实验三 cisco防火墙asa 模拟器 从内网访问outside 服务器

一、网络拓扑二、实验环境ASA防火墙eth0接口定义为outside区，Security-Level:0，接RouterF0/0；ASA防火墙eth1接口定义为insdie区，Security-Level:100，接Switch的上联口；ASA防火墙Eth2接口定义为DMZ 区，Security-Level:60，接MailServer。

三、实验目的Server能够ping通Router的F0/0（）；outside能够访问insdie区的WebServer的http端口(80)和dmz区的MailServer的pop3端口（110）、smtp端口（25）.四、详细配置步骤1、端口配置CiscoASA(config)#interfaceethernet0CiscoASA(config)#nameifousideCiscoASA(config-if)#security-level0CiscoASA(config-if)#ipaddressCiscoASA(config-if)#noshutCiscoASA(config)#interfaceethernet1CiscoASA(config)#nameifinsideCiscoASA(config-if)#security-level100CiscoASA(config-if)#ipaddressCiscoASA(config-if)#noshutCiscoASA(config)#interfaceethernet2CiscoASA(config)#nameifdmzCiscoASA(config-if)#security-level50CiscoASA(config-if)#CiscoASA(config-if)#noshut2、路由配置CiscoASA(config)#routeoutside1#默认路由CiscoASA(config)#routeinside1#外网访问内网服务器的路由3、定义高安全接口区域需要进行地址转换的IP范围CiscoASA(config)#nat(inside)100CiscoASA(config)#nat(dmz)1004、定义低安全接口区域用于高安全接口区域进行IP转换的地址范围CiscoASA(config)#global(outside)1interfaceCiscoASA(config)#global(dmz)1interface5、定义静态IP映射（也称一对一映射）CiscoASA(config)#static(inside,outside)tcpwwwwwwnetmaskCiscoASA(config)#static(dmz,outside)tcppop3pop3netmask2:110CiscoASA(config)#static(dmz,outside)tcpsmtpsmtpnetmask6、定义access-listCiscoASA(config)#access-list101extendedpermitipanyanyCiscoASA(config)#access-list101extendedpermiticmpanyanyCiscoASA(config)#access-list102extendedpermittcpanyhosteqwwwCiscoASA(config)#access-list102extendedpermiticmpanyanyCiscoASA(config)#access-list103extendedpermittcpanyhosteqpop3CiscoASA(config)#access-list103extendedpermittcpanyhosteqsmtp7、在接口上应用access-listCiscoASA(config)#access-group101ininterfaceoutsideCiscoASA(config)#access-group102ininterfaceinsideCiscoASA(config)#access-group103ininterfacedmz五、实验总结1、当流量从高权限区域流向低权限区域时1、只要路由配通了，无须配置nat/global，也无须配置access-list，就可以直接telnet低权限区域主机;2、只要路由配通了，同时配置了access-list，无须配置nat/global，就可以直接ping通低权限区域主机；3、只要路由配通了，同时配置了nat/global/access-list，此时telnet/ping均会执行地址转换2、当流量从低权限区域流向高权限区域时1、即使路由已经配通了，也不能成功访问；2、路由已经配通了，同时必须正确配置了staticIP地址映射及access-list，才能成功访问；3、调通路由是基础，同时只跟static/access-list有关，而跟nat/global毫无关系。

配置要求：1、分别划分inside（内网）、outside（外网）、dmz（安全区）三个区域。

2、内网可访问外网及dmz内服务器（web），外网可访问dmz内服务器（web）。

3、Dmz服务器分别开放80、21、3389端口。

说明：由于防火墙许可限制“no forward interface Vlan1”dmz内服务器无法访问外网。

具体配置如下：希望对需要的朋友有所帮助ASA Version 7.2(4)!hostname asa5505enable password tDElRpQcbH/qLvnn encryptedpasswd 2KFQnbNIdI.2KYOU encryptednames!interface Vlan1nameif outsidesecurity-level 0ip address 外网IP 外网掩码!interface Vlan2nameif insidesecurity-level 100ip address 192.168.1.1 255.255.255.0!interface Vlan3no forward interface Vlan1nameif dmzsecurity-level 50ip address 172.16.1.1 255.255.255.0!interface Ethernet0/0description outside!interface Ethernet0/1description insideswitchport access vlan 2!interface Ethernet0/2description dmzswitchport access vlan 3!interface Ethernet0/3description insideswitchport access vlan 2!interface Ethernet0/4shutdown!interface Ethernet0/5shutdown!interface Ethernet0/6shutdown!interface Ethernet0/7shutdown!ftp mode passiveobject-group service outside-to-dmz tcpport-object eq wwwport-object eq ftpport-object eq 3389access-list aaa extended permit tcp any host 外网IP object-group outsid e-to-dmzaccess-list bbb extended permit tcp host 172.16.1.2 192.168.1.0 255.255. 255.0 object-group outside-to-dmzpager lines 24mtu outside 1500mtu inside 1500mtu dmz 1500icmp unreachable rate-limit 1 burst-size 1asdm image disk0:/asdm-524.binno asdm history enablearp timeout 14400global (outside) 1 interfaceglobal (dmz) 1 172.16.1.10-172.16.1.254 netmask 255.255.255.0nat (inside) 1 192.168.1.0 255.255.255.0nat (dmz) 1 172.16.1.0 255.255.255.0alias (inside) 221.203.36.86 172.16.1.2 255.255.255.255static (dmz,outside) tcp interface www 172.16.1.2 www netmask 255.255.2 55.255 dnsstatic (dmz,outside) tcp interface ftp 172.16.1.2 ftp netmask 255.255.2 55.255 dnsstatic (dmz,outside) tcp interface 3389 172.16.1.2 3389 netmask 255.255. 255.255dnsstatic (inside,dmz) 172.16.1.2 192.168.1.0 netmask 255.255.255.255 dns access-group aaa in interface outsideaccess-group bbb in interface dmzroute outside 0.0.0.0 0.0.0.0 外网网关 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeout sip-provisional-media 0:02:00 uauth 0:05:00 absoluteno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5ssh timeout 5console timeout 0!class-map inspection_defaultmatch default-inspection-traffic!!policy-map type inspect dns preset_dns_mapparametersmessage-length maximum 512policy-map global_policyclass inspection_defaultinspect dns preset_dns_mapinspect ftpinspect h323 h225inspect h323 rasinspect netbiosinspect rshinspect rtspinspect skinnyinspect esmtpinspect sqlnetinspect sunrpcinspect tftpinspect sipinspect xdmcpinspect http!service-policy global_policy globalprompt hostname contextCryptochecksum:9d2a6010d4fc078cf026f98dcec96007 : endasa5505(config)#。

ASA虚拟防火墙综合实训
一、实训目的：
1.理解ASA虚拟防火墙概念
3.掌握ASA防火墙的虚拟化配置
二．实训环境
CISCO ASA 防火墙、路由器、GNS3、计算机
三．实验拓扑
虚拟网络拓扑
真实物理拓扑
四．实训内容：
1.建立如图所示网络拓扑
2.虚拟化防火墙配置
a)在ASA5510上建立管理虚拟防火墙，名字为admin；然后划分出两个虚拟防火墙，
名字分别为c1和c2（注意大小写敏感）
c)启用NAT control，要求R1和R3、R2和R3的loopback0口之间都能够互相ping通
（做NAT的地址池自己定义，如果需要也可以考虑使用PAT）
d)做路由，要求R1和R2的loopback0口之间都能够互相ping通
e)要求R1能够telnet到R2上；
实训要求
1.5人一组，每班9组
2.实训成绩按照平时出勤（20分）+实训结果（50分）+实训报告（30分）计算
3.提交实训报告，要求
a)格式正确，字体为小四，行间距为1，段间距为0.5
b)实训报告内容包括
c)网络拓扑图
d)IP地址规划
e)防火墙配置各步骤（截图或命令以及适当的说明）
f)防火墙配置各步骤测试结果
g)实训总结。

Cisco ASA Hairpinning解决内网使用公网IP访问内部的服务器ASA防火墙内网PC通过公网IP访问DMZ区服务器此问题在以前的华三防火墙上也有遇到过，这次是在cisco防火墙上，因为彭博自建行情那个地址需要这么转换。

就在网络上抄一下，按照下面的配置即可。

说来挺拗口，是大部分人都会遇到的问题。

特别是没有使用单独的DMZ区对外发布服务器的人必须面对的问题。

情景说明：通过Cisco ASA 5520 防火墙，使用公网IP 8.8.8.8（outside），发布了一台WEB服务器，其私网IP是192.168.1.8(inside)。

希望实现的目标：公司内部(位于inside)用户计算机，想使用公网IP 8.8.8.8（或解析成公网IP的域名）访问这台（位于inside）WEB服务器。

默认情景下，公司内部inside计算机无法通过公网IP访问到这台inside服务器。

因为思科的防火墙不允许inside进来的流量，未经其它接口出去而直接从inside返回（会被ASA直接丢弃）。

为实现在公司内部(inside)也能使用公网IP访问同样在inside的这台WWW服务器，思科至少有几种做法：一是Alias + static NAT，配置别名。

原理就是内部的计算机到外部进行DNS查询时，ASA根据别名配置，将返回的公网IP替换成私网IP，这样其实内部计算机直接使用私网IP访问WWW服务器。

（可以使用ping 域名查看返回的IP地址进行验证）二是DNS Doctoring + static NAT。

原理同Alias，是更新版本IOS的功能。

在7.0以上的版本中已不推荐使用Alias（若使用了Alias，则ASDM会提示不支持Alias而无法加载配置）。

三是Hairpinning +static NAT。

原理是允许inside进来的流量，未经其它接口出去而直接从inside接口返回。

相关的命令是：same-security-traffic permit intra-interface 俗称：Hairpinning为此花了两天时间琢磨了一下，才发现要7.2及以后的IOS版本才支持Hairpinning。

实验案例三ASA防火墙+ADSL共享上网一、实验目的：熟悉ASA通过ADSL连入互联网二、实验环境和需求在ASA上ADSL拔入互联网，实现局域网共享上网。

三、实验拓扑图四、配置步骤(一) ASA基本属性配置1、内接口配置Interface vlan 1Ip address 192.168.100.1 255.255.255.0Security-level 100 //设置内接口安全级别Nameif inside //设置内接口名字No shutdownInterface E 0/0Swithport access vlan 1 //E0/0加入VLAN 1，就是内接口2、拔号配置Conf tVpdn username 用户名password 密码Vpdn group isp1 localname 用户名vpdn group ISP1 ppp authentication papVpdn group isp1 request dialout pppoe3、外接口配置Interface vlan 2No Ip addressPppoe client vpdn group isp1Ip address pppoe setrouteSecurity-level 0 //设置外接口安全级别Nameif outside //设置外接口名字No shutdownInterface E 0/2Switchport access vlan 2 //E0/2加入VLAN2，就是外接口Show ip add outside pppoe //查拔号链路是否已建立（二）配路由Router ospf 1Network 192.168.100.0 255.255.255.0 area 0Default-information originate //重分发默认路由（二）从PC1可以访问ouside和DMZ的网站，从OUT可能访问DMZ的网站1、从PC1上就可以访问Outside 和dmz区的网站(Config)# Nat-control(Config)# Nat (inside) 1 0 0 //内接口所有参与地址转换(Config)# Global (outside) 1 interface //转换成外接口的IP(config)# show xlate //查看转换条目。

cisco-asa 防火墙配置hostname CD-ASA5520 //给防火墙命名domain-namedefault.domain.invalid //定义工作域enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码names dns-guard！interface GigabitEthernet0/0 //内网接口：duplex full //接口作工模式：全双工，半双，自适应nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全ip address192.168.1.1 255.255.255.0 //设置本端口的IP地址！interface GigabitEthernet0/1 //外网接口nameif outside //为外部端口命名：外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置！interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0！interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address！interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address！passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表access-list outside_permit extended permit tcp any interface outside range 30000 30010 //允许外部任何用户可以访问outside 接口的30000-30010的端口。

实验10 思科ASA防火墙的NAT配置一、实验目标1、掌握思科ASA防火墙的NAT规则的基本原理；2、掌握常见的思科ASA防火墙的NAT规则的配置方法。

二、实验拓扑根据下图搭建拓扑通过配置ASA防火墙上的NAT规则，使得inside区能单向访问DMZ区和outside区，DMZ区和outside区能够互访。

三、实验配置1、路由器基本网络配置，配置IP地址和默认网关R1#conf tR1(config)#int f0/0R1(config-if)#ip address 192.168.2.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR1(config)#ip default-gateway 192.168.2.254 //配置默认网关R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254 //添加默认路由R1(config)#exitR1#writeR2#conf tR2(config)#int f0/0R2(config-if)#ip address 202.1.1.1 255.255.255.0R2(config-if)#no shutdownR2(config-if)#exitR2(config)#ip default-gateway 202.1.1.254R2(config)#exitR2#writeServer#conf tServer(config)#no ip routing //用路由器模拟服务器，关闭路由功能Server(config)#int f0/0Server(config-if)#ip address 192.168.1.1 255.255.255.0Server(config-if)#no shutdownServer(config-if)#exitServer(config)#ip default-gateway 192.168.1.254Server(config)#exitServer#write*说明：实际配置中最好在三台路由器上都添加一条通往防火墙的默认路由，但在本实验中Server和R2不配置不影响实验效果。

实验四 ASA模拟器从内网访问DMZ区服务器配置(ASA模拟器)注意：本实验配置为用模拟器来实现，用来练习防火墙命令的使用，实现的功能和“实验四asa 5505 从内网访问DMZ服务器（真实防火墙）”相同，为了降低操作难度，我们只对ASA防火墙模拟器进行配置，完整的实验请参照“实验四asa 5505 从内网访问DMZ服务器（真实防火墙）”。

一、实验目标在这个实验中朋友你将要完成下列任务：1．用nameif命令给接口命名2．用ip address命令给接口分配IP3．用duplex配置接口的工作模式----双工（半双工）4．配置内部转化地址池（nat）外部转换地址globla二、实验拓扑三、实验过程1. ASA 模拟器基本配置：ciscoasa>ciscoasa> enablePassword:ciscoasa#ciscoasa# configure terminalciscoasa(config)# interface e0/2 *进入e0/2接口的配置模式ciscoasa(config-if)# nameif dmz *把e0/2接口的名称配置为dmzINFO: Security level for "dmz" set to 0 by default.ciscoasa(config-if)# security-level 50 *配置dmz 安全级别为50ciscoasa(config-if)# ip address 11.0.0.1 255.0.0.0 *给e0/2接口配置IP地址ciscoasa(config-if)# duplex auto *设置e0/2接口的工作模式为自动协商ciscoasa(config-if)# no shutdown *打开e0/2接口ciscoasa(config-if)# exit *退出e0/2接口的配置模式ciscoasa(config)#ciscoasa(config)# interface e0/0 *进入e0/0接口的配置模式ciscoasa(config-if)# nameif inside *把e0/0接口的名称配置为insideINFO: Security level for "inside" set to 100 by default.*安全级别取值范围为1～100，数字越大安全级别越高，在默认情况下，inside安全级别为100。

思科防⽕墙 PIX ASA 配置总结⼀（基础）： 思科防⽕墙已经从PIX发展到ASA了，IOS也已经从早期的6.0发展到7.2。

但总体的配置思路并没有多少变化。

只是更加⼈性化，更加容易配置和管理了。

下⾯是我⼯作以来的配置总结，有些东西是6.3版本的，但不影响在7.＊版本的配置。

⼀：6个基本命令： nameif、 interface、 ip address 、nat、 global、 route。

⼆：基本配置步骤： step1: 命名接⼝名字 nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 ＊＊7版本的配置是先进⼊接⼝再命名。

step2：配置接⼝速率 interface ethernet0 10full auto interface ethernet1 10full auto interface ethernet2 10full step3：配置接⼝地址 ip address outside 218.106.185.82 ip address inside 192.168.100.1 255.255.255.0 ip address dmz 192.168.200.1 255.255.255.0 step4：地址转换（必须） * 安全⾼的区域访问安全低的区域（即内部到外部）需NAT和global; nat(inside) 1 192.168.1.1 255.255.255.0 global(outside) 1 222.240.254.193 255.255.255.248 ＊＊＊ nat (inside) 0 192.168.1.1 255.255.255.255 表⽰192.168.1.1这个地址不需要转换。

直接转发出去。

* 如果内部有服务器需要映射到公地址(外访问内)则需要static和conduit或者acl. static (inside, outside) 222.240.254.194 192.168.1.240 static (inside, outside) 222.240.254.194 192.168.1.240 10000 10 后⾯的10000为限制连接数，10为限制的半开连接数。

一，配置接口配置外网口：interface GigabitEthernet0/0nameif outside 定义接口名字security-level 0ip address 111.160.45.147 255.255.255.240 设定ipnoshut!配置内网口：interface GigabitEthernet0/1nameif insidesecurity-level 100ip address 20.0.0.2 255.255.255.252noshut二，配置安全策略access-list outside_acl extended permit icmp any any配置允许外网pingaccess-group outside_acl in interface outside 应用策略到outside口access-list inside_access_in extended permit ip any any配置允许内网访问外网access-group inside_access_in in interface inside应用到inside口三，设置路由route outside 0.0.0.0 0.0.0.0 111.160.45.145 1配置到出口的默认路由route inside 10.1.0.0 255.255.0.0 20.0.0.1 1 配置到内网的静态路由四，配置natobject network nat_net配置需要nat的内网网段subnet 0.0.0.0 0.0.0.0nat (inside,outside) source dynamic nat_net interface配置使用出接口ip做转换ip 五，配置远程管理配置telet管理：telnet 0.0.0.0 0.0.0.0 outsidetelnet 0.0.0.0 0.0.0.0 insidetelnet timeout 30配置ssh管理：crypto key generate rsa建立密钥并保存一次wrissh 0.0.0.0 0.0.0.0 outsidessh 0.0.0.0 0.0.0.0 insidessh timeout 30ssh version 1配置用户名密码：username admin password yfz4EIInjghXNlcu encrypted privilege 15。

实验目的监测防火墙的默认安全控制1、思考默认从内部到外部ping测不通，但是Telnet可以，为什么？2、如何用访问控制列表实现ICMP流量的放行？一、构建实验拓扑2、规划IP地址如图3、配置outside和inside的路由器接口地址和静态路由先配置内部路由器Router>enRouter#conf tRouter(config)#interface f0/0Router(config-if)#ip add 192.168.1.1 255.255.255.0 配置接口地址Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#ip route 200.1.1.0 255.255.255.0 192.168.1.254 配置到外部的静态路由Router(config)#endRouter#第二步：Outside路由器配置Router>enRouter#conf tRouter(config)#interface f0/0Router(config-if)#ip address 200.1.1.1 255.255.255.0 接口地址Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#ip route 192.168.1.0 255.255.255.0 200.1.1.254 配置到内部的静态路由Router(config)#endRouter(config)#hostname outside 修改路由器的名字outside(config)#outside(config)#line vty 0 4 开启线程通道outside(config-line)#login% Login disabled on line 194, until 'password' is set% Login disabled on line 195, until 'password' is set% Login disabled on line 196, until 'password' is set% Login disabled on line 197, until 'password' is set% Login disabled on line 198, until 'password' is setoutside(config-line)#password 666 设置远程密码outside(config-line)#exoutside(config-line)#exitoutside(config)#enable password 888 设置路由器的特权密码第三步： ASA配置ciscoasa#ciscoasa#conf tciscoasa(config)#interface vlan 1 进入虚接口ciscoasa(config-if)#ip address 192.168.1.254 255.255.255.0 虚接口地址ciscoasa(config-if)#no shutdown^ciscoasa(config-if)#nameif inside 命名为insideciscoasa(config-if)#security-level 100 设置接口安全级别为100ciscoasa(config-if)#exitciscoasa(config)#interface e0/1 把物理接口e0/1划入vlan1 ciscoasa(config-if)#switchport access vlan 1ciscoasa(config-if)#exitciscoasa(config)#interface vlan 2 进入虚接口vlan2ciscoasa(config-if)#nameif outside 命名为outsideciscoasa(config-if)#security-level 0 安全级别为 0ciscoasa(config-if)#ip add 200.1.1.254 255.255.255.0 配置虚接口地址ciscoasa(config-if)#no shutdownciscoasa(config-if)#exitciscoasa(config)#interface e0/0 把物理接口e0/0 划入到vlan2 ciscoasa(config-if)#switchport access vlan 2ciscoasa(config-if)#endciscoasa#ciscoasa#第四步监测防火墙ping内部和外部可以通ciscoasa#ping 192.168.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:.Success rate is 80 percent (4/5), round-trip min/avg/max = 0/2/5 msciscoasa#ping 200.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 200.1.1.1, timeout is 2 seconds:.Success rate is 80 percent (4/5), round-trip min/avg/max = 0/2/8 msciscoasa#show routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not setC 192.168.1.0 255.255.255.0 is directly connected, insideC 200.1.1.0 255.255.255.0 is directly connected, outside（学会在防火墙上创建路由，本题没有用此路由）创建路由ciscoasa(config)#route inside 0.0.0.0 0.0.0.0 192.168.1.1ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 200.1.1.1检查内网ping测外部Router#ping 200.1.1.1 //监测网络连通性Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 200.1.1.1, timeout is 2 seconds: .....Success rate is 0 percent (0/5)Ping命令不通防火墙拦截来自外部的ＩＣＭＰ包内部Ｔｅｌｎｅｔ外部Router#telnet 200.1.1.1Trying 200.1.1.1 ...OpenUser Access VerificationPassword:outside>enPassword:outside#outside#outside#exi可以Telnet成功，说明防火墙的状态监测机制起到作用第五步：放行来自外部的ICMP流量ASA用ACL放行icpm流量ciscoasa(config)#access-list out permit icmp any anyciscoasa(config)#access-group out in interface outsideciscoasa(config)#检查实验结果从内部的路由ping外部的outside路由，结果可以通说明放行成功。

ciscoASA虚拟防火墙配置
cisco ASA虚拟防火墙配置
可以把物理的一个防火墙配置出多个虚拟的防火墙，每个防火墙称为context，这样一个防火墙就支持两种工作模式：single-context 和multiple-context，处于后者工作模式的防火墙被分为三个功能模块：system execution space(虽然没有context的功能，但是是所有的基础)，administrative context(被用来管理物理的防火墙) 和user contexts(虚拟出来的防火墙，所有配置防火墙的命令都适用)配置：
首先使用show activation-key来验证是否有multiple-context 的许可，然后通过mode multiple和mode single命令在这两个模式之间进行切换，当然也可以用show mode来验证现在工作在什么模式下。

在不同context下进行切换使用Firewall# changeto {system | context name[/i]}，
总结配置如下几条：
1、进入多模工作模式 mode multiple
2、创建主防火墙 admin_context___(命名)
3、进入主防火墙：admin_context
（1）、命名：context admin
4、添加端口allocate-interface （物理端口）
5、创建存储文件 config-url disk0 ：// admin.cfg 文件名
6、要创建虚拟的防护墙 context 名称
其他步骤同上！
7、各个防火墙之间切换：changto context xxxx,各个防火墙之间独立工作。

彼此不影响！。

ASA防火墙疑难杂症解答ASA防火墙疑难杂症解答1...............................内部网络不能ping通internet2........................内部网络不能使用pptp拨入vpn服务器3....................内部网络不能通过被动Mode访问ftp服务器4.................................内部网络不能进行ipsec NAT5...................................内网不能访问DMZ区服务器6................................内网用户不能ping web服务器1. 内部网络不能ping通internet对于ASA5510，只要策略允许，则是可以Ping通的，对于ASA550，部分IOS可以ping，如果所以流量都允许还是不能Ping的话，则需要做inspect，对icmp协议进行检查即可2. 内部网络不能使用pptp拨入vpn服务器因pptp需要连接TCP 1723端口，同时还需要GRE协议，如果防火墙是linux的Iptables，则需要加载：modprobe ip_nat_pptp modprobe ip_conntrack_proto_gre如果防火墙是ASA，则需要inspect pptp。

3. 内部网络不能通过被动Mode访问ftp服务器同样需要inspect ftp，有些还需要检查相关参数policy-map type inspect ftp ftpaccessparametersmatch request-command appe cdup help get rnfr rnto put stou sitedele mkd rmd4. 内部网络不能进行ipsec NAT这种情况不多用，如查进行ipsect ：IPSec Pass Through5. 内网不能访问DMZ区服务器增加NAT规则，即DMZ到内网的规则6. 内网用户不能ping web服务器如果内网中有一台web服务器，且已经配置了NAT，使用internet用户可以通过外部IP访问这台web服务器。

Cisco ASA硬件防火墙实验【实验目的】ASA防火墙的基本配置和高级的URL过滤等【实验拓扑】【实验步骤】一、Cisco ASA防火墙的基本配置:1、配置主机名、域名、密码EnableConf tHostname ASA5520 配置主机名为ASA5520Domaln-name 配置域名为Enable password ASA5520 配置特权密码Password cisco 配置远程登录密码2、配置接口Conf tInterface e0/0Nameif inside 配置接口的名字为insideSecurity-level 100 配置接口的安全级别为100Ip address 192.168.0.1 255.255.255.0 配置接口IP地址No shutdown 开启端口ExitInterface e0/1Nameif outside 配置接口的名字为outsideSecurity-level 0 配置接口的安全级别为0Ip address 202.140.11.2 255.255.255.0 配置接口IP地址No shutdown 开启端口ExitInterface e0/0Nameif DMZ 配置接口的名字为DMZSecurity-level 50 配置接口的安全级别为50Ip address 192.168.1.1 255.255.255.0 配置接口IP地址No shutdown 开启端口Exit3、配置路由Conf tRoute outside 0.0.0.0 0.0.0.0 202.140.11.1 配置缺省路由是任意到达出口的地址的下一条是202.140.11.1(因为防火墙有可能不是直接W AN所以要设置默认路由)4、配置远程管理接入配置telnet接入Conf ttelnet 192.168.0.0 255.255.255.0 inside 配置telnet管理接入地址为inside的192.168.0.0/24这个网段的地址telnet 192.168.0.3 255.255.255.255 inside 也可以配置只允许一台主机的接入telnet timeout 30 配置telnet超时为30分钟配置ssh接入Conf tCrypto key generate rsa modulus 1024 生成RSA密钥对Ssh 192.168.0.0 255.255.255.0 inside 配置ssh接入地址为inside的192.168.0.0/24这个网段的地址Ssh 0 0 outside 配置ssh接入地址为outside的任意网段的地址Ssh timeout 30 配置超时为30分钟Ssh version 2 配置版本号为2配置ASDM(自适应安全设备管理器)接入Conf tHttp server enable 65123 打开防火墙HTTPS服务功能http 0 0 outside 配置防火墙允许HTTPS接入的地址为任意asdm image disk0:/asdmfile 指定ASDM映像位置username zhangsan password zhangsan privilege 15 配置客户端登录使用的用户名和密码为zhangsan特权为最高的15级5、为出站流量配置网络地址转换Conf tNat control 启用NAT功能Nat (inside) 1 0 0 指定需要被转换的地址为全内网Global (outside) 1 interface 定义一个全局地址池Global (dmz) 1 192.168.1.100-192.168.1.110 定义一个到达dmz的地址池6、配置ACLConf tAccess-list test1 standard permit 192.168.0.0 255.255.255.0 配置允许192.168.0.0/24这个网段的地址Access-list test2 extended permit tcp any any eq www 配置允许任意的地址访问任意网站Access-group test1 in interface dmz 把test1应用到接口上7、过滤URL配置例子：IP地址范围在192.168.0.2-192.168.0.15中的主机只能访问，不能访问其它任何网站。

cisco ASA防火墙怎么样配置cisco ASA 防火墙你知道怎么样配置吗?小编来教你!下面由店铺给你做出详细的cisco ASA 防火墙配置介绍!希望对你有帮助!cisco ASA 防火墙配置介绍一：5510里BUN没啥意思，5510-BUN-K9就比5510-K8多了3DES 和AES加密，但是你现在购买K8是可以免费升K9的AIP是绑定IPS入侵检测的。

其他的基本都是绑定许可和功能，可以通过命令show ver看出区别包括IPS功能的，邮件过滤/URL过滤的，防病毒的，高级用户准入的等等。

cisco ASA 防火墙配置介绍二：ASA有几个特点：1.就是你内网接口下的网段是ping不通outside口地址的2.并且，你外网的网段也是绝对ping不通你inside接口的地址的哪怕你写ACL permit ip any any都是没用的。

这个是防火墙的算法导致的，所以你这个需求是没有办法实现的并且outside口是不允许使用telnet来登陆的，但是允许使用SSH登陆cisco ASA 防火墙配置介绍三：1.asa防火墙的密码可以破解的。

配置很简单发给你ASA5500防火墙：在ASA启动过程中按 CTRL+BREAK键后,进入:rommon #0> confregCurrent Configuration Register: 0x00000001Configuration Summary:boot default image from FlashDo you wish to change this configuration? y/n [n]: nrommon #1> confreg 0x41Update Config Register (0x41) in NVRAM...rommon #2> bootLaunching BootLoader...Boot configuration file contains 1 entry.Loading disk0:/ASA_7.0.bin... Booting...Ignoring startup configuration as instructed by configuration register.Type help or '?' for a list of available commands.hostname> enablePassword:hostname# configure terminalhostname(config)# copy startup-config running-configDestination filename [running-config]?Cryptochecksum(unchanged): 7708b94c e0e3f0d5 c94dde05 594fbee9892 bytes copied in 6.300 secs (148 bytes/sec)hostname(config)# enable password NewPasswordhostname(config)# config-register 0x1hostname#copy run start到次为止密码恢复完成.2.安全策略主要就是acl访问列表的控制。

一、Cisco防火墙简介1、硬件与软件防火墙1>软件防火墙Cisco新版本的IOS软件提供了IOS防火墙特性集，它具备应用层只能状态检测防火墙引擎。

2>硬件防火墙硬件防火墙更具有优势：→功能更强大，且明确是为了抵御威胁而设计的→硬件防火墙比软件防火墙的漏洞少Cisco硬件防火墙技术应用与以下三个领域→PIX 500系列安全设备→ASA 5500系列自适应安全设备→Catalyst 6500系列交换机和Cisco 7600系列路由器的防火墙服务模块（FWSM）2、ASA安全设备Cisco ASA 5500系列自适应安全设备提供了整合防火墙、入侵保护系统（IPS）、高级自适应威胁防御服务。

其中包括应用安全和简化网络安全解决方案的VPN服务。

二、ASA的安全算法1、状态化防火墙ASA首先是一个状态化防火墙，状态化防火墙维护一个关于用户信息的连接表，称为conn表，表中信息如下→源IP地址→目的IP地址→IP协议→IP协议信息（例如TCP序列号，TCP控制位等）默认情况下，ASA对TCP和UDP协议提供状态化连接，但ICMP协议是非状态化的2、安全算法的原理ASA使用安全算法执行以下三步基本操作→访问控制列表：基于特定的网络、主机和服务控制网络访问→连接表（conn）：维护每个连接的状态信息。

安全算法使用此信息在已建立的连接中有效转发流量→检测引擎：执行状态检测和应用层检测。

检测规则集是预先定义的，来验证应用是否遵从每个RFC和其他标准数据的检测过程：首先检查访问控制列表，确定是否允许连接；然后执行路由查询，如果路由正确，将会在conn表中创建相应信息；然后在检测引擎中检查预定义的一套规则，如果已应用，则进一步执行应用层检测；目的主机相应服务；ASA防火墙查看conn连接表，如果表中存在，则执行放行，如果不存在，则检测引擎检查，然后访问控制列表检查。

三、ASA的基本配置1、使用GNS3模拟ASA防火墙需要的文件：→GNS3软件（可以去其官网下载）→asa802-k8.gz镜像文件→vmlinuz内核文件所有的东西也可以去/s/1u9eFW（我的百度云下载，GNS3压缩包里面有所有的东西）打开GNS3后，单击编辑，选择首选项（或者直接按Ctrl+Shift+P）填写以下几项其他默认即可使用ASA防火墙的时候，拽一个防火墙，然后将防火墙的网络改为pcnet，这时的防火墙就可以使用了2、配置主机名和密码1>配置主机名可以使用以下命令配置主机名：(config)#hostname 名字2>配置密码（1）配置特权密码(config)#enable password 密码（2）配置远程登录密码(config)#passwd 密码3、接口的概念与配置1>接口的名称ASA的一个接口通常有两种名称，即物理名称和逻辑名称1)物理名称物理名称与路由器的名称类似，如E0/0，E0/1等ASA 5510及以上的型号还有专门的管理接口，例如management0/02)逻辑名称逻辑名称用户大多数的配置命令，用来描述安全区域。

ciscoASA防火墙配置思科cisco依靠自身的技术和对网络经济模式的深刻理解，成为了网络应用的成功实践者之一，那么你知道cisco ASA防火墙配置吗?下面是店铺整理的一些关于cisco ASA防火墙配置的相关资料，供你参考。

cisco ASA防火墙配置的方法：常用命令有：nameif、interface、ip address、nat、global、route、static等。

global指定公网地址范围：定义地址池。

Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]其中：(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmark global_mask]：表示全局ip地址的网络掩码。

nat地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat (if_name) nat_id local_ip [netmark]其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。

对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

routeroute命令定义静态路由。

语法：route (if_name) 0 0 gateway_ip [metric]其中：(if_name)：表示接口名称。

0 0 ：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。

缺省值是1。

static配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address其中：internal_if_name表示内部网络接口，安全级别较高，如inside。

通过配置ASA 穿越代理加强企业内部访问服务器安全1、实验环境A8公司关于企业外部信息平安要求较高，关于局部重要效劳器要求在经过防火墙是停止认证授权，只要经过认证授权的用户才干访问效劳器。

实验案例拓扑图网络规划如下：〔1〕ASA 防火墙接口〔实验只需配置DMZ 接口和inside 接口即可〕地址如下：1〕E0/0为dmz 接口，IP 地址为192.168.100.254/24。

2〕E0/1为inside 接口，IP 地址为192.168.1.254/24。

〔2〕主机PC1和PC2运用Windows XP 系统，IP 地址区分为192.168.1.1/24，192.168.1.2/24。

〔3〕ACS Server 和Web Server 运用Windows Server 2003系统，并且均配置IIS 搭建Web 站点。

IP 地址区分为192.168.100.1/24，192.168.100.2/24。

2、需求描画A8公司需求如下：〔1〕PC1和PC2访问Web 效劳器必需经过ASA 认证授权，PC1的用户名：a8 ，密码a8 ；PC2的用户名：cisco.123，密码cisco.123。

〔2〕PC1只能访问Web Server ，不能访问ACS Server ，而PC2可以访问Web ServerPC1 Web ServerInternetPC2ACS Server ASAE0/2 outsideE0/0 dmzE0/1 inside和ACS Server。

3、引荐步骤〔1〕配置实验环境运用1台真实Windows Server 2003效劳器作为ACS Server，运用VMware Workstation虚拟任务站的1台Windows Server 2003和2台Windows XP区分作为Web Server、PC1和PC2。

1〕添加虚拟网卡翻开VMware Workstation的虚拟网络编辑器运用默许添加的两块虚拟网卡VMnet1和VMnet8将VMnet1作为ASA 的e0/0接口的桥接网卡，并命名为dmz将VMnet8作为ASA的e0/1接口的桥接网卡，并命名为inside2〕设置虚拟机a、设置Web Server翻开Web Server的设置编辑窗口依据实践状况适当修正内存大小从真机添加装置系统光盘的ISO镜像文件修正Web Server的桥接网卡为VMnet1 b、设置PC1参数c、设置PC2参数〔与PC1完全相反〕3〕配置虚拟机IP地址a、配置ACS Server的IP地址ACS Server运用网卡VMnet1b、配置Web Server的IP地址c、配置PC1的IP地址d、配置PC2的IP地址4〕配置IIS，并搭建Web站点需求区分在ACS Server和Web Server上配置IIS，并搭建Web站点，由于该配置不是实验案例重点，所以省略。