Cisco ASA 透明模式配置

asa5520防火墙透明模式的配置例子ciscoasa# sh run: Saved:ASA Version 7.2(3)!firewall transparenthostname ciscoasadomain-name default.domain.invalidenable password 8Ry2YjIyt7RRXU24 encryptednames!interface GigabitEthernet0/0nameif outsidesecurity-level 0!interface GigabitEthernet0/1nameif insidesecurity-level 100!interface GigabitEthernet0/2shutdownno nameifno security-level!interface GigabitEthernet0/3shutdownno nameifno security-level!interface Management0/0nameif managementsecurity-level 100ip address 192.168.1.1 255.255.255.0management-only!passwd 2KFQnbNIdI.2KYOU encryptedftp mode passivedns server-group DefaultDNSdomain-name default.domain.invalidaccess-list acl_inside extended permit ip any any access-list acl_inside extended permit icmp any anyaccess-list acl_outside extended permit tcp any any eq 3306access-list acl_outside extended permit tcp any any eq wwwaccess-list acl_outside extended permit tcp any any eq 8080access-list acl_outside extended permit tcp any any eq httpsaccess-list acl_outside extended permit tcp any any eq sqlnetaccess-list acl_outside extended permit tcp any any eq ftpaccess-list acl_outside extended permit tcp any any eq 1433access-list acl_outside extended permit esp any anyaccess-list acl_outside extended permit udp any any eq isakmpaccess-list acl_outside extended permit tcp any any eq pop3access-list acl_outside extended permit tcp any any eq smtpaccess-list acl_outside extended permit icmp any anypager lines 24mtu outside 1500mtu inside 1500mtu management 1500ip address 172.16.177.208 255.255.255.0no failovericmp unreachable rate-limit 1 burst-size 1asdm image disk0:/ASDM-523.BINno asdm history enablearp timeout 14400access-group acl_outside in interface outsideaccess-group acl_inside in interface insidetimeout xlate 3:00:00timeout conn 0:20:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolutehttp server enablehttp 192.168.1.0 255.255.255.0 managementhttp 0.0.0.0 0.0.0.0 insideno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstarttelnet timeout 5ssh timeout 5console timeout 0!class-map inspection_defaultmatch default-inspection-traffic!!policy-map type inspect dns preset_dns_mapparametersmessage-length maximum 512policy-map global_policyclass inspection_defaultinspect dns preset_dns_mapinspect ftpinspect h323 h225inspect h323 rasinspect rshinspect rtspinspect esmtpinspect sqlnetinspect skinnyinspect sunrpcinspect xdmcpinspect sipinspect netbiosinspect tftpinspect pptp!service-policy global_policy globalusername cisco password 3USUcOPFUiMCO4Jk encryptedprompt hostname contextCryptochecksum:4682fd668f251c28d32a0cb82a3ac5f3: endciscoasa#注意点：语句ip address 172.16.177.208 255.255.255.0是在interface GigabitEthernet0/0下配的，自己跑到外面来了，如果不配这个，好像ping不通。

一、思科ASA防火墙精华配置总结思科防火墙PIX ASA 配置总结一（基础）：下面是我工作以来的配置总结，有些东西是6.3版本的，但不影响在7.＊版本的配置。

一：6个基本命令：nameif、interface、ip address 、nat、global、route。

二：基本配置步骤：step1: 命名接口名字nameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 dmz security50＊＊7版本的配置是先进入接口再命名。

step2：配置接口速率interface ethernet0 10full autointerface ethernet1 10full autointerface ethernet2 10fullstep3：配置接口地址ip address outside 218.106.185.82ip address inside 192.168.100.1 255.255.255.0ip address dmz 192.168.200.1 255.255.255.0step4：地址转换（必须）* 安全高的区域访问安全低的区域（即内部到外部）需NAT和global;nat(inside) 1 192.168.1.1 255.255.255.0global(outside) 1 222.240.254.193 255.255.255.248＊＊＊nat (inside) 0 192.168.1.1 255.255.255.255 表示192.168.1.1这个地址不需要转换。

直接转发出去。

* 如果内部有服务器需要映像到公网地址(外网访问内网)则需要static和conduit或者acl.static (inside, outside) 222.240.254.194 192.168.1.240static (inside, outside) 222.240.254.194 192.168.1.240 10000 10后面的10000为限制连接数，10为限制的半开连接数。

cisco防火墙透明模式是怎么样的cisco防火墙透明模式是怎么样的呢?小编来告诉你!下面由店铺给你做出详细的cisco防火墙透明模式介绍!希望对你有帮助!cisco防火墙透明模式介绍一：firewall transparent //透明模式!interface Ethernet0nameif outsidesecurity-level 0interface Ethernet1nameif insidesecurity-level 100!access-list outside_access_in extended permit ip any host 192.168.1.100 //外网访问内网服务器access-group outside_access_in in interface outsidecisco防火墙透明模式介绍二：允许80.25.110.8000.21 号端口，然后再拒绝所有到所有呗映射服务器就做静态NAT呗，吧你服务器的80端口，映射到路由器接口(直接连ISP的接口)的80端口，OK!cisco防火墙透明模式介绍三：interface Ethernet0/0nameif insidesecurity-level 100ip address 192.168.1.1 255.255.255.0 (内网防火墙接口IP)interface Ethernet0/1nameif outsidesecurity-level 0ip address 1.1.1.1 255.255.255.0(外网固定IP) global (outside) 1 interfacenat (inside) 1 192.168.8.0 255.255.255.0route outside 0.0.0.0 0.0.0.0 1.1.1.2 1(外网网关)相关阅读：cisco认证体系CCA思科认证构架师(Cisco Certified Architect ，CCA)CCIE思科认证网络专家(Cisco Certified Internetwork Expert) CCDE思科网络设计专家级别(Cisco Certified Design Expert)CCNP思科认证资深网络工程师(Cisco Certified Network Professional)CCDP思科认证资深设计工程师(Cisco Certified Design Professional)CCIP思科认证资深互联网工程师(Cisco Certified Internetwork Professional)CCSP思科认证资深安全工程师(Cisco Certified Security Professional)CCVP思科认证资深语音工程师(Cisco Certified Voice Professional)CCNA思科认证网络工程师(Cisco Certified Network Associate) CCDA思科认证设计工程师(Cisco Certified Design Associate)。

在Cisco路由器配置透明网桥正在练习网桥,做了些笔记,如有错误,请不吝指正在Cisco路由器配置透明网桥(config) #bridge 1 protocol [dec | ieee | ibm](config)#no ip routing(config-if)#bridge-group 1show spanning-treeshow spanning eventsshow spantreebridge 1 priority pppset spantree priority bridge_priority [vlan]如果在一个网桥组中，所有的优先权值均相同，那么具有最低MAC地址的网桥就称为根网桥。

(config-if)#bridge-group 1 path-cost cccset port spantree portcost mod_num/port_num costframe-relay map bridge dlci broadcast 否则不会转发桥接业务。

show bridgeshow bridge groupshow cam dynamic要桥接IP，就要no ip routing=============================================================================(config)#bridge 1 protocol ieee(config)#bridge crb(config)#bridge 1 {route | bridge} protocolProtocol：apollo、appletalk、clns、decnet、ip、ipx、vines、xns(config-if)#bridge-group 1show interface crb不需要用no ip routing，缺省地，在桥接口上桥接所有协议，其它的接口上路由情况不变。

多厂商防火墙系列之四：ASA-Transparent-Mode【基于 8.0系列透明防火墙】Transparent Mode也就是透明防火墙，它是为了解决在一个稳定的网络中，需要增加安全特性的时候一种解决方案，它能基于不改变网络部署和IP规划的情况下，进行连接，来提供内部网络的安全。

其实它就相当于一个二层安全特性的交换机。

在做 Transparent Mode 注意的地方。

1.Transparent mode 一样遵循 ASA 自适应算法。

从高流量到低流量而且在检测引擎中，那么默认是放行的，从低到高全部 deny。

除非 ACL 放行。

2.官方建议三层流量，在 Transparent mode 中双向放行（比如 OSPF，EIGRP 这些组播的流量）否则，有些流量不能成功穿越。

但是内部的放行建议是 IP any any，如果你只放行了 ospf 的流量，那么其他初始化的包会先匹配 ACL是否有放行，没有就全部拒绝。

3.transparent Mode 支持多模式的 context，但是不能一个为 router mode，另外一个为 transparent mode ，context的思想源于 65 系列的 FW 模块，它支持 router和 Transparent 同时存在。

4.必须配置管理 IP，而且必须与内部通信网段处于同一网段。

这个 IP 只是管理作用，不能当做网关来使用，但是防火墙可以设置一个默认网关，用于远程网关使用。

5.如果不是一个全新的 firewall 的话，那么一定要先保存配置，否则转换后它会清空所有的配置。

并且不会保存这种适合在出口路由器与内部网络连接的中间做透明防火墙，来保证外网和内网之间的流量过滤掉不安全的因素。

配置命令：Edge：Edge(config)#int f0/0Edge(config-if)#ip add 12.1.1.1 255.255.255.0Edge(config-if)#no shutEdge(config-if)#line vty 0 4Edge(config-line)#password ciscoEdge(config)#int lo 0Edge(config-if)#ip add 1.1.1.1 255.255.255.255Inside：Inside(config-if)#int f0/0Inside(config-if)#ip add 12.1.1.2 255.255.255.0Inside(config-if)#no shut把 firewall 改变成 transparent 很简单，而且不需要重启，只需要输入一个 firewall transparent，想恢复成 router mode的话，只需要输入 no firewall transparent。

CISCO 网络设备使用及配置文档一、网络结构：光纤传输-------光猫----------路由器2800的F0/1（外网地址：58.221.220.166）-------路由器的F0/0口（内网网关IP:192.168.1.1）-----------防火墙ASA5510的0（透明模式为外接口）-------防火墙的1（透明模式为内接口）-------------核心交换3560G的(G1 和G2 都可以上接)------核心交换机的其它接口分别对应各层接入交换机。

二、设备配置说明：路由器：F0/1 IP 是58.221.220.166 掩码：255.255.255.252 网关：58.221.220.165 F0/0 IP是192.168.1.1 掩码：255.255.255.0远程TELNET 的用户名：admin 密码：admin@123 特权密码：cisco防火墙：F0/0 是外部接口F0/1是内部接口系统管理IP 192.168.1.2 网关192.168.1.1 掩码：255.255.255.0 远程TELNET 密码：cisco特权密码：cisco核心交换：G1-G2 VLAN 1 IP 地址：192.168.1.3 掩码：255.255.255.0G3-G4 VLAN10 IP 地址：192.168.10.254 掩码：255.255.255.0G5-G6 VLAN20 IP 地址：192.168.20.254 掩码：255.255.255.0G7-G8 VLAN30 IP地址：192.168.30.254 掩码：255.255.255.0G9-G10 VLAN40 IP地址：192.168.40.254 掩码：255.255.255.0G11-G12 VLAN50 IP地址：192.168.50.254 掩码：255.255.255.0G13-G14 VLAN60 IP地址：192.168.60.254 掩码：255.255.255.0G21-G22 VLAN70 IP地址：192.168.70.254 掩码：255.255.255.0G23-G24 VLAN80 IP地址：192.168.80.254 掩码：255.255.255.0DHCP:各个VLAN 分发IP地址及其它信息。

思科ASA防火墙配置要想配置思科的防火墙得先了解这些命令：常用命令有：nameif、interface、ip address、nat、global、route、static等。

global指定公网地址范围：定义地址池。

Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]其中：(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmark global_mask]：表示全局ip地址的网络掩码。

nat地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat (if_name) nat_id local_ip [netmark]其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。

对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

routeroute命令定义静态路由。

语法：route (if_name) 0 0 gateway_ip [metric]其中：(if_name)：表示接口名称。

0 0 ：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。

缺省值是1。

static配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address 其中：internal_if_name表示内部网络接口，安全级别较高，如inside。

external_if_name表示外部网络接口，安全级别较低，如outside。

ASA透明模式防火墙技术介绍首先，透明模式和其它模式的pk: 路由模式VS透明模式路由模式，防火墙扮演一个三层设备，基于目的IP地址转发数据包。

透明模式，防火墙扮演一个二层设备，如同桥或交换机，基于目的MAC地址转发以太网??桥模式VS透明模式需要注意的是，虽然透明模式防火墙首先，透明模式和其它模式的pk:路由模式VS透明模式路由模式，防火墙扮演一个三层设备，基于目的IP地址转发数据包。

透明模式，防火墙扮演一个二层设备，如同桥或交换机，基于目的MAC地址转发以太网帧。

桥模式VS透明模式需要注意的是，虽然透明模式防火墙工作在第二层，但是，它的工作方式并不完全与二层交换机或桥相同。

透明模式防火墙在处理流量时仍然与交换机有一些不同。

交换机三个主要功能1. 学习与每个端口匹配的MAC地址，并将它们存储在MAC地址表中（有时一叫做CAM表）。

智能地使用MAC地址表转发流量，但是会泛洪未知目的的单播、组播、广播地址。

3. 使用生成树协议（STP）来打破第二层环路，保证在源和目的之间只有一条活动路径存在。

像交换机一样，透明模式防火墙也会完成第一点：当一个帧进入一个接口，设备会比较帧中的源MAC地址，并且把它添加到MAC地址表中（如果MAC地址表中没有这个地址）。

防火墙同样使用MAC地址表，智能地基于帧的目的MAC地址进行转发；但是，防火墙不会泛洪MAC地址表不存在的未知的目的单播MAC地址。

防火墙假设，如果设备使用TCP/IP，可以通过ARP进程来发现与三层IP地址相匹配的目的MAC地址。

如果一台设备打破了这个预期（准则），并且使用了一个防火墙没有学到（动态或静态）的MAC地址，防火墙将丢弃未知的目的MAC地址。

简单的说，就是不泛洪未知的目的MAC地址。

第二点与二层设备不同的是，防火墙不参与生成树（STP）。

因此，必须保证在使用透明模式防火墙时，不能故意增加二层环路。

如果有环路，你会很快的该设备和交换机的CPU利用率会增加到100％。

Cisco FWSM防火墙透明模式配置例子透明模式配置例子以下内容需要回复才能看到hostname Farscapepassword passw0rdenable password chr1cht0ninterface vlan 4interface vlan 5interface vlan 6interface vlan 7interface vlan 150interface vlan 151interface vlan 152interface vlan 153admin-context admincontext adminallocate-interface vlan150allocate-interface vlan4config-url disk://admin.cfgmember defaultcontext customerAdescription This is the context for customer A allocate-interface vlan151allocate-interface vlan5config-url disk://contexta.cfgmember goldcontext customerBdescription This is the context for customer B allocate-interface vlan152allocate-interface vlan6config-url disk://contextb.cfgmember silvercontext customerCdescription This is the context for customer Callocate-interface vlan153allocate-interface vlan7config-url disk://contextc.cfgmember bronzeChangeto context adminfirewall transparentpasswd secret1969enable password h1andl0interface vlan 150nameif outsidesecurity-level 0bridge-group 1interface vlan 4nameif insidesecurity-level 100bridge-group 1interface bvi 1ip address 10.1.1.1 255.255.255.0route outside 0 0 10.1.1.2 1ssh 10.1.1.75 255.255.255.255 insidearp outside 10.1.1.2 0009.7cbe.2100arp inside 10.1.1.3 0009.7cbe.1000arp-inspection inside enable floodarp-inspection outside enable floodaccess-list INTERNET remark -Allows all inside hosts to access the outside access-list INTERNET extended permit ip any anyaccess-group INTERNET in interface insideaccess-list RETURN remark -Allows OSPF backaccess-list RETURN extended permit 89 any anyaccess-list RETURN remark -Allows DHCP backaccess-list RETURN extended permit udp any any eq 68access-group RETURN in interface outsideChangeto context afirewall transparentpasswd hell0!enable password enter55interface vlan 151nameif outsidesecurity-level 0bridge-group 45interface vlan 5nameif insidesecurity-level 100bridge-group 45interface bvi 45ip address 10.1.2.1 255.255.255.0route outside 0 0 10.1.2.2 1access-list INTERNET remark -Allows all inside hosts to access the outside access-list INTERNET extended permit ip any anyaccess-group INTERNET in interface insideaccess-list RETURN remark -Allows OSPF backaccess-list RETURN extended permit 89 any anyaccess-list RETURN remark -Allows DHCP backaccess-list RETURN extended permit udp any any eq 68access-group RETURN in interface outsideChangeto context bfirewall transparentpasswd tenac10usenable password defen$einterface vlan 152nameif outsidesecurity-level 0bridge-group 1interface vlan 6nameif insidesecurity-level 100bridge-group 1interface bvi 1ip address 10.1.3.1 255.255.255.0route outside 0 0 10.1.3.2 1access-list INTERNET remark -Allows all inside hosts to access the outside access-list INTERNET extended permit ip any anyaccess-group INTERNET in interface insideaccess-list RETURN remark -Allows OSPF backaccess-list RETURN extended permit 89 any anyaccess-list RETURN remark -Allows DHCP backaccess-list RETURN extended permit udp any any eq 68access-group RETURN in interface outsideChangeto context cfirewall transparentpasswd fl0werenable password treeh0u$einterface vlan 153nameif outsidesecurity-level 0bridge-group 100interface vlan 7nameif insidesecurity-level 100bridge-group 100interface bvi 100ip address 10.1.4.1 255.255.255.0route outside 0 0 10.1.4.2 1access-list INTERNET remark -Allows all inside hosts to access the outside access-list INTERNET extended permit ip any anyaccess-group INTERNET in interface insideaccess-list RETURN remark -Allows OSPF backaccess-list RETURN extended permit 89 any anyaccess-list RETURN remark -Allows DHCP backaccess-list RETURN extended permit udp any any eq 68access-group RETURN in interface outside。

CiscoASA透明模式配置Cisco ASA 透明模式配置透明模式只支持两个接口，透明模式也可以用multi-context注意透明模式没有nat,没有路由1. 3层流量要明确放行（ospf，eigrp），要想跨防火墙建邻居，两边都要permit2. 直连的outside和inside网络必须属于相同子网3. 必须要配置一个网管ip地址,必须~~~4 网管ip和内外网ip在同一段.5. 管理ip不能做内网网关6. 可以配置网关,但是只做网管用，远程访问防火墙用7. 每个接口必须在不同vlan,（这个是看的资料上写的，暂时不是很理解）8. 所有流量都可由ip acl和ethernet acl控制是否放行，eth acl 只能管二层流量，但是如果deny any了，则 2，3层都不过9. arp不需要放行就可以过去,除arp外，所有二层流量默认都不通10. cdp不可以过透明模式不支持,nat, dynamic routing protocol,ipv6, dhcp relay,qos, multicast, 不能终结vpnACL对于没有状态的协议是需要两边都放行，有状态的协议防火墙通过查找状态表来允许流量。

配置一firewall transparent切换成透明模式interface GigabitEthernet00nameif outsidesecurity-level 0interface GigabitEthernet01nameif insidesecurity-level 100定义接口级别access-list out-in extended permit tcp any any eq wwwaccess-list out-in extended permit icmp any any 允许ICMP穿越ASA访问规则定义ip address 172.16.1.100 255.255.255.0管理IPaccess-group out-in in interface outsideroute outside 0.0.0.0 0.0.0.0 172.16.1.2 1route inside 10.10.1.0 255.255.255.0 172.16.1.1 1定义路由asdm image disk0asdm-507.bin定义ASDM路径，有时候需要指定http server enablehttp 0.0.0.0 0.0.0.0 inside 启用ASDM管理。

图解Cisco ASA防火墙SSL VPN的配置(图)随着现在互联网的飞速发展，企业规模也越来越大，一些分支企业、在外办公以及SOHO一族们，需要随时随地的接入到我们企业的网络中，来完成我们一些日常的工作，这时我们VPN在这里就成了一个比较重要的一个角色了。

SSL VPN设备有很多。

如Cisco 路由器、Cisco PIX防火墙、Cisco ASA 防火墙、Cisco VPN3002 硬件客户端或软件客户端。

这极大地简化了远程端管理和配置。

说的简单点就是在Server 端配置复杂的策略和密钥管理等命令，而在我们的客户端上只要配置很简单的几条命令就能和Server端建立VPN链路的一种技术，主要的目的当然就是简化远端设备的配置和管理。

那么今天我们看看我们要实现的是SSL VPN，那什么是SSL VPN呢？SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。

与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。

任何安装浏览器的机器都可以使用SSL VPN，这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。

什么是SSL VPN？从概念角度来说，SSL VPN即指采用SSL 〔Security Socket Layer〕协议来实现远程接入的一种新型VPN技术。

SSL 协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证〔可选〕、SSL链路上的数据完整性和SSL链路上的数据保密性。

对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。

目前SSL 协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。

正因为SSL 协议被内置于IE等浏览器中，使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。

相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，这两种类型的VPN之间的差异就类似C/S构架和B/S构架的区别。

..Cisco ASA 防火墙图文配置实例本文是基于ASA5540 和 ASA5520 的配置截图所做的一篇配置文档，从最初始的配置开始：1、连接防火墙登陆与其他的 Cisco 设备一样，用 Console 线连接到防火墙，初始特权密码为空。

2、配置部接口和 IP 地址进入到接口配置模式，配置接口的 IP 地址，并指定为 inside。

防火墙的地址配置好后，进行测试，确认可以和防火墙通讯。

3、用 dir 命令查看当前的 Image 文件版本。

4、更新 Image 文件。

准备好 TFTP 服务器和新的 Image 文件，开始更新。

5、更新 ASDM。

6、更新完成后，再用 dir 命令查看8、存盘，重启9、用 sh version 命令验证启动文件，可以发现当前的 Image 文件就是更新后的10、设置允许用图形界面来管理 ASA 防火墙表示部接口的任意地址都可以通过 http 的方式来管理防火墙。

11、打开浏览器，在地址栏输入防火墙部接口的 IP 地址选择“是”按钮。

12、出现安装 ASDM 的画面选择“Install ASDM Launcher and Run ASDM”按钮，开始安装过程。

13、安装完成后会在程序菜单中添加一个程序组14、运行 ASDM Launcher，出现登陆画面15、验证证书单击“是”按钮后，开始登陆过程16、登陆进去后，出现防火墙的配置画面，就可以在图形界面下完成 ASA 防火墙的配置17、选择工具栏的“Configuration”按钮18、选择“Interface”，对防火墙的接口进行配置，这里配置g0/3接口选择 g0/3 接口，并单击右边的“Edit”按钮19、配置接口的 IP 地址，并将该接口指定为 outside单击 OK 后，弹出“Security Level Change”对话框，单击 OK 20、编辑 g0/1 接口，并定义为 DMZ 区域21、接口配置完成后，要单击 apply 按钮，以应用刚才的改变，这一步一定不能忘22、设置静态路由单击 Routing->Static Route->Add23、设置 enable 密码24、允许 ssh 方式登录防火墙25、增加用户定义 ssh 用本地数据库验证26、用 ssh 登录测试登录成功27、建立动态 NAT 转换选择 Add Dynamic NAT RuleInterface 选择 inside，Source 处输入 any 单击 Manage 按钮单击 add，增加一个地址池Interface 选择 Outside，选择 PAT，单击 Add 按钮单击 OK完成了添加动态 NAT 转换28、静态 NAT 转换由于笔者 2009 年离开了原单位，有些配置的截图没有做，新单位又没有 ASA 防火墙，只好参考《ASA8.0/ASDM6.0 测试报告》的截图和文档来完成本文，并将该文档中部分常用的配置联接在本文后，对该文的作者表示感。