CiscoASA防火墙详细图文配置实例

合集下载

ciscoasa防火墙双机主备实例.doc

cisco asa 双机主备实例拓扑图如下:前两天为客户架设两台思科防火墙做主备1. 思科的双机主备是备机直接接管主机内存无切换感觉。

2. 备机学习到的配置无法修改。

ASA 5550 A host name(c on fig)# in terface gi0/0 host name(con fig-if)# n ameif outsidehost name(c on fig-if)# no shutdow n hostname(config-if)# ip address 1.1.1.1 255.255.255.0 standby 1.1.1.2 host name(c on fig)# in terface gi0/1host name(c on fig-if)# n ameif in sidehost name(co nfig-if)# ip address 2.2.2.2 255.255.255.0 sta ndby 2.2.2.2 host name(c on fig-if)# no shutdow nhost name(c on fig)# in terface gi0/2host name(c on fig-if)# n ameif hahost name(c on fig-if)# no shutdow n//做failover link 的接口不需要做地址配置host name(c on fig)# failover Ian unit primaryhost name(c on fig)# failover Ian in terface ha gi0/2// 定义 failover link 接口host name(co nfig)# failover in terface ip ha 333.1 255.255.255.0 333.2host name(c on fig)# failoverhost name(con fig)# copy runnin g-c onfig startup-c onfigASA 5550 Bhost name(c on fig)# in terface gi0/2host name(c on fig-if)# n ameif ha 配置如下：sta ndbyhostname(config-if)# no shutdown hostname(config)# failover lan unitsecondary hostname(config)# failover lan interface ha gi0/3hostname(config)# failover interface ip ha 3.3.3.1 255.255.255.0 3.3.3.2hostname(config)# failover hostname(config)# copy running-configstandby startup-config // 备机很快会学到主机的配置。

Cisco ASA5505防火墙详细配置教程及实际配置案例

Cisco ASA5505防火墙详细配置教程及实际配置案例interface Vlan2nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级ip address X.X.X.X 255.255.255.224 --------------------调试外网地址!interface Vlan3nameif inside ----------------------------------------对端口命名内端口security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级!interface Ethernet0/0switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定!interface Ethernet0/1switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定!interface Ethernet0/2shutdown!interface Ethernet0/3shutdown!interface Ethernet0/4shutdown!interface Ethernet0/5shutdown!interface Ethernet0/6shutdown!interface Ethernet0/7shutdown!passwd 2KFQnbNIdI.2KYOU encryptedftp mode passivedns domain-lookup insidedns server-group DefaultDNSname-server 211.99.129.210name-server 202.106.196.115access-list 102 extended permit icmp any any ------------------设置ACL列表（允许ICMP全部通过）access-list 102 extended permit ip anyany ------------------设置ACL列表（允许所有IP全部通过）pager lines 24mtu outside 1500mtu inside 1500icmp unreachable rate-limit 1 burst-size 1no asdm history enablearp timeout 14400global (outside) 1 interface ----------------------------------------设置NAT地址映射到外网口nat (inside) 1 0.0.0.0 0.0.0.0 0---------------------------------NAT地址池（所有地址）0无最大会话数限制access-group 102 in interface outside ------------------―――设置ACL列表绑定到外端口route outside 0.0.0.0 0.0.0.0 x.x.x.x 1 ------------------设置到外网的默认路由timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absoluteno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstart telnet 0.0.0.0 0.0.0.0 inside ----------------------------------------设置TELNET所有地址进入telnet timeout 5ssh 0.0.0.0 0.0.0.0 outside ----------------------------------------设置SSH所有地址进入ssh timeout 30ssh version 2console timeout 0!dhcpd address 192.168.1.100-192.168.1.199inside ------------------设置DHCP服务器地址池dhcpd dns 211.99.129.210 202.106.196.115 interfaceinside ------------------设置DNS服务器到内网端口dhcpd enableinside --------------------------------------------------------------设置DHCP应用到内网端口!前几天去客户那调试CISCO-ASA-5505设备,第一次摸,跟PIX一样,呵呵.没有技术含量,都是最基本的.其他业务配置暂时没配,会及时更新的.Cisco ASA5505配置cisco, config, telnet, 防火墙, Cisco1.配置防火墙名ciscoasa> enableciscoasa# configure terminalciscoasa(config)# hostname asa55052.配置telnetasa5505(config)#telnet 192.168.1.0 255.255.255.0 inside ↑//允许内部接口192.168.1.0网段telnet防火墙3.配置密码asa5505(config)# password cisco ------------------远程密码asa5505(config)# enable password cisco ------------------特权模式密码4.配置IPasa5505(config)# interface vlan 2 ------------------进入vlan2asa5505(config-if)# ip address 218.16.37.222 255.255.255.192 ------------------vlan2配置IPasa5505(config)#show ip address vlan2 ------------------验证配置5.端口加入vlanasa5505(config)# interface e0/3 ------------------进入接口e0/3asa5505(config-if)# switchport access vlan 3 ------------------接口e0/3加入vlan3asa5505(config)# interface vlan 3 ------------------进入vlan3asa5505(config-if)# ip address 10.10.10.36 255.255.255.224 ------------------vlan3配置IPasa5505(config-if)# nameif dmz ------------------vlan3名asa5505(config-if)# no shutdown ------------------开启asa5505(config-if)# show switch vlan ------------------验证配置6.最大传输单元MTUasa5505(config)#mtu inside 1500 ------------------inside最大传输单元1500字节asa5505(config)#mtu outside 1500 ------------------outside最大传输单元1500字节asa5505(config)#mtu dmz 1500 ------------------dmz最大传输单元1500字节7.配置arp表的超时时间asa5505(config)#arp timeout 14400 ------------------arp表的超时时间14400秒8.FTP模式asa5505(config)#ftp mode passive ------------------FTP被动模式9.配置域名asa5505(config)#domain-name 10.启动日志asa5505(config)#logging enable ------------------启动日志asa5505(config)#logging asdm informational ------------------启动asdm报告日志asa5505(config)#Show logging ------------------验证配置11.启用http服务asa5505(config)#http server enable ------------------启动HTTP server,便于ASDM连接。

Cisco_ASA5500_firewall_配置技巧及实例

一、思科ASA防火墙精华配置总结思科防火墙PIX ASA 配置总结一（基础）：下面是我工作以来的配置总结，有些东西是6.3版本的，但不影响在7.＊版本的配置。

一：6个基本命令：nameif、interface、ip address 、nat、global、route。

二：基本配置步骤：step1: 命名接口名字nameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 dmz security50＊＊7版本的配置是先进入接口再命名。

step2：配置接口速率interface ethernet0 10full autointerface ethernet1 10full autointerface ethernet2 10fullstep3：配置接口地址ip address outside 218.106.185.82ip address inside 192.168.100.1 255.255.255.0ip address dmz 192.168.200.1 255.255.255.0step4：地址转换（必须）* 安全高的区域访问安全低的区域（即内部到外部）需NAT和global;nat(inside) 1 192.168.1.1 255.255.255.0global(outside) 1 222.240.254.193 255.255.255.248＊＊＊nat (inside) 0 192.168.1.1 255.255.255.255 表示192.168.1.1这个地址不需要转换。

直接转发出去。

* 如果内部有服务器需要映像到公网地址(外网访问内网)则需要static和conduit或者acl.static (inside, outside) 222.240.254.194 192.168.1.240static (inside, outside) 222.240.254.194 192.168.1.240 10000 10后面的10000为限制连接数，10为限制的半开连接数。

思科ASA5505防火墙配置成功实例

配置要求：1、分别划分inside（内网）、outside（外网）、dmz（安全区）三个区域。

2、内网可访问外网及dmz内服务器（web），外网可访问dmz内服务器（web）。

3、Dmz服务器分别开放80、21、3389端口。

说明：由于防火墙许可限制“no forward interface Vlan1”dmz内服务器无法访问外网。

具体配置如下：希望对需要的朋友有所帮助ASA Version 7.2(4)!hostname asa5505enable password tDElRpQcbH/qLvnn encryptedpasswd 2KFQnbNIdI.2KYOU encryptednames!interface Vlan1nameif outsidesecurity-level 0ip address 外网IP 外网掩码!interface Vlan2nameif insidesecurity-level 100ip address 192.168.1.1 255.255.255.0!interface Vlan3no forward interface Vlan1nameif dmzsecurity-level 50ip address 172.16.1.1 255.255.255.0!interface Ethernet0/0description outside!interface Ethernet0/1description insideswitchport access vlan 2!interface Ethernet0/2description dmzswitchport access vlan 3!interface Ethernet0/3description insideswitchport access vlan 2!interface Ethernet0/4shutdown!interface Ethernet0/5shutdown!interface Ethernet0/6shutdown!interface Ethernet0/7shutdown!ftp mode passiveobject-group service outside-to-dmz tcpport-object eq wwwport-object eq ftpport-object eq 3389access-list aaa extended permit tcp any host 外网IP object-group outsid e-to-dmzaccess-list bbb extended permit tcp host 172.16.1.2 192.168.1.0 255.255. 255.0 object-group outside-to-dmzpager lines 24mtu outside 1500mtu inside 1500mtu dmz 1500icmp unreachable rate-limit 1 burst-size 1asdm image disk0:/asdm-524.binno asdm history enablearp timeout 14400global (outside) 1 interfaceglobal (dmz) 1 172.16.1.10-172.16.1.254 netmask 255.255.255.0nat (inside) 1 192.168.1.0 255.255.255.0nat (dmz) 1 172.16.1.0 255.255.255.0alias (inside) 221.203.36.86 172.16.1.2 255.255.255.255static (dmz,outside) tcp interface www 172.16.1.2 www netmask 255.255.2 55.255 dnsstatic (dmz,outside) tcp interface ftp 172.16.1.2 ftp netmask 255.255.2 55.255 dnsstatic (dmz,outside) tcp interface 3389 172.16.1.2 3389 netmask 255.255. 255.255dnsstatic (inside,dmz) 172.16.1.2 192.168.1.0 netmask 255.255.255.255 dns access-group aaa in interface outsideaccess-group bbb in interface dmzroute outside 0.0.0.0 0.0.0.0 外网网关 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeout sip-provisional-media 0:02:00 uauth 0:05:00 absoluteno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5ssh timeout 5console timeout 0!class-map inspection_defaultmatch default-inspection-traffic!!policy-map type inspect dns preset_dns_mapparametersmessage-length maximum 512policy-map global_policyclass inspection_defaultinspect dns preset_dns_mapinspect ftpinspect h323 h225inspect h323 rasinspect netbiosinspect rshinspect rtspinspect skinnyinspect esmtpinspect sqlnetinspect sunrpcinspect tftpinspect sipinspect xdmcpinspect http!service-policy global_policy globalprompt hostname contextCryptochecksum:9d2a6010d4fc078cf026f98dcec96007 : endasa5505(config)#。

Cisco_ASA防火墙ASDM图文配置实例

。示显常正法无将 setyB02 过超度长 IRU 时此
证验 ILC 过通
moc.yrotcaffdp.www noisrev lairt orP yrotcaFfdp htiw detaerc FDP
速限行进用应对 SOQ 过通 3.01
moc.yrotcaffdp.www noisrev lairt orP yrotcaFfdp htiw detaerc FDP
moc.yrotcaffdp.www noisrev lairt orP yrotcaFfdp htiw detaerc FDP
A txetnoc 陆登
。样一法方置配的 B txetnoc�毕完置配经已 A txetnoc 时此
moc.yrotcaffdp.www noisrev lairt orP yrotcaFfdp htiw detaerc FDP
eluR TAN cimanyD ddA 择选换转 TAN 态动立建、72
钮按 ddA 击单�TAP 择选�edistuO 择选 ecafretnI
池址地个一加增�dda 击单
换转 TAN 态动加添了成完
KO 击单
对�后文本在接联置配的用常分部中档文该将并�文本成完来档文和图截的》告报试测 0.6MDSA/0.8ASA《考参好只�墙火防 ASA 有没又位单新�做有没图截的置配些有�位单原了开离年 9002 者笔于由换转 TAN 态静、8 2
PI 理管置设
口接义定式模换转
式模明透置设 1.9 。的样一是式模 elgnis 置配和置配他其的 txetnoc 于对式模明透 9
moc.yrotcaffdp.www noisrev lairt orP yrotcaFfdp htiw detaerc FDP

实验10-思科ASA防火墙的NAT配置

实验10 思科ASA防火墙的NAT配置一、实验目标1、掌握思科ASA防火墙的NAT规则的基本原理；2、掌握常见的思科ASA防火墙的NAT规则的配置方法。

二、实验拓扑根据下图搭建拓扑通过配置ASA防火墙上的NAT规则，使得inside区能单向访问DMZ区和outside区，DMZ区和outside区能够互访。

三、实验配置1、路由器基本网络配置，配置IP地址和默认网关R1#conf tR1(config)#int f0/0R1(config-if)#ip address 192.168.2.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR1(config)#ip default-gateway 192.168.2.254 //配置默认网关R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254 //添加默认路由R1(config)#exitR1#writeR2#conf tR2(config)#int f0/0R2(config-if)#ip address 202.1.1.1 255.255.255.0R2(config-if)#no shutdownR2(config-if)#exitR2(config)#ip default-gateway 202.1.1.254R2(config)#exitR2#writeServer#conf tServer(config)#no ip routing //用路由器模拟服务器，关闭路由功能Server(config)#int f0/0Server(config-if)#ip address 192.168.1.1 255.255.255.0Server(config-if)#no shutdownServer(config-if)#exitServer(config)#ip default-gateway 192.168.1.254Server(config)#exitServer#write*说明：实际配置中最好在三台路由器上都添加一条通往防火墙的默认路由，但在本实验中Server和R2不配置不影响实验效果。

思科ASA防火墙配置

配置PIX Failover简介：本文描述了Pix Failover特性的配置。

Failover的系统需求要配置pix failover需要两台PIX满足如下要求：∙型号一致(PIX 515E不能和PIX 515进行failover)∙软件版本相同∙激活码类型一致(都是DES或3DES)∙闪存大小一致∙内存大小一致Failover中的两个设备中，至少需要一个是UR的版本，另一个可以是FO或者UR 版本。

R版本不能用于Failover，两台都是FO版版也不能用于同一个Failover环境。

注意 Pix501、Pix506/506E均不支持Failover特性。

理解FailoverFailover可以在主设备发生故障时保护网络，在配置了Stateful Failover的情况下，在从主Pix迁移到备PIX时可以不中断TCP连接。

Failover发生时，两个设备都将改变状态，当前活动的PIX将自己的IP和MAC地址都改为已失效的PIX的相应的IP和MAC地址，并开始工作。

而新的备用PIX则将自己的IP和MAC设置为原备份地址。

对于其它网络设备来说，由于IP和MAC都没改变，在网络中的任何地方都不需要改变arp 表，也不需要等待ARP超时。

一旦正确配置了主Pix，并将电缆连接正确，主Pix将自动把配置发送到备份的PIX 上面。

Failover可以在所有的以太网接口上工作良好，但Stateful Failover所使用的接口只能是百兆或千兆口。

在未配置Failover或处于Failover活动状态时，pix515/515E/525/535前面板上的ACT指示灯亮，处于备用状态时，该灯灭。

将两台PIX连在一起做Fairover有两种方式：使用一条专用的高速Failover电缆做基于电缆的Failover，或者使用连接到单独的交换机/VLAN间的单独的接口的基于网络的的Failover。

如果做stateful Failover或做基于网络的Failover时，推荐使用100兆全双工或千兆连接。

cisco ASA防火墙开局配置指南

一，配置接口配置外网口：interface GigabitEthernet0/0nameif outside 定义接口名字security-level 0ip address 111.160.45.147 255.255.255.240 设定ipnoshut!配置内网口：interface GigabitEthernet0/1nameif insidesecurity-level 100ip address 20.0.0.2 255.255.255.252noshut二，配置安全策略access-list outside_acl extended permit icmp any any配置允许外网pingaccess-group outside_acl in interface outside 应用策略到outside口access-list inside_access_in extended permit ip any any配置允许内网访问外网access-group inside_access_in in interface inside应用到inside口三，设置路由route outside 0.0.0.0 0.0.0.0 111.160.45.145 1配置到出口的默认路由route inside 10.1.0.0 255.255.0.0 20.0.0.1 1 配置到内网的静态路由四，配置natobject network nat_net配置需要nat的内网网段subnet 0.0.0.0 0.0.0.0nat (inside,outside) source dynamic nat_net interface配置使用出接口ip做转换ip 五，配置远程管理配置telet管理：telnet 0.0.0.0 0.0.0.0 outsidetelnet 0.0.0.0 0.0.0.0 insidetelnet timeout 30配置ssh管理：crypto key generate rsa建立密钥并保存一次wrissh 0.0.0.0 0.0.0.0 outsidessh 0.0.0.0 0.0.0.0 insidessh timeout 30ssh version 1配置用户名密码：username admin password yfz4EIInjghXNlcu encrypted privilege 15。

实验2ASA防火墙配置.

国家高等职业教育网络技术专业教学资源库PIX防火墙PIX防火墙安全典型案例实验二ASA防火墙配置实验二ASA防火墙配置一、实验目的通过该实验了解ASA防火墙的软硬件组成结构，掌握ASA防火墙的工作模式，熟悉ASA 防火墙的基本指令，掌握ASA防火墙的动态、静态地址映射技术，掌握ASA防火墙的访问控制列表配置，熟悉ASA防火墙在小型局域网中的应用。

二、实验任务●观察ASA防火墙的硬件结构，掌握硬件连线方法●查看ASA防火墙的软件信息，掌握软件的配置模式●了解ASA防火墙的基本指令，实现内网主机访问外网主机，外网访问DMZ区三、实验设备ASA5505防火墙一台，CISCO 2950交换机两台，控制线一根，网络连接线若干，PC机若干四、实验拓扑图及内容详细配置：内网R6：R1>enR1#R1#conf tEnter configuration commands, one per line. End with CNTL/Z.R1(config)#int f0/0R1(config-if)#ip add 10.1.1.2 255.255.255.0R1(config-if)#no shutR1(config-if)#*Mar 1 00:01:32.115: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up *Mar 1 00:01:33.115: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR1(config-if)#exitR1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.3R1(config)#exitR1#DMZ区R3:R2>enR2#conf tEnter configuration commands, one per line. End with CNTL/Z.R2(config)#int f0/0R2(config-if)#ip add 20.1.1.2 255.255.255.0R2(config-if)#no shutR2(config-if)#*Mar 1 00:01:28.895: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up *Mar 1 00:01:29.895: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR2(config-if)#exitR2(config)#ip route 0.0.0.0 0.0.0.0 20.1.1.3R2(config)#exitR2#*Mar 1 00:03:11.227: %SYS-5-CONFIG_I: Configured from console by consoleR2#外网R4：R4#conf tEnter configuration commands, one per line. End with CNTL/Z.R4(config)#int f0/0R4(config-if)#ip add 192.168.1.2 255.255.255.0R4(config-if)#no shutR4(config-if)#*Mar 1 00:00:45.559: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up *Mar 1 00:00:46.559: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR4(config-if)#exitR4(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.3R4(config)#exitR4#PIX防火墙上的配置：pixfirewall# conf tpixfirewall(config)# hostname pixpix(config)# int e0pix(config-if)# ip add 10.1.1.3 255.255.255.0pix(config-if)# nameif insideINFO: Security level for "inside" set to 100 by default.pix(config-if)# no shutpix(config-if)# int e1pix(config-if)# nameif outsideINFO: Security level for "outside" set to 0 by default.pix(config-if)# ip add 192.168.1.3 255.255.255.0pix(config-if)# no shutpix(config-if)# int e2pix(config-if)# nameif dmzINFO: Security level for "dmz" set to 0 by default.pix(config-if)# secpix(config-if)# security-level 50pix(config-if)# ip add 20.1.1.3 255.255.255.0pix(config-if)# no shutpix(config-if)# nat (inside) 11 10.1.1.0 255.255.255.0pix(config)# nat (inside) 11 10.1.1.0 255.255.255.0Duplicate NAT entrypix(config)# global (outside) 11 20.1.1.74 netmask 255.255.255.255INFO: Global 20.1.1.74 will be Port Address Translatedpix(config)# access-list 100 permit icmp any anypix(config)# access-grpix(config)# access-group 100 in interface outsidepix(config)# static (dmz,outside) 192.168.1.5 20.1.1.5 netmask 255.255.255.255 pix(config)# access-group 100 in interface dmzpix(config)#五、实验结果内网PING外网：外网PING DMZ:外网PING内网：总结：比起上次试验，这次是多添加了一个DMZ区，在DMZ和outside之间配置static命令。

CiscoASA防火墙nat配置示例

ASA的NAT配置1.nat-control命令解释pix7.0版本前默认为nat-control,并且不可以更改pix7.0版本后默认为no nat-control。

可以类似路由器一样，直接走路由；如果启用nat-control，那就与pix7.0版本前同。

2.配置动态nat把内部网段：172.16.25.0/24 转换成为一个外部的地址池200.1.1.1-200.1.1.99NAT配置命令ASA(config)# nat (inside) 1 172.16.25.0 255.255.255.0 (定义源网段)ASA(config)# global (outside) 1 200.1.1.1-200.1.1.99 （定义地址池）注意：id必须匹配，并且大于1，这里先使用1检测命令：ASA(config)# show run natASA(config)# show run globalASA(config)# show xlateASA(config)# show connect3.配置PAT把内部网段：172.16.26.0/24 转换成为一个外部的一个地址：200.1.1.149NAT配置命令ASA(config)# nat (inside) 2 172.16.26.0 255.255.255.0 (定义源网段)ASA(config)# global (outside) 2 200.1.1.149 （定义地址）ASA(config)# global (outside) 2 interface（或者直接转换为外网接口地址）注意：id必须匹配，并且大于2，这里先使用24.配置static NAT把内部网段：172.16.27.27/24 转换成为一个外部的一个地址：200.1.1.100NAT配置命令ASA(config)# static (inside,outside) 200.1.1.100 172.16.27.27命令格式是内外对应的，红色的接口和红色的地址对应。

ASA防火墙实验拓扑及其详细配置命令-案例配置

实验目的监测防火墙的默认安全控制1、思考默认从内部到外部ping测不通，但是Telnet可以，为什么？2、如何用访问控制列表实现ICMP流量的放行？一、构建实验拓扑2、规划IP地址如图3、配置outside和inside的路由器接口地址和静态路由先配置内部路由器Router>enRouter#conf tRouter(config)#interface f0/0Router(config-if)#ip add 192.168.1.1 255.255.255.0 配置接口地址Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#ip route 200.1.1.0 255.255.255.0 192.168.1.254 配置到外部的静态路由Router(config)#endRouter#第二步：Outside路由器配置Router>enRouter#conf tRouter(config)#interface f0/0Router(config-if)#ip address 200.1.1.1 255.255.255.0 接口地址Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#ip route 192.168.1.0 255.255.255.0 200.1.1.254 配置到内部的静态路由Router(config)#endRouter(config)#hostname outside 修改路由器的名字outside(config)#outside(config)#line vty 0 4 开启线程通道outside(config-line)#login% Login disabled on line 194, until 'password' is set% Login disabled on line 195, until 'password' is set% Login disabled on line 196, until 'password' is set% Login disabled on line 197, until 'password' is set% Login disabled on line 198, until 'password' is setoutside(config-line)#password 666 设置远程密码outside(config-line)#exoutside(config-line)#exitoutside(config)#enable password 888 设置路由器的特权密码第三步： ASA配置ciscoasa#ciscoasa#conf tciscoasa(config)#interface vlan 1 进入虚接口ciscoasa(config-if)#ip address 192.168.1.254 255.255.255.0 虚接口地址ciscoasa(config-if)#no shutdown^ciscoasa(config-if)#nameif inside 命名为insideciscoasa(config-if)#security-level 100 设置接口安全级别为100ciscoasa(config-if)#exitciscoasa(config)#interface e0/1 把物理接口e0/1划入vlan1 ciscoasa(config-if)#switchport access vlan 1ciscoasa(config-if)#exitciscoasa(config)#interface vlan 2 进入虚接口vlan2ciscoasa(config-if)#nameif outside 命名为outsideciscoasa(config-if)#security-level 0 安全级别为 0ciscoasa(config-if)#ip add 200.1.1.254 255.255.255.0 配置虚接口地址ciscoasa(config-if)#no shutdownciscoasa(config-if)#exitciscoasa(config)#interface e0/0 把物理接口e0/0 划入到vlan2 ciscoasa(config-if)#switchport access vlan 2ciscoasa(config-if)#endciscoasa#ciscoasa#第四步监测防火墙ping内部和外部可以通ciscoasa#ping 192.168.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:.Success rate is 80 percent (4/5), round-trip min/avg/max = 0/2/5 msciscoasa#ping 200.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 200.1.1.1, timeout is 2 seconds:.Success rate is 80 percent (4/5), round-trip min/avg/max = 0/2/8 msciscoasa#show routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not setC 192.168.1.0 255.255.255.0 is directly connected, insideC 200.1.1.0 255.255.255.0 is directly connected, outside（学会在防火墙上创建路由，本题没有用此路由）创建路由ciscoasa(config)#route inside 0.0.0.0 0.0.0.0 192.168.1.1ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 200.1.1.1检查内网ping测外部Router#ping 200.1.1.1 //监测网络连通性Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 200.1.1.1, timeout is 2 seconds: .....Success rate is 0 percent (0/5)Ping命令不通防火墙拦截来自外部的ＩＣＭＰ包内部Ｔｅｌｎｅｔ外部Router#telnet 200.1.1.1Trying 200.1.1.1 ...OpenUser Access VerificationPassword:outside>enPassword:outside#outside#outside#exi可以Telnet成功，说明防火墙的状态监测机制起到作用第五步：放行来自外部的ICMP流量ASA用ACL放行icpm流量ciscoasa(config)#access-list out permit icmp any anyciscoasa(config)#access-group out in interface outsideciscoasa(config)#检查实验结果从内部的路由ping外部的outside路由，结果可以通说明放行成功。

ciscoASA虚拟防火墙配置

ciscoASA虚拟防火墙配置
cisco ASA虚拟防火墙配置
可以把物理的一个防火墙配置出多个虚拟的防火墙，每个防火墙称为context，这样一个防火墙就支持两种工作模式：single-context 和multiple-context，处于后者工作模式的防火墙被分为三个功能模块：system execution space(虽然没有context的功能，但是是所有的基础)，administrative context(被用来管理物理的防火墙) 和user contexts(虚拟出来的防火墙，所有配置防火墙的命令都适用)配置：
首先使用show activation-key来验证是否有multiple-context 的许可，然后通过mode multiple和mode single命令在这两个模式之间进行切换，当然也可以用show mode来验证现在工作在什么模式下。

在不同context下进行切换使用Firewall# changeto {system | context name[/i]}，
总结配置如下几条：
1、进入多模工作模式 mode multiple
2、创建主防火墙 admin_context___(命名)
3、进入主防火墙：admin_context
（1）、命名：context admin
4、添加端口allocate-interface （物理端口）
5、创建存储文件 config-url disk0 ：// admin.cfg 文件名
6、要创建虚拟的防护墙 context 名称
其他步骤同上！
7、各个防火墙之间切换：changto context xxxx,各个防火墙之间独立工作。

彼此不影响！。

51CTO下载-Cisco_ASA5540和5520防火墙图文配置

Cisco ASA 防火墙图文配置实例2010 年2 月15 日本文是基于笔者2008 年在原单位配置ASA5540 和ASA5520 的配置截图所做的一篇配置文档，从最初始的配置开始：1、连接防火墙登陆与其他的Cisco 设备一样，用Console 线连接到防火墙，初始特权密码为空。

2、配置内部接口和IP 地址进入到接口配置模式，配置接口的IP 地址，并指定为inside。

防火墙的地址配置好后，进行测试，确认可以和防火墙通讯。

3、用dir 命令查看当前的Image 文件版本。

4、更新Image 文件。

准备好TFTP 服务器和新的Image 文件，开始更新。

5、更新ASDM。

6、更新完成后，再用dir 命令查看7、修改启动文件。

以便于ASA 防火墙能够从新的Image 启动8、存盘，重启9、用sh version 命令验证启动文件，可以发现当前的Image 文件就是更新后的10、设置允许用图形界面来管理ASA 防火墙表示内部接口的任意地址都可以通过http 的方式来管理防火墙。

11、打开浏览器，在地址栏输入防火墙内部接口的IP 地址选择“是”按钮。

12、出现安装ASDM 的画面选择“Install ASDM Launcher and Run ASDM”按钮，开始安装过程。

13、安装完成后会在程序菜单中添加一个程序组14、运行ASDM Launcher，出现登陆画面15、验证证书单击“是”按钮后，开始登陆过程16、登陆进去后，出现防火墙的配置画面，就可以在图形界面下完成ASA 防火墙的配置17、选择工具栏的“Configuration”按钮18、选择“Interface”，对防火墙的接口进行配置，这里配置g0/3接口选择g0/3 接口，并单击右边的“Edit”按钮19、配置接口的 IP 地址，并将该接口指定为 outside单击OK 后，弹出“Security Level Change”对话框，单击OK20、编辑g0/1 接口，并定义为DMZ 区域21、接口配置完成后，要单击apply 按钮，以应用刚才的改变，这一步一定不能忘22、设置静态路由单击Routing->Static Route->Add23、设置enable 密码24、允许ssh 方式登录防火墙25、增加用户定义ssh 用本地数据库验证26、用ssh 登录测试登录成功27、建立动态NAT 转换选择Add Dynamic NAT RuleInterface 选择inside，Source 处输入any单击Manage 按钮单击add，增加一个地址池Interface 选择Outside，选择PAT，单击Add 按钮单击OK完成了添加动态NAT 转换28、静态NAT 转换由于笔者2009 年离开了原单位，有些配置的截图没有做，新单位又没有ASA 防火墙，只好参考《ASA8.0/ASDM6.0 测试报告》的截图和文档来完成本文，并将该文档中部分常用的配置联接在本文后，对该文的作者表示感谢。

图解CiscoASA防火墙SSLVPN的配置

图解Cisco ASA防火墙SSL VPN的配置(图)随着现在互联网的飞速发展，企业规模也越来越大，一些分支企业、在外办公以及SOHO一族们，需要随时随地的接入到我们企业的网络中，来完成我们一些日常的工作，这时我们VPN在这里就成了一个比较重要的一个角色了。

SSL VPN设备有很多。

如Cisco 路由器、Cisco PIX防火墙、Cisco ASA 防火墙、Cisco VPN3002 硬件客户端或软件客户端。

这极大地简化了远程端管理和配置。

说的简单点就是在Server 端配置复杂的策略和密钥管理等命令，而在我们的客户端上只要配置很简单的几条命令就能和Server端建立VPN链路的一种技术，主要的目的当然就是简化远端设备的配置和管理。

那么今天我们看看我们要实现的是SSL VPN，那什么是SSL VPN呢？SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。

与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。

任何安装浏览器的机器都可以使用SSL VPN，这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。

什么是SSL VPN？从概念角度来说，SSL VPN即指采用SSL （Security Socket Layer）协议来实现远程接入的一种新型VPN技术。

SSL 协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。

对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。

目前SSL 协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。

正因为SSL 协议被内置于IE等浏览器中，使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。

相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。

Cisco-ASA-5500防火墙个人基本配置手册-去水印

Cisco ASA 5500不同安全级别区域实现互访实验一、网络拓扑二、实验环境ASA防火墙eth0接口定义为outside区，Security-Level:0，接Router F0/0；ASA防火墙eth1接口定义为insdie区，Security-Level:100，接Switch的上联口；ASA防火墙Eth2接口定义为DMZ区，Security-Level:60，接Mail Server。

三、实验目的实现inside区域能够访问outside，即Switch能够ping通Router的F0/0（202.100.10.2）；dmz区能够访问outside，即Mail Server能够ping通Router的F0/0（202.100.10.2）；outside能够访问insdie区的Web Server的http端口(80)和dmz区的Mail Server的pop3端口（110）、smtp端口（25）.四、详细配置步骤1、端口配置CiscoASA(config)# interface ethernet 0CiscoASA(config)#nameif ousideCiscoASA(config-if)# security-level 0CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0CiscoASA(config-if)# no shutCiscoASA(config)# interface ethernet 1CiscoASA(config)#nameif insideCiscoASA(config-if)# security-level 100CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0CiscoASA(config-if)# no shutCiscoASA(config)# interface ethernet 2CiscoASA(config)#nameif dmzCiscoASA(config-if)# security-level 50CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0CiscoASA(config-if)# no shut2、路由配置CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由3、定义高安全接口区域需要进行地址转换的IP范围CiscoASA(config)# nat (inside) 1 0 0CiscoASA(config)# nat (dmz) 1 0 04、定义低安全接口区域用于高安全接口区域进行IP转换的地址范围CiscoASA(config)# global (outside) 1 interfaceCiscoASA(config)# global (dmz) 1 interface5、定义静态IP映射（也称一对一映射）CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255#实现从outside区访问inside区10.1.1.1的80端口时，就直接访问10.1.1.1:80 对outside区的映射202.100.10.1:80CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255#实现从outside区访问dmz区172.16.1.2的110时，就直接访问172.16.1.2:110 对outside区的映射202.100.10.1:110CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255#实现从outside区访问dmz区172.16.1.2的25时，就直接访问172.16.1.2:25 对outside区的映射202.100.10.1:256、定义access-listCiscoASA(config)# access-list 101 extended permit ip any anyCiscoASA(config)# access-list 101 extended permit icmp any anyCiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq wwwCiscoASA(config)# access-list 102 extended permit icmp any anyCiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp7、在接口上应用access-listCiscoASA(config)# access-group 101 in interface outsideCiscoASA(config)#access-group 102 in interface insideCiscoASA(config)#access-group 103 in interface dmz五、实验总结1、当流量从高权限区域流向低权限区域时1、只要路由配通了，无须配置nat/global，也无须配置access-list，就可以直接telnet低权限区域主机;2、只要路由配通了，同时配置了access-list，无须配置nat/global，就可以直接ping通低权限区域主机；3、只要路由配通了，同时配置了nat/global/access-list，此时telnet/ping均会执行地址转换2、当流量从低权限区域流向高权限区域时1、即使路由已经配通了，也不能成功访问；2、路由已经配通了，同时必须正确配置了static IP地址映射及access-list，才能成功访问；3、调通路由是基础，同时只跟static/access-list有关，而跟nat/global毫无关系。

CiscoASA5505防火墙详细配置教程及实际配置案例

CiscoASA5505防火墙详细配置教程及实际配置案例interfaceVlan2nameifoutside对端口命名外端口security-level0设置端口等级ipaddressX.X.X.X255.255.255.224调试外网地址!interfaceVlan3nameifinside对端口命名内端口security-level100调试外网地址ipaddress192.168.1.1255.255.255.0设置端口等级!interfaceEthernet0/0switchportaccessvlan2设置端口VLAN与VLAN绯定!interfaceEthernet0/1switchportaccessvlan3设置端口VLAN与VLAN3W定!interfaceEthernet0/2shutdown!interfaceEthernet0/3shutdown!interfaceEthernet0/4shutdowninterfaceEthernet0/5shutdown!interfaceEthernet0/6shutdown!interfaceEthernet0/7shutdown!passwd2KFQnbNIdI.2KYOUencryptedftpmodepassivednsdomain-lookupinsidednsserver-groupDefaultDNSname-server211.99.129.210name-server202.106.196.115access-list102extendedpermiticmpanyany设置ACL歹U表（允许ICMP全部通过）access-list102extendedpermitipanyany设置ACL列表（允许所有IP全部通过）pagerlines24mtuoutside1500mtuinside1500icmpunreachablerate-limit1burst-size1noasdmhistoryenablearptimeout14400global（outside）1interface设置NAT地址映射到外网口nat（inside）10.0.0.00.0.0.00NAT地址池（所有地址）0无最大会话数限制access-group102ininterfaceoutside设置ACL列表绑定到外端口routeoutside0.0.0.00.0.0.0x.x.x.x1设置到外网的默认路由timeoutxlate3:00:00timeoutconn1:00:00half-closed0:10:00udp0:02:00icmp0:00:02timeoutsunrpc0:10:00h3230:05:00h2251:00:00mgcp0:05:00mgcp-pat0:05:00timeoutsip0:30:00sip_media0:02:00sip-invite0:03:00sip-disconnect0:02:00timeoutuauth0:05:00absolutenosnmp-serverlocationnosnmp-servercontactsnmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstarttelnet0.0.0.00.0.0.0inside设置TELNETS有地址进入telnettimeout5ssh0.0.0.00.0.0.0outside设置SSH所有地址进入sshtimeout30sshversion2consoletimeout0dhcpdaddress192.168.1.100-192.168.1.199inside设置DHCP!艮务器地址池dhcpddns211.99.129.210202.106.196.115interfaceinside设置DNS服务器到内网端口dhcpdenableinside设置DHCPZ用到内网端口前几天去客户那调试CISCO-ASA-5505设备,第一次摸,跟PIX一样，呵呵.没有技术含量，都是最基本的.其他业务配置暂时没配，会及时更新的.CiscoASA5505配置cisco,config,telnet,防火墙,Cisco1.配置防火墙名ciscoasa>enableciscoasa#configureterminalciscoasa(config)#hostnameasa55052.配置telnetasa5505(config)#telnet192.168.1.0255.255.255.0insideT〃允许内部接口192.168.1.0网段telnet防火墙3.配置密码asa5505(config)#passwordcisco远程密码asa5505(config)#enablepasswordcisco特权模式密码4.配置IPasa5505(config)#interfacevlan2进入vlan2asa5505(config-if)#ipaddress218.16.37.222255.255.255.192vlan2配置IPasa5505(config)#showipaddressvlan2验证配置5.端口力口入vlanasa5505(config)#interfacee0/3进入接口e0/3asa5505(config-if)#switchportaccessvlan3接口e0/3力口入vlan3asa5505(config)#interfacevlan3进入vlan3asa5505(config-if)#ipaddress10.10.10.36255.255.255.224vlan3配置IPasa5505(config-if)#nameifdmzvlan3名asa5505(config-if)#noshutdown开启asa5505(config-if)#showswitchvlan验证配置6.最大传输单元MTUasa5505(config)#mtuinside1500inside最大传车^单元1500字节asa5505(config)#mtuoutside1500outside最大传输单元1500字节asa5505(config)#mtudmz1500dmz最大传输单元1500字节7.配置arp表的超时时间asa5505(config)#arptimeout14400arp表的超日^时间14400秒8.FTP模式asa5505(config)#ftpmodepassiveFTP被动模式9.配置域名asa5505(config)#10.启动日志asa5505(config)#loggingenable启动日志asa5505(config)#loggingasdminformational启动asdm报告日志asa5505(config)#Showlogging验证配置11.启用http服务asa5505(config)#httpserverenable启动HTTPserver便于ASDM连接。

CISCO_ASA防火墙ASDM安装和配置

CISCO ASA防火墙ASDM安装和配置准备工作：准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口，通过开始——>程序——> 附件——>通讯——>超级终端输入一个连接名，比如“ASA”,单击确定。

选择连接时使用的COM口，单击确定。

点击还原为默认值。

点击确定以后就可能用串口来配置防火墙了。

在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。

在串口下输入以下命令：ciscoasa>ciscoasa> enPassword:ciscoasa# conf t 进入全局模式ciscoasa(config)# webvpn 进入WEBVPN模式ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字ciscoasa(config-if)# no shutdown 激活接口ciscoasa(config)#q 退出管理接口ciscoasa(config)# http server enable 开启HTTP服务ciscoasa(config)# http 192.168.1.0 255.255.255.0 guanli 在管理口设置可管理的IP地址ciscoasa(config)# show run 查看一下配置ciscoasa(config)# wr m 保存经过以上配置就可以用ASDM配置防火墙了。

首先用交叉线把电脑和防火墙的管理口相连，把电脑设成和管理口段的IP 地址,本例中设为192.168.1.0 段的IP打开浏览器在地址栏中输入管理口的IP地址:[url]https://192.168.1.1/admin[/url]弹出一下安全证书对话框，单击“是”输入用户名和密码（就是在串口的WEBVPN模式下新建的用户和密码），然后点击“确定”。

CiscoASA防火墙详细图文配置实例

..Cisco ASA 防火墙图文配置实例本文是基于ASA5540 和 ASA5520 的配置截图所做的一篇配置文档，从最初始的配置开始：1、连接防火墙登陆与其他的 Cisco 设备一样，用 Console 线连接到防火墙，初始特权密码为空。

2、配置部接口和 IP 地址进入到接口配置模式，配置接口的 IP 地址，并指定为 inside。

防火墙的地址配置好后，进行测试，确认可以和防火墙通讯。

3、用 dir 命令查看当前的 Image 文件版本。

4、更新 Image 文件。

准备好 TFTP 服务器和新的 Image 文件，开始更新。

5、更新 ASDM。

6、更新完成后，再用 dir 命令查看8、存盘，重启9、用 sh version 命令验证启动文件，可以发现当前的 Image 文件就是更新后的10、设置允许用图形界面来管理 ASA 防火墙表示部接口的任意地址都可以通过 http 的方式来管理防火墙。

11、打开浏览器，在地址栏输入防火墙部接口的 IP 地址选择“是”按钮。

12、出现安装 ASDM 的画面选择“Install ASDM Launcher and Run ASDM”按钮，开始安装过程。

13、安装完成后会在程序菜单中添加一个程序组14、运行 ASDM Launcher，出现登陆画面15、验证证书单击“是”按钮后，开始登陆过程16、登陆进去后，出现防火墙的配置画面，就可以在图形界面下完成 ASA 防火墙的配置17、选择工具栏的“Configuration”按钮18、选择“Interface”，对防火墙的接口进行配置，这里配置g0/3接口选择 g0/3 接口，并单击右边的“Edit”按钮19、配置接口的 IP 地址，并将该接口指定为 outside单击 OK 后，弹出“Security Level Change”对话框，单击 OK 20、编辑 g0/1 接口，并定义为 DMZ 区域21、接口配置完成后，要单击 apply 按钮，以应用刚才的改变，这一步一定不能忘22、设置静态路由单击 Routing->Static Route->Add23、设置 enable 密码24、允许 ssh 方式登录防火墙25、增加用户定义 ssh 用本地数据库验证26、用 ssh 登录测试登录成功27、建立动态 NAT 转换选择 Add Dynamic NAT RuleInterface 选择 inside，Source 处输入 any 单击 Manage 按钮单击 add，增加一个地址池Interface 选择 Outside，选择 PAT，单击 Add 按钮单击 OK完成了添加动态 NAT 转换28、静态 NAT 转换由于笔者 2009 年离开了原单位，有些配置的截图没有做，新单位又没有 ASA 防火墙，只好参考《ASA8.0/ASDM6.0 测试报告》的截图和文档来完成本文，并将该文档中部分常用的配置联接在本文后，对该文的作者表示感。