.0.0 200.0.0.1（二）只能通过PC1 telnet 或SSH访问ASA1）telnet的密码配置Passwd 1232) 特权模式密码Enable password 12341、telnettelnet 0 0 inside //允许来自内网的所有用户telnet 登录，外网拒绝telnet 192.168.0.0 255.255.255.255 inside //只允许这台机telnet 登录passwd 1234 //telnet 登录密码who //查哪些用户已登录kill //断开连接的用户2、SSHDomain-name //配置域名，在生成密钥时要用到Crypto key generate rsa modulus 1024Ssh 192.168.0.0 255.255.255.0 insideShow ssh测试：在PC1开SecureCRT.exe测试,默认用户名pix6、为了保证使用命令wr、copy run start 时不出现错误，重新启动ASA 后，在全局配置模式下执行：boot config disk0:/.private/startup-configcopy running-config disk0:/.private/startup-config遇到错误提示不用理睬它就可以了。

GNS3 模拟ASA防火墙配置（详细教程）设计目标：信息安全，使用ASA防火墙，网络拓扑如下图。

要求内部局域网用户共享NAT上网，DNS使用ISP 的DNS服务器，Web服务器放在DMZ区域。

拓扑图如下：1.DMZ区域Web服务器上安装Windows2003系统（虚拟网卡为VNet1），启用IIS6.0搭建。

2.OutSide区域Web_DNS服务器上安装Windows2003系统（虚拟网卡为VNet2），启用IIS使用不同主机头搭建、、，并配置DNS服务器(由于内存有限配置在同一台服务器)，负责解析（IP地址为200.1.1.253/29），、、 (IP地址为200.2.2.1/24）。

3.在PC1（虚拟网卡为VNet3）安装Windows2003系统，配置DNS指向200.2.2.1。

4. ASA开启Telnet、SSH服务器，允许InSide区域内PC1（IP：192.168.0.1）访问管理设备。

5. ASA配置ASDM（自适应安全设备管理器），允许InSide区域内192.168.0.0/24网段使用HTTPS 接入。

6. ASA配置Inside用户共享NAT上网，配置ACL策略限制192.168.0.200-254/24访问外网。

7.ASA配置静态NAT使Outside用户访问DMZ区域的WebSrv8.ASA配置URL访问策略，IP地址范围在192.168.0.1-192.168.0.15中的主机只能访问和，不能访问其它任何网站。

9.禁止所有主机访问。

（注：红色部分将提供详细的实验步骤,并在步骤中提供相应的软件下载链接）实施步骤:一、使用虚拟机搭建IIS网站，配置网站的DNS解析（如会搭建可跳第二步-P10）1.首先是安装配置2003的IIS应用程序和DNS服务器2.搭建Inside和Outside区域的Web服务器后面的设置使用默认设置完成就可以了，接下来肯定就是新建网页文件，和配置网站的默认启用的文档。

思科ASA防火墙配置要想配置思科的防火墙得先了解这些命令：常用命令有：nameif、interface、ip address、nat、global、route、static等。

global指定公网地址范围：定义地址池。

Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]其中：(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmark global_mask]：表示全局ip地址的网络掩码。

nat地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat (if_name) nat_id local_ip [netmark]其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。

对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

routeroute命令定义静态路由。

语法：route (if_name) 0 0 gateway_ip [metric]其中：(if_name)：表示接口名称。

0 0 ：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。

缺省值是1。

static配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address 其中：internal_if_name表示内部网络接口，安全级别较高，如inside。

external_if_name表示外部网络接口，安全级别较低，如outside。

asa防火墙命令详解常用命令有：nameif、interface、ip address、nat、global、route、static 等。

global指定公网地址范围：定义地址池。

Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask] 其中：(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmark global_mask]：表示全局ip地址的网络掩码。

nat地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat (if_name) nat_id local_ip [netmark] 其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。

对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

routeroute命令定义静态路由。

语法：route (if_name) 0 0 gateway_ip [metric]其中：(if_name)：表示接口名称。

0 0 ：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。

缺省值是1。

static配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：static(internal_if_name,external_if_name) outside_ip_addrinside_ ip_address其中：internal_if_name表示内部网络接口，安全级别较高，如inside。

external_if_name表示外部网络接口，安全级别较低，如outside。

gns3 asa防火墙怎么样设置gns3 asa 防火墙设置方法一：模拟支持不太完美保存会出错是正常的执行下列 cli报错正常 gns3重启asa 看看配置boot config disk0:/.private/startup-configcopy running-config disk0:/.private/startup-configwrgns3 asa 防火墙设置方法二：第一步：管理接口配置ip地址，即为其配置命令：1、命令语句：#interface management0/0 //进入管理接口2、命令语句：# nameif guanli //接口名3、命令语句：#ip address 192.168.1.1 255.255.255.0 //ip 地址第二步：安全级别等参数命令语句：# security-level 100 //安全级别通过以上两步参数设置，即可成功添加防火墙设备。

gns3 asa 防火墙设置方法三：web服务器置于防火墙之内：将web服务器放在防火墙内部的好处是它得到了很好的安全保护，不容易被黑客所入侵，但缺点是，不容易被外界所应用。

举个例子，如果web服务器是对外宣传自己的，那么这样配置显然是不合理的，这样客户就不能很好的去访问web服务器，所以具体情况还要具体的分析。

web服务器置于防火墙之外：这个的好处是解决了上述所说的这个问题。

这样配置的好处是内部网被很好的保护，就算是黑客入侵了web服务器，内部网络还是安全的。

缺点就是这种配置对web服务器起不到任何防护作用。

web服务器置于防火墙之上：一些管理者为了提高web服务器的安全性能，将防火墙加在web服务器上，以增强web服务器的安全性能，这样做的缺点就是，一旦web服务器出现问题，整个组织网络就暴露在危险之中了。

所有的防火墙配置都要根据实际情况来操作，不能一概而论，也可以综合多种情况出一个合理的规划。

看了“gns3 asa 防火墙怎么样设置”文章的。

思科基于GNS3模拟器的防⽕墙配置实验案例分析本⽂实例讲述了思科基于GNS3模拟器的防⽕墙配置实验。

分享给⼤家供⼤家参考，具体如下：⾃反ACL实验配置拓扑图R4为外⽹，R2和R3为内⽹。

地址表Device Interface IP addressR1 F 0/010.1.65.1F 0/114.1.65.1R2 F 0/010.1.65.2R3 F 0/010.1.65.3R4 F 0/014.1.65.4先在R2、R3与R4上配置配置静态路由R2(config)#ip route 14.1.65.0 255.255.255.0 10.1.65.1R3(config)#ip route 14.1.65.0 255.255.255.0 10.1.65.1R4(config)#ip route 10.1.65.0 255.255.255.0 14.1.65.1配置静态路由完成，路由之间互通，即可做⾃反ACL1.配置拒绝外⽹主动访问内⽹说明：拒绝外⽹主动访问内⽹，但是ICMP可以不受限制（1）配置允许ICMP可以不⽤标记就进⼊内⽹，其它的必须被标记才返回R1(config)#ip access-list extended comeR1(config-ext-nacl)#permit icmp any anyR1(config-ext-nacl)#evaluate abc（2）应⽤ACLR1(config)#int f0/1R1(config-if)#ip access-group come in2.测试结果（1）测试外⽹R4的ICMP访问内⽹说明：可以看到，ICMP是可以任意访问的（2）测试外⽹R4 telnet内⽹说明：可以看到，除ICMP之外，其它流量是不能进⼊内⽹的。

（1）测试内⽹R2的ICMP访问外⽹说明：可以看到，内⽹发ICMP到外⽹，也正常返回了（2）测试内⽹R2发起telnet到外⽹说明：可以看到，除ICMP之外，其它流量是不能通过的。

一、Cisco防火墙简介1、硬件与软件防火墙1>软件防火墙Cisco新版本的IOS软件提供了IOS防火墙特性集，它具备应用层只能状态检测防火墙引擎。

2>硬件防火墙硬件防火墙更具有优势：→功能更强大，且明确是为了抵御威胁而设计的→硬件防火墙比软件防火墙的漏洞少Cisco硬件防火墙技术应用与以下三个领域→PIX 500系列安全设备→ASA 5500系列自适应安全设备→Catalyst 6500系列交换机和Cisco 7600系列路由器的防火墙服务模块（FWSM）2、ASA安全设备Cisco ASA 5500系列自适应安全设备提供了整合防火墙、入侵保护系统（IPS）、高级自适应威胁防御服务。

其中包括应用安全和简化网络安全解决方案的VPN服务。

二、ASA的安全算法1、状态化防火墙ASA首先是一个状态化防火墙，状态化防火墙维护一个关于用户信息的连接表，称为conn表，表中信息如下→源IP地址→目的IP地址→IP协议→IP协议信息（例如TCP序列号，TCP控制位等）默认情况下，ASA对TCP和UDP协议提供状态化连接，但ICMP协议是非状态化的2、安全算法的原理ASA使用安全算法执行以下三步基本操作→访问控制列表：基于特定的网络、主机和服务控制网络访问→连接表（conn）：维护每个连接的状态信息。

安全算法使用此信息在已建立的连接中有效转发流量→检测引擎：执行状态检测和应用层检测。

检测规则集是预先定义的，来验证应用是否遵从每个RFC和其他标准数据的检测过程：首先检查访问控制列表，确定是否允许连接；然后执行路由查询，如果路由正确，将会在conn表中创建相应信息；然后在检测引擎中检查预定义的一套规则，如果已应用，则进一步执行应用层检测；目的主机相应服务；ASA防火墙查看conn连接表，如果表中存在，则执行放行，如果不存在，则检测引擎检查，然后访问控制列表检查。

三、ASA的基本配置1、使用GNS3模拟ASA防火墙需要的文件：→GNS3软件（可以去其官网下载）→asa802-k8.gz镜像文件→vmlinuz内核文件所有的东西也可以去/s/1u9eFW（我的百度云下载，GNS3压缩包里面有所有的东西）打开GNS3后，单击编辑，选择首选项（或者直接按Ctrl+Shift+P）填写以下几项其他默认即可使用ASA防火墙的时候，拽一个防火墙，然后将防火墙的网络改为pcnet，这时的防火墙就可以使用了2、配置主机名和密码1>配置主机名可以使用以下命令配置主机名：(config)#hostname 名字2>配置密码（1）配置特权密码(config)#enable password 密码（2）配置远程登录密码(config)#passwd 密码3、接口的概念与配置1>接口的名称ASA的一个接口通常有两种名称，即物理名称和逻辑名称1)物理名称物理名称与路由器的名称类似，如E0/0，E0/1等ASA 5510及以上的型号还有专门的管理接口，例如management0/02)逻辑名称逻辑名称用户大多数的配置命令，用来描述安全区域。