ASA防火墙基本配置

合集下载

ASA防火墙的基本配置

ASA防火墙的基本配置

安全级别:0-100从高安全级别到低安全级别的流量放行的从低安全到高安全级别流量禁止的ASA防火墙的特性是基于TCP和UDP链路状态的,会话列表,记录出去的TCP或者UDP 流量,这些流量返回的时候,防火墙是放行的。

ASA防火墙的基本配置!interface Ethernet0/0nameif insidesecurity-level 99ip address 192.168.1.2 255.255.255.0!interface Ethernet0/1nameif dmzsecurity-level 50ip address 172.16.1.2 255.255.255.0!interface Ethernet0/2nameif outsidesecurity-level 1ip address 200.1.1.2 255.255.255.0ciscoasa# show nameifInterface Name SecurityEthernet0/0 inside 99Ethernet0/1 dmz 50Ethernet0/2 outside 12、路由器上配置配置接口地址路由--默认、静态配置VTY 远程登录R3:interface FastEthernet0/0ip address 200.1.1.1 255.255.255.0no shutdown配置去内网络的路由ip route 192.168.1.0 255.255.255.0 200.1.1.2配置去DMZ区域的路由ip route 172.161.0 255.255.255.0 200.1.1.2配置远程登录VTYR3(config)#line vty 0 2R3(config-line)#password 666R3(config-line)#loginR2:interface FastEthernet0/0ip address 172.16.1.1 255.255.255.0no shutdown配置默认路由IP route 0.0.0.0 0.0.0.0 172.16.1.2配置远程登录VTYR3(config)#line vty 0 2R3(config-line)#password 666R3(config-line)#loginR2:interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0no shutdown配置默认路由IP route 0.0.0.0 0.0.0.0 192.168.1.2配置远程登录VTYR3(config)#line vty 0 2R3(config-line)#password 666R3(config-line)#loginR1可以Telnet R3 ,反过来不行R1不可以ping通R3防火墙放行流量防火墙能放行R3低安全级别的---R1高安全级别区域--Telnet流量ciscoasa(config)# access-list 100 permit tcp host 200.1.1.1 host 192.168.1.1 eq 23应用列表到接口ciscoasa(config)# access-group 100 in interface outside验证:防火墙能放行R3低安全级别的---R1高安全级别区域--ICMP流量ciscoasa(config)# access-list 100 permit icmp host 200.1.1.1 host 192.168.1.1验证。

ASA防火墙上配置IPSEC VPN和SSL VPN

ASA防火墙上配置IPSEC VPN和SSL VPN

ASA防火墙上配置IPSEC VPN和SSL VPN一:实验拓扑:二:实验要求:1:PC1属于上海分公司内网主机,PC2属于总公司主机.要求上海分公司的用户直接可以喝总公司的PC2通信.(Site-to-Site IPSEC VPN实现)2:公网上用户可以访问总公司的OA服务器PC2.(SSL VPN实现)三:配置过程:1:基本配置:ASA1(config)# int e0/1ASA1(config-if)# nameif insideINFO: Security level for "inside" set to 100 by default.ASA1(config-if)# ip add 172.16.1.254 255.255.255.0ASA1(config-if)# no shASA1(config-if)# int e0/0ASA1(config-if)# nameif outsideINFO: Security level for "outside" set to 0 by default.ASA1(config-if)# ip add 12.0.0.1 255.255.255.0ASA1(config-if)# no shASA1(config-if)#ASA1# ping 172.16.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 10/344/1670 msR1(config)#int f0/0R1(config-if)#ip add 12.0.0.2 255.255.255.0R1(config-if)#no shR1(config-if)#int f1/0R1(config-if)#ip add 23.0.0.2 255.255.255.0R1(config-if)#no shR1(config-if)#int f2/0R1(config-if)#ip add 1.1.1.254 255.255.255.0R1(config-if)#no shASA2(config)# int e0/0ASA2(config-if)# nameif outsideINFO: Security level for "outside" set to 0 by default.ASA2(config-if)# ip add 23.0.0.3 255.255.255.0ASA2(config-if)# no shASA2(config-if)# int e0/1ASA2(config-if)# nameif insideINFO: Security level for "inside" set to 100 by default.ASA2(config-if)# ip add 192.168.1.254 255.255.255.0ASA2(config-if)# no sh配置路由,NAT,ACLASA1(config)# route outside 0 0 12.0.0.2ASA1(config)# nat-controlASA1(config)# nat (inside) 1 0 0ASA1(config)# global (outside) 1 interfaceINFO: outside interface address added to PAT poolASA1(config)# access-list haha permit icmp any anyASA1(config)# access-group haha in interface outsideASA2(config)# route outside 0 0 23.0.0.2ASA2(config)# nat-conASA2(config)# nat-controlASA2(config)# nat (inside) 1 0 0ASA2(config)# global (outside) 1 interfaceINFO: outside interface address added to PAT poolASA2(config)# access-list haha permit icmp any anyASA2(config)# access-group haha in interface outside私网上公网没问题,但两个私网无法互通2:配置Site-to-Site VPNASA1(config)# access-list no-nat permit ip 172.16.1.0 255.255.255.0 192.168.1.0 255.255.255.0ASA1(config)# nat (inside) 0 access-list no-natASA2(config)# access-list no-nat permit ip 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0ASA2(config)# nat (inside) 1 access-list no-natASA1(config)# crypto isakmp enable outsideASA1(config-isakmp-policy)# authentication pre-shareASA1(config-isakmp-policy)# encryption desASA1(config-isakmp-policy)# hash md5ASA1(config-isakmp-policy)# group 2ASA1(config-isakmp-policy)# exitASA1(config)# isakmp key cisco address 23.0.0.3ASA1(config)# crypto ipsec transform-set mytrans esp-des esp-mdASA1(config)# crypto ipsec transform-set mytrans esp-des esp-md5-hmacASA1(config)# crypto map mymap 10 set peer 23.0.0.3ASA1(config)# crypto map mymap 10 set transform-set mytransASA1(config)# crypto map mymap 10 match address no-natASA1(config)# crypto map mymap interface outsideASA2(config)# crypto isakmp enable outsideASA2(config-isakmp-policy)# authentication pre-shareASA2(config-isakmp-policy)# encryption desASA2(config-isakmp-policy)# hash md5ASA2(config-isakmp-policy)# group 2ASA2(config-isakmp-policy)# exitASA2(config)# isakmp key cisco address 12.0.0.1ASA2(config)# crypto ipsec transform-set mytrans esp-des esp-mdASA2(config)# crypto ipsec transform-set mytrans esp-des esp-md5-hmacASA2(config)# crypto map mymap 10 set peer 12.0.0.1ASA2(config)# crypto map mymap 10 set transform-set mytransASA2(config)# crypto map mymap 10 match address no-natASA2(config)# crypto map mymap interface outsideSite-to-Site IPSEC 配置完成.ASA2(config)# webvpnASA2(config-webvpn)# enable outsideINFO: WebVPN and DTLS are enabled on 'outside'.ASA2(config-webvpn)# svc image disk0:/sslclient-win-1.1.3.173.pkgASA2(config-webvpn)# svc enableASA2(config-webvpn)# exitASA2(config)# username cisco password ciscoASA2(config)# ip local pool vpn 192.168.100.1-192.168.100.200ASA2(config)# access-list 100 permit ip 192.168.1.0 255.255.255.0 anyASA2(config)# group-policy my10 internalASA2(config)# group-policy my10 attributesASA2(config-group-policy)# vpn-tunnel-protocol webvpn svcASA2(config-group-policy)# split-tunnel-policy tunnelspecifiedASA2(config-group-policy)# split-tunnel-network-list value 100ASA2(config-group-policy)# webvpnASA2(config-group-webvpn)# svc ask enableASA2(config-group-webvpn)# exitASA2(config-group-policy)# exitASA2(config)# tunnel-group jishu type webvpnASA2(config)# tunnel-group jishu general-attributesASA2(config-tunnel-general)# address-pool vpnASA2(config-tunnel-general)# default-group-policy my10ASA2(config-tunnel-general)# webvpnASA2(config-webvpn)# tunnel-group-list enableASA2(config-webvpn)# tunnel-group jishu webvpn-attributesASA2(config-tunnel-webvpn)# group-alias 2t39SSL VPN配置完毕.access-list sslvpn extended permit ip 192.168.1.0 255.255.255.0 192.168.100.0 255.255.255.0nat (inside) 0 access-list sslvpn。

ciscoASA防火墙如何配置

ciscoASA防火墙如何配置

ciscoASA防火墙如何配置思科cisco是全球高端顶尖的通讯厂商,其出产的路由器功能也是世界级的,那么你知道cisco ASA防火墙如何配置的吗?下面是店铺整理的一些关于cisco ASA防火墙如何配置的相关资料,供你参考。

cisco ASA防火墙配置的方法:常用命令有:nameif、interface、ip address、nat、global、route、static等。

global指定公网地址范围:定义地址池。

Global命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]其中:(if_name):表示外网接口名称,一般为outside。

nat_id:建立的地址池标识(nat要引用)。

ip_address-ip_address:表示一段ip地址范围。

[netmark global_mask]:表示全局ip地址的网络掩码。

nat地址转换命令,将内网的私有ip转换为外网公网ip。

nat命令配置语法:nat (if_name) nat_id local_ip [netmark]其中:(if_name):表示接口名称,一般为inside.nat_id:表示地址池,由global命令定义。

local_ip:表示内网的ip地址。

对于0.0.0.0表示内网所有主机。

[netmark]:表示内网ip地址的子网掩码。

routeroute命令定义静态路由。

语法:route (if_name) 0 0 gateway_ip [metric]其中:(if_name):表示接口名称。

0 0 :表示所有主机Gateway_ip:表示网关路由器的ip地址或下一跳。

[metric]:路由花费。

缺省值是1。

static配置静态IP地址翻译,使内部地址与外部地址一一对应。

语法:static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address其中:internal_if_name表示内部网络接口,安全级别较高,如inside。

思科ASA防火墙基本配置

思科ASA防火墙基本配置

思科ASA防火墙基本配置思科ASA防火墙基本配置Fire Wall 防火墙,它是一种位于内部网络与外部网络之间的网络安全系统,当然,防火墙也分软件防火墙与硬件防火墙。

硬件防火墙又分为:基于PC架构与基于ASIC芯片今天来聊一聊思科的'硬件防火墙 Cisco ASACisco ASA 防火墙产品线挺多:Cisco ASA5505 Cisco ASA5510 Cisco ASA5520 Cisco ASA5540 Cisco ASA5550 等等ASA 的基本配置步骤如下:配置主机名、域名hostname [hostname]domain-name xx.xxhostname Cisco-ASA 5520domain-name 配置登陆用户名密码password [password]enable password [password]配置接口、路由interface interface_namenameif [name]name 有三种接口类型 insdie outside dmzsecurity-level xx(数值)数值越大接口安全级别越高注:默认inside 100 ,outside 0 ,dmz 介于二者之间静态路由route interface_number network mask next-hop-addressroute outside 0.0.0.0 0.0.0.0 210.210.210.1配置远程管理接入Telnettelnet {network | ip-address } mask interface_nametelnet 192.168.1.0 255.255.255.0 insidetelnet 210.210.210.0 255.255.255.0 outsideSSHcrypto key generate rsa modulus {1024| 2048 }指定rsa系数,思科推荐1024ssh timeout minutesssh version version_numbercrypto key generate rsa modulus 1024ssh timeout 30ssh version 2配置 ASDM(自适应安全设备管理器)接入http server enbale port 启用功能http {networdk | ip_address } mask interface_nameasdm image disk0:/asdm_file_name 指定文件位置username user password password privilege 15NATnat-controlnat interface_name nat_id local_ip maskglobal interface_name nat_id {global-ip [global-ip] |interface} nat-controlnat inside 1 192.168.1.0 255.255.255.0global outside 1 interfaceglobal dmz 1 192.168.202.100-192.168.202.150ACLaccess-list list-name standad permit | deny ip maskaccess-list list-name extendad permit | deny protocol source-ip mask destnation-ip mask portaccess-group list-name in | out interface interface_name如果内网服务器需要以布到公网上staic real-interface mapped-interface mapped-ip real-ip staic (dmz,outside) 210.210.202.100 192.168.202.1保存配置wirte memory清除配置clear configure (all)【思科ASA防火墙基本配置】。

ASA防火墙基本配置

ASA防火墙基本配置

一、基本配置#hostname name //名字的设置#interface gigabitethernet0/0 //进入接口0/0#nameif outside //配置接口名为outside#security-level 0 //设置安全级别。

级别从0--100,级别越高安全级别越高#ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址#no shutdown#interface ethernet0/1 //进入接口0/1#nameif inside //配置接口名为inside#security-level 100 //设置安全级别。

级别从0--100,级别越高安全级别越高#ip address 192.168.10.1 255.255.255.0 //设置ip地址#duplex full //全双工#speed 100 //速率#no shutdown#interface ethernet0/2 //进入接口0/2#nameif dmz //配置接口名为dmz#security-level 50 //设置安全级别。

级别从0--100,级别越高安全级别越高#ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址#no shutdown#interface Management0/0 //进入管理接口# nameif guanli //接口名# security-level 100 //安全级别#ip address 192.168.1.1 255.255.255.0 //IP地址注意:security-level 配置安全级别。

默认外网接口为0/0 安全级别默认为0内网接口为0/1 安全级别默认为100dmz 接口为0/2 安全级别默认为50默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令:#same-security-traffic permit interface //允许相同安全级别接口之间互相通信。

Lab2 ASA FirePOWER基本配置指南

Lab2 ASA FirePOWER基本配置指南

ASA FirePOWER防火墙基本配置指南目录1.目的 (1)2.系统策略 (1)3.健康监控策略 (4)4.对象管理 (6)5.网络主机发现策略 (8)6.访问控制策略 (10)7.基本IPS策略 (16)8.联动策略 (20)9.用户帐号管理 (22)1.目的在进行下面实验步骤前,先确认已经完成了ASA FirePOWER模块和Defense Center的安装,并将FirePOWER模块成功地添加到Defense Center的管理设备中。

本文档介绍了ASA FirePOWER防火墙的基本配置,以及如何验证配置是否生效。

2.系统策略本实验描述了如何通过创建系统策略(System Policy),并将其应用给Defense Center和FirePOWER模块。

通过以下配置步骤,将二者的时间保持同步,如果时间不同步,可能会造成日志无法显示,或显示不正常的问题。

2.1.修改时区Time Zone步骤1:在GUI管理界面,进入Admin > User Preferences,选择Time Zone Preference标签。

步骤2:将显示时区设置为Asia/Shanghai(如下图),然后点击Save:步骤3:修改FSMC的时间为本地的时间,通过SSH登陆到FSMC的CLI界面,通过命令date修改FSMC的时间。

假定当前时间为2015年11月17日21时04分,由于在FSMC上采用的是UTC时间,而Asia/Shanghai所在时区为UTC+8,那么在FSMC的时间应该是当前时间减去8小时,即UTC时间为2015年11月17日13时04分。

配置命令如下:admin@Sourcefire3D:~$ sudo date -s "20151117 13:04:30"Password: <此处输入admin账号的密码>最后输入命令date,验证时间已经修改成功:admin@Sourcefire3D:~$ dateTue Nov 17 13:04:31 UTC 2015注意:在实际环境中,如果配置了NTP服务器,可以跳过本步骤的设置。

配置asa 5505防火墙

配置asa 5505防火墙

配置asa 5505防火墙1.配置防火墙名ciscoasa> enableciscoasa# configure terminalciscoasa(config)# hostname asa55052.配置Http.telnet和ssh管理<config>#username xxx password xxxxxx encrypted privilege 15 <config>#aaa authentication enable console LOCAL<config>#aaa authentication telnet console LOCAL<config>#aaa authentication http console LOCAL<config>#aaa authentication ssh console LOCAL<config>#aaa autoentication command LOCAL<config>#http server enable<config>#http 192.168.1.0 255.255.255.0 inside<config>#telnet 192.168.1.0 255.255.255.0 inside<config>#ssh 192.168.1.0 255.255.255.0 inside<config>#crypto key generate rsa(打开SSH服务)//允许内部接口192.168.1.0网段telnet防火墙3.配置密码asa5505(config)# password cisco//远程密码asa5505(config)# enable password cisco//特权模式密码4.配置IPasa5505(config)# interface vlan 2//进入vlan2asa5505(config-if)# ip address 218.xxx.37.222 255.255.255.192 //vlan2配置IPasa5505(config)#show ip address vlan2//验证配置5.端口加入vlanasa5505(config)# interface e0/3//进入接口e0/3asa5505(config-if)# switchport access vlan 3//接口e0/3加入vlan3asa5505(config)# interface vlan 3//进入vlan3asa5505(config-if)# ip address 10.10.10.36 255.255.255.224//vlan3配置IPasa5505(config-if)# nameif dmz//vlan3名asa5505(config-if)# no shutdown//开启asa5505(config-if)# show switch vlan//验证配置6.最大传输单元MTUasa5505(config)#mtu inside 1500//inside最大传输单元1500字节asa5505(config)#mtu outside 1500//outside最大传输单元1500字节asa5505(config)#mtu dmz 1500//dmz最大传输单元1500字节7.配置arp表的超时时间asa5505(config)#arp timeout 14400//arp表的超时时间14400秒8.FTP模式asa5505(config)#ftp mode passive//FTP被动模式9.配置域名asa5505(config)#domain-name 10.启动日志asa5505(config)#logging enable//启动日志asa5505(config)#logging asdm informational//启动asdm报告日志asa5505(config)#Show logging//验证配置11.启用http服务asa5505(config)#http server enable ///启动HTTP server,便于ASDM连接。

ASA防火墙配置

ASA防火墙配置

ASA防火墙初始配置1.模式介绍“>”用户模式firewall>enable 由用户模式进入到特权模式password:“#”特权模式firewall#config t 由特权模式进入全局配置模式“(config)#”全局配置模式防火墙的配置只要在全局模式下完成就可以了。

2.接口配置(以5510以及更高型号为例,5505接口是基于VLAN的):interface Ethernet0/0nameif inside (接口的命名,必须!)security-level 100(接口的安全级别)ip address 10.0.0.10 255.255.255.0no shutinterface Ethernet0/1nameif outsidesecurity-level 0ip address 202.100.1.10 255.255.255.0no shut3.路由配置:默认路由:route outside 0 0 202.100.1.1 (0 0 为0.0.0.0 0.0.0.0)静态路由:route inside 192.168.1.0 255.255.255.0 10.0.0.15505接口配置:interface Ethernet0/0!interface Ethernet0/1switchport access vlan 2interface Vlan1nameif insidesecurity-level 100ip address 192.168.6.1 255.255.255.0!interface Vlan2nameif outsidesecurity-level 0ip address 202.100.1.10ASA防火墙NAT配置内网用户要上网,我们必须对其进行地址转换,将其转换为在公网上可以路由的注册地址,防火墙的nat和global是同时工作的,nat定义了我们要进行转换的地址,而global定义了要被转换为的地址,这些配置都要在全局配置模式下完成,Nat配置:firewall(config)# nat (inside) 1 0 0上面inside代表是要被转换得地址,1要和global 后面的号对应,类似于访问控制列表号,也是从上往下执行,0 0 代表全部匹配(第一个0代表地址,第二个0代表掩码),内部所有地址都回进行转换。

cisco-asa 防火墙 配置

cisco-asa 防火墙 配置

cisco-asa 防火墙配置hostname CD-ASA5520 //给防火墙命名domain-namedefault.domain.invalid //定义工作域enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码names dns-guard!interface GigabitEthernet0/0 //内网接口:duplex full //接口作工模式:全双工,半双,自适应nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全ip address192.168.1.1 255.255.255.0 //设置本端口的IP地址!interface GigabitEthernet0/1 //外网接口nameif outside //为外部端口命名:外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置!interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0!interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address!interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address!passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表access-list outside_permit extended permit tcp any interface outside range 30000 30010 //允许外部任何用户可以访问outside 接口的30000-30010的端口。

思科ASA防火墙精华配置总结

思科ASA防火墙精华配置总结

思科防⽕墙 PIX ASA 配置总结⼀(基础): 思科防⽕墙已经从PIX发展到ASA了,IOS也已经从早期的6.0发展到7.2。

但总体的配置思路并没有多少变化。

只是更加⼈性化,更加容易配置和管理了。

下⾯是我⼯作以来的配置总结,有些东西是6.3版本的,但不影响在7.*版本的配置。

⼀:6个基本命令: nameif、 interface、 ip address 、nat、 global、 route。

⼆:基本配置步骤: step1: 命名接⼝名字 nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 **7版本的配置是先进⼊接⼝再命名。

step2:配置接⼝速率 interface ethernet0 10full auto interface ethernet1 10full auto interface ethernet2 10full step3:配置接⼝地址 ip address outside 218.106.185.82 ip address inside 192.168.100.1 255.255.255.0 ip address dmz 192.168.200.1 255.255.255.0 step4:地址转换(必须) * 安全⾼的区域访问安全低的区域(即内部到外部)需NAT和global; nat(inside) 1 192.168.1.1 255.255.255.0 global(outside) 1 222.240.254.193 255.255.255.248 *** nat (inside) 0 192.168.1.1 255.255.255.255 表⽰192.168.1.1这个地址不需要转换。

直接转发出去。

* 如果内部有服务器需要映射到公地址(外访问内)则需要static和conduit或者acl. static (inside, outside) 222.240.254.194 192.168.1.240 static (inside, outside) 222.240.254.194 192.168.1.240 10000 10 后⾯的10000为限制连接数,10为限制的半开连接数。

cisco ASA防火墙开局配置指南

cisco ASA防火墙开局配置指南

一,配置接口配置外网口:interface GigabitEthernet0/0nameif outside 定义接口名字security-level 0ip address 111.160.45.147 255.255.255.240 设定ipnoshut!配置内网口:interface GigabitEthernet0/1nameif insidesecurity-level 100ip address 20.0.0.2 255.255.255.252noshut二,配置安全策略access-list outside_acl extended permit icmp any any配置允许外网pingaccess-group outside_acl in interface outside 应用策略到outside口access-list inside_access_in extended permit ip any any配置允许内网访问外网access-group inside_access_in in interface inside应用到inside口三,设置路由route outside 0.0.0.0 0.0.0.0 111.160.45.145 1配置到出口的默认路由route inside 10.1.0.0 255.255.0.0 20.0.0.1 1 配置到内网的静态路由四,配置natobject network nat_net配置需要nat的内网网段subnet 0.0.0.0 0.0.0.0nat (inside,outside) source dynamic nat_net interface配置使用出接口ip做转换ip 五,配置远程管理配置telet管理:telnet 0.0.0.0 0.0.0.0 outsidetelnet 0.0.0.0 0.0.0.0 insidetelnet timeout 30配置ssh管理:crypto key generate rsa建立密钥并保存一次wrissh 0.0.0.0 0.0.0.0 outsidessh 0.0.0.0 0.0.0.0 insidessh timeout 30ssh version 1配置用户名密码:username admin password yfz4EIInjghXNlcu encrypted privilege 15。

Cisco ASA5500 配置手册

Cisco ASA5500 配置手册

Cisco ASA5500系列防火墙基本配置手册一、配置基础1.1用户接口思科防火墙支持下列用户配置方式:Console,Telnet,SSH(1.x或者2.0,2.0为7.x新特性),ASDM的http方式,VMS的Firewall Management Center。

支持进入Rom Monitor模式,权限分为用户模式和特权模式,支持Help,History和命令输出的搜索和过滤。

用户模式:Firewall> 为用户模式,输入enable进入特权模式Firewall#。

特权模式下输入config t 可以进入全局配置模式。

通过exit,ctrl-z退回上级模式。

配置特性:在原有命令前加no可以取消该命令。

Show running-config 或者 write terminal显示当前配置。

Show running-config all显示所有配置,包含缺省配置。

Tab可以用于命令补全,ctrl-l可以用于重新显示输入的命令(适用于还没有输入完命令被系统输出打乱的情况),help和history相同于IOS命令集。

Show命令支持 begin,include,exclude,grep 加正则表达式的方式对输出进行过滤和搜索。

Terminal width 命令用于修改终端屏幕显示宽度,缺省为80个字符,pager命令用于修改终端显示屏幕显示行数,缺省为24行。

1.2初始配置跟路由器一样可以使用setup进行对话式的基本配置。

二、配置连接性2.1配置接口接口基础:防火墙的接口都必须配置接口名称,接口IP地址和掩码和安全等级。

接口基本配置:Firewall(config)# interface hardware-id 进入接口模式Firewall(config-if)# speed {auto | 10 | 100 | nonegotiate} 设置接口速率Firewall(config-if)# duplex {auto | full | half} 接口工作模式Firewall(config-if)# [no] shutdown 激活或关闭接口Firewall(config-if)# nameif if_name 配置接口名称Firewall(config-if)# security-level level 定义接口的安全级别例:interface GigabitEthernet0/0nameif outsidesecurity-level 0ip address 125.78.33.22 255.255.255.248!interface GigabitEthernet0/1nameif insidesecurity-level 100ip address 192.168.18.254 255.255.255.0在配置中,接口被命名为外部接口(outside),安全级别是0;被命名为内部接口(inside),安全级别是100.安全级别取值范围为1~99,数字越大安全级别越高。

ciscoASA虚拟防火墙配置

ciscoASA虚拟防火墙配置

ciscoASA虚拟防火墙配置
cisco ASA虚拟防火墙配置
可以把物理的一个防火墙配置出多个虚拟的防火墙,每个防火墙称为context,这样一个防火墙就支持两种工作模式:single-context 和multiple-context,处于后者工作模式的防火墙被分为三个功能模块:system execution space(虽然没有context的功能,但是是所有的基础),administrative context(被用来管理物理的防火墙) 和user contexts(虚拟出来的防火墙,所有配置防火墙的命令都适用)配置:
首先使用show activation-key来验证是否有multiple-context 的许可,然后通过mode multiple和mode single命令在这两个模式之间进行切换,当然也可以用show mode来验证现在工作在什么模式下。

在不同context下进行切换使用Firewall# changeto {system | context name[/i]},
总结配置如下几条:
1、进入多模工作模式 mode multiple
2、创建主防火墙 admin_context___(命名)
3、进入主防火墙:admin_context
(1)、命名:context admin
4、添加端口allocate-interface (物理端口)
5、创建存储文件 config-url disk0 :// admin.cfg 文件名
6、要创建虚拟的防护墙 context 名称
其他步骤同上!
7、各个防火墙之间切换:changto context xxxx,各个防火墙之间独立工作。

彼此不影响!。

实验一 ASA的基本设置

实验一 ASA的基本设置

实验1:ASA的基本设置
1.实验目的:
1. 掌握手工对ASA防火墙进行初始配置的步骤和方法
2.实验要点:
1. 通过运行vmware中,利用超级终端软件对ASA防火墙进行手工初始配置。

3.实验设备:
1. vmware工具
2. 虚拟ASA防火墙一台
4.实验环境
5.实验步骤:
1启动vmware中的ASA1.4。

2启动piped。

3启动putty。

连接成功后显示如下界面
在这里面输入yes后然后回车。

接下来要配置日期时间,IP地址,子网掩码。

Host name处填写你自己的学号,比如你的学号为123456789001,就填写123456789001。

Domain name处随意填写即可
注意最下面的要输入yes后,单击回车键
当前进入的是用户模式
进入特权模式
进入全局配置模式
命令输入
练习35页2.3.1 命令输入的内容
最后修改防火墙的名称,命令为:
Ciscoasa(config)#hostname 123456789001(此处填写你自己的学号,比如你的学号为123456789001,就填写123456789001。

)如下图
将这个界面截图填入到实验报告中。

Cisco ASA硬件防火墙

Cisco ASA硬件防火墙

Cisco ASA硬件防火墙实验【实验目的】ASA防火墙的基本配置和高级的URL过滤等【实验拓扑】【实验步骤】一、Cisco ASA防火墙的基本配置:1、配置主机名、域名、密码EnableConf tHostname ASA5520 配置主机名为ASA5520Domaln-name 配置域名为Enable password ASA5520 配置特权密码Password cisco 配置远程登录密码2、配置接口Conf tInterface e0/0Nameif inside 配置接口的名字为insideSecurity-level 100 配置接口的安全级别为100Ip address 192.168.0.1 255.255.255.0 配置接口IP地址No shutdown 开启端口ExitInterface e0/1Nameif outside 配置接口的名字为outsideSecurity-level 0 配置接口的安全级别为0Ip address 202.140.11.2 255.255.255.0 配置接口IP地址No shutdown 开启端口ExitInterface e0/0Nameif DMZ 配置接口的名字为DMZSecurity-level 50 配置接口的安全级别为50Ip address 192.168.1.1 255.255.255.0 配置接口IP地址No shutdown 开启端口Exit3、配置路由Conf tRoute outside 0.0.0.0 0.0.0.0 202.140.11.1 配置缺省路由是任意到达出口的地址的下一条是202.140.11.1(因为防火墙有可能不是直接W AN所以要设置默认路由)4、配置远程管理接入配置telnet接入Conf ttelnet 192.168.0.0 255.255.255.0 inside 配置telnet管理接入地址为inside的192.168.0.0/24这个网段的地址telnet 192.168.0.3 255.255.255.255 inside 也可以配置只允许一台主机的接入telnet timeout 30 配置telnet超时为30分钟配置ssh接入Conf tCrypto key generate rsa modulus 1024 生成RSA密钥对Ssh 192.168.0.0 255.255.255.0 inside 配置ssh接入地址为inside的192.168.0.0/24这个网段的地址Ssh 0 0 outside 配置ssh接入地址为outside的任意网段的地址Ssh timeout 30 配置超时为30分钟Ssh version 2 配置版本号为2配置ASDM(自适应安全设备管理器)接入Conf tHttp server enable 65123 打开防火墙HTTPS服务功能http 0 0 outside 配置防火墙允许HTTPS接入的地址为任意asdm image disk0:/asdmfile 指定ASDM映像位置username zhangsan password zhangsan privilege 15 配置客户端登录使用的用户名和密码为zhangsan特权为最高的15级5、为出站流量配置网络地址转换Conf tNat control 启用NAT功能Nat (inside) 1 0 0 指定需要被转换的地址为全内网Global (outside) 1 interface 定义一个全局地址池Global (dmz) 1 192.168.1.100-192.168.1.110 定义一个到达dmz的地址池6、配置ACLConf tAccess-list test1 standard permit 192.168.0.0 255.255.255.0 配置允许192.168.0.0/24这个网段的地址Access-list test2 extended permit tcp any any eq www 配置允许任意的地址访问任意网站Access-group test1 in interface dmz 把test1应用到接口上7、过滤URL配置例子:IP地址范围在192.168.0.2-192.168.0.15中的主机只能访问,不能访问其它任何网站。

Cisco-ASA-5500防火墙个人基本配置手册-去水印

Cisco-ASA-5500防火墙个人基本配置手册-去水印

Cisco ASA 5500不同安全级别区域实现互访实验一、 网络拓扑二、 实验环境ASA防火墙eth0接口定义为outside区,Security-Level:0,接Router F0/0;ASA防火墙eth1接口定义为insdie区,Security-Level:100,接Switch的上联口;ASA防火墙Eth2接口定义为DMZ区,Security-Level:60,接Mail Server。

三、 实验目的实现inside区域能够访问outside,即Switch能够ping通Router的F0/0(202.100.10.2);dmz区能够访问outside,即Mail Server能够ping通Router的F0/0(202.100.10.2);outside能够访问insdie区的Web Server的http端口(80)和dmz区的Mail Server的pop3端口(110)、smtp端口(25).四、 详细配置步骤1、端口配置CiscoASA(config)# interface ethernet 0CiscoASA(config)#nameif ousideCiscoASA(config-if)# security-level 0CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0CiscoASA(config-if)# no shutCiscoASA(config)# interface ethernet 1CiscoASA(config)#nameif insideCiscoASA(config-if)# security-level 100CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0CiscoASA(config-if)# no shutCiscoASA(config)# interface ethernet 2CiscoASA(config)#nameif dmzCiscoASA(config-if)# security-level 50CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0CiscoASA(config-if)# no shut2、路由配置CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由3、定义高安全接口区域需要进行地址转换的IP范围CiscoASA(config)# nat (inside) 1 0 0CiscoASA(config)# nat (dmz) 1 0 04、定义低安全接口区域用于高安全接口区域进行IP转换的地址范围CiscoASA(config)# global (outside) 1 interfaceCiscoASA(config)# global (dmz) 1 interface5、定义静态IP映射(也称一对一映射)CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255#实现从outside区访问inside区10.1.1.1的80端口时,就直接访问10.1.1.1:80 对outside区的映射202.100.10.1:80CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255#实现从outside区访问dmz区172.16.1.2的110时,就直接访问172.16.1.2:110 对outside区的映射202.100.10.1:110CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255#实现从outside区访问dmz区172.16.1.2的25时,就直接访问172.16.1.2:25 对outside区的映射202.100.10.1:256、定义access-listCiscoASA(config)# access-list 101 extended permit ip any anyCiscoASA(config)# access-list 101 extended permit icmp any anyCiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq wwwCiscoASA(config)# access-list 102 extended permit icmp any anyCiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp7、在接口上应用access-listCiscoASA(config)# access-group 101 in interface outsideCiscoASA(config)#access-group 102 in interface insideCiscoASA(config)#access-group 103 in interface dmz五、 实验总结1、当流量从高权限区域流向低权限区域时1、只要路由配通了,无须配置nat/global,也无须配置access-list,就可以直接telnet低权限区域主机;2、只要路由配通了,同时配置了access-list,无须配置nat/global,就可以直接ping通低权限区域主机;3、只要路由配通了,同时配置了nat/global/access-list,此时telnet/ping均会执行地址转换2、当流量从低权限区域流向高权限区域时1、即使路由已经配通了,也不能成功访问;2、路由已经配通了,同时必须正确配置了static IP地址映射及access-list,才能成功访问;3、调通路由是基础,同时只跟static/access-list有关,而跟nat/global毫无关系。

ASA防火墙配置

ASA防火墙配置

ASA防火墙配置ASA防火墙初始配置1.模式介绍“>”用户模式firewall>enable 由用户模式进入到特权模式password:“#”特权模式firewall#config t 由特权模式进入全局配置模式“(config)#”全局配置模式防火墙的配置只要在全局模式下完成就可以了。

2.接口配置(以5510以及更高型号为例,5505接口是基于VLAN 的):interface Ethernet0/0nameif inside (接口的命名,必须!)security-level 100(接口的安全级别)ip address 10.0.0.10 255.255.255.0no shutinterface Ethernet0/1nameif outsidesecurity-level 0ip address 202.100.1.10 255.255.255.0no shut3.路由配置:默认路由:route outside 0 0 202.100.1.1 (0 0 为0.0.0.0 0.0.0.0)静态路由:route inside 192.168.1.0 255.255.255.0 10.0.0.15505接口配置:interface Ethernet0/0!interface Ethernet0/1switchport access vlan 2interface Vlan1nameif insidesecurity-level 100ip address 192.168.6.1 255.255.255.0!interface Vlan2nameif outsidesecurity-level 0ip address 202.100.1.10ASA防火墙NAT配置内网用户要上网,我们必须对其进行地址转换,将其转换为在公网上可以路由的注册地址,防火墙的nat和global是同时工作的,nat定义了我们要进行转换的地址,而global定义了要被转换为的地址,这些配置都要在全局配置模式下完成,Nat配置:firewall(config)# nat (inside) 1 0 0上面inside代表是要被转换得地址,1要和global 后面的号对应,类似于访问控制列表号,也是从上往下执行,0 0 代表全部匹配(第一个0代表地址,第二个0代表掩码),内部所有地址都回进行转换。

ASA防火墙怎么样配置

ASA防火墙怎么样配置

ASA防火墙怎么样配置想要配置好一个防火墙,就要有好的方法,那么ASA防火墙要怎么样配置呢?下面由店铺给你做出详细的介绍!希望对你有帮助!ASA防火墙配置方法一:Cisco ASA5550防火墙配置总结ASA防火墙配置一、网络拓扑|172.x.x.x|outside|========|=========|| |-----Internet 61.x.x.x|========|=========||inside|133.x.x.x防火墙分别配置三个端口,端口名称和IP地址分配如上。

Client 的IP Address Pool为100.100.100.0 255.255.255.0。

ASA防火墙配置二、配置过程1、建立动态mapcrypto ipsec transform-set myset esp-aes-256 esp-sha-hmac crypto dynamic-map dymap 1 set transform-set mysetcrypto dynamic-map dymap 1 set reverse-routecrypto map mymap 1 ipsec-isakmp dynamic dymapcrypto map mymap interface Internetcrypto isakmp enable Internetcrypto isakmp policy 10authentication pre-shareencryption 3deshash shagroup 2lifetime 86400crypto isakmp nat-traversal 202、建立tunnel groupASA防火墙配置方法二:interface Ethernet0/0nameif insidesecurity-level 100ip address 192.168.1.1 255.255.255.0 (内网防火墙接口IP)interface Ethernet0/1nameif outsidesecurity-level 0ip address 1.1.1.1 255.255.255.0(外网固定IP) global (outside) 1 interfacenat (inside) 1 192.168.8.0 255.255.255.0route outside 0.0.0.0 0.0.0.0 1.1.1.2 1(外网网关)ASA防火墙配置方法三:首先你需要定义下内网的流量access-list 100 permit ip 192.168.0.0 255.255.255.0 any 这个就是表示所有的192.168.0.0/16的网络定义natglobal ( outside ) 1 interfacenat ( inside ) 1 access-list 100另外还需要放行流量access-list acl permit ip any any ( 由于不清楚你的流量我就放行所有了)access-group acl in interface outsideaccess-group acl out interface outside。

CiscoASA防火墙详细图文配置实例

CiscoASA防火墙详细图文配置实例

..Cisco ASA 防火墙图文配置实例本文是基于ASA5540 和 ASA5520 的配置截图所做的一篇配置文档,从最初始的配置开始:1、连接防火墙登陆与其他的 Cisco 设备一样,用 Console 线连接到防火墙,初始特权密码为空。

2、配置部接口和 IP 地址进入到接口配置模式,配置接口的 IP 地址,并指定为 inside。

防火墙的地址配置好后,进行测试,确认可以和防火墙通讯。

3、用 dir 命令查看当前的 Image 文件版本。

4、更新 Image 文件。

准备好 TFTP 服务器和新的 Image 文件,开始更新。

5、更新 ASDM。

6、更新完成后,再用 dir 命令查看8、存盘,重启9、用 sh version 命令验证启动文件,可以发现当前的 Image 文件就是更新后的10、设置允许用图形界面来管理 ASA 防火墙表示部接口的任意地址都可以通过 http 的方式来管理防火墙。

11、打开浏览器,在地址栏输入防火墙部接口的 IP 地址选择“是”按钮。

12、出现安装 ASDM 的画面选择“Install ASDM Launcher and Run ASDM”按钮,开始安装过程。

13、安装完成后会在程序菜单中添加一个程序组14、运行 ASDM Launcher,出现登陆画面15、验证证书单击“是”按钮后,开始登陆过程16、登陆进去后,出现防火墙的配置画面,就可以在图形界面下完成 ASA 防火墙的配置17、选择工具栏的“Configuration”按钮18、选择“Interface”,对防火墙的接口进行配置,这里配置g0/3接口选择 g0/3 接口,并单击右边的“Edit”按钮19、配置接口的 IP 地址,并将该接口指定为 outside单击 OK 后,弹出“Security Level Change”对话框,单击 OK 20、编辑 g0/1 接口,并定义为 DMZ 区域21、接口配置完成后,要单击 apply 按钮,以应用刚才的改变,这一步一定不能忘22、设置静态路由单击 Routing->Static Route->Add23、设置 enable 密码24、允许 ssh 方式登录防火墙25、增加用户定义 ssh 用本地数据库验证26、用 ssh 登录测试登录成功27、建立动态 NAT 转换选择 Add Dynamic NAT RuleInterface 选择 inside,Source 处输入 any 单击 Manage 按钮单击 add,增加一个地址池Interface 选择 Outside,选择 PAT,单击 Add 按钮单击 OK完成了添加动态 NAT 转换28、静态 NAT 转换由于笔者 2009 年离开了原单位,有些配置的截图没有做,新单位又没有 ASA 防火墙,只好参考《ASA8.0/ASDM6.0 测试报告》的截图和文档来完成本文,并将该文档中部分常用的配置联接在本文后,对该文的作者表示感。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

一、基本配置#hostname name //名字的设置#interface gigabitethernet0/0 //进入接口0/0#nameif outside //配置接口名为outside#security-level 0 //设置安全级别。

级别从0--100,级别越高安全级别越高#ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址#no shutdown#interface ethernet0/1 //进入接口0/1#nameif inside //配置接口名为inside#security-level 100 //设置安全级别。

级别从0--100,级别越高安全级别越高#ip address 192.168.10.1 255.255.255.0 //设置ip地址#duplex full //全双工#speed 100 //速率#no shutdown#interface ethernet0/2 //进入接口0/2#nameif dmz //配置接口名为dmz#security-level 50 //设置安全级别。

级别从0--100,级别越高安全级别越高#ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址#no shutdown#interface Management0/0 //进入管理接口# nameif guanli //接口名# security-level 100 //安全级别#ip address 192.168.1.1 255.255.255.0 //IP地址注意:security-level 配置安全级别。

默认外网接口为0/0 安全级别默认为0内网接口为0/1 安全级别默认为100dmz 接口为0/2 安全级别默认为50默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令:#same-security-traffic permit interface //允许相同安全级别接口之间互相通信。

较高安全接口访问较低安全接口:允许所有基于IP的数据流通过,除非有ACL访问控制列表,认证或授权的限制。

较低安全接口访问较高安全接口:除非有conduit或acl进行明确的许可,否则丢弃所有的数据包。

二、global、nat、static、route命令1、global命令global (if_name) nat_id ipaddress--ipaddress [netmask mask]if_name:指的是接口nat_id:为地址池的ID标识号ipaddress--ipaddress [netmask mask]:指定的IP地址池范围,也可以是一个地址例:global(outside) 1 218.106.236.247-218.106.236.249 //配置一个地址池global(outside) 1 interface //配置单个地址为outside接口的地址global(outside) 1 218.106.236.237 netmask 255.255.255.248 //配置一个地址池,为255.255.255.248所有子网范围内的地址2、nat命令(1)基本用法nat (if_name) nat_id local_ip [netmask]if_name:指的是接口nat_id:为地址池的ID标识号,即global中定义的nat_idlocal_ip [netmask] :哪些地址转换到nat_id这个地址池上。

(2)动态内部nat转换(多对多)例:global(outside) 1 218.106.236.247-218.106.236.249 //配置一个地址池nat (inside) 1 192.168.9.0 255.255.255.0 //和上面的global配置一起使用,即把192.168.9.0 这个网段的地址转换为218.106.236.247-218.106.236.249这个网段(3) pat (多对一nat)当多个ip地址转换为一个ip地址时,就自动在外部IP地址的后面加上大于1024的端口号,以区别不同的转换访问。

global(outside) 1 218.106.236.247 //配置一个外部地址nat (inside) 1 192.168.9.0 255.255.255.0 //和上面的global配置一起使用,即把192.168.9.0 这个网段的地址转换为218.106.236.247这个外部IP地址。

外部人看到的是自动加了端口号的地址。

(4)策略nataccess-list extended net1 permit ip 192.168.9.0 255.255.255.0 host 209.165.200.1 //定义一个策略global(outside) 1 209.165.200.100 //定义一个地址nat (inside) 1 access-list net1 //当192.168.9.0 网段的地址访问209.165.200.1这台电脑时,转换为209.165.200.100这个ip地址。

(5)动态外部nat转换当低级别的想往高级别的转换时,在后面加outside关键字即可。

nat (dmz) 1 192.168.7.0 255.255.255.0 outside //把dmz接口下的地址nat 到inside接口中global(inside) 1 192.168.9.10-192.168.9.20 //即dmz接口中的192.168.7.0 网段的地址访问内网时,将转换为内网地址为192.168.9.10-192.168.9.20(6)nat 0 即nat 免除nat 0 表示穿过防火墙而不进行nat转换。

即表示地址不经过转换直接作为源地址发送穿过防火墙达到低级别安全接口。

nat (dmz) 0 192.168.0.9 255.255.255.255注意:执行nat的顺序:nat 0 (nat免除)静态nat和静态pat (即static命令)策略动态nat (nat access-list)正常的动态nat和pat (nat)3、static映射命令充许一个位于低安全级别接口的流量,穿过防火墙达到一个较高级别的接口。

即数据流从较低安全级别接口到较高安全级别。

(1)常用方法:static (real_ifname mapped_ifname) {mapped_ip|interface} real_ip [netmask mask]real_ifname :较高级别接口名mapped_ifname:较低级别接口名mapped_ip:较低级别接口ip地址interface:较低级别接口real_ip:较高级别ip地址扩号内的顺序是:先高级别后低级别,扩号外的顺序是先低级别后高级别,正好相反。

例:static (inside outside) 218.107.233.234 192.167.9.1 //即把218.107.233.234这个外部地址映射到内部地址192.168.9.1上。

(2)静态端口映射static (real_ifname mapped_ifname) {tcp | udp} {mapped_ip|interface} mapped_port real_ip real_port [netmask mask]real_ifname :较高级别接口名mapped_ifname:较低级别接口名tcp|udp :要映射的端口协议名mapped_ip:较低级别接口ip地址interface:较低级别接口mapped_port:端口名或端口号real_ip:较高级别ip地址real_port:端口名或端口号注意一点很重要:并不是配置了static就可以从外部访问内部了,必须要定义一个访问控制列表来实现一个通道,允许哪些服务或端口,或哪些地址可以访问。

例:static (inside,outside) tcp interface ftp 192.168.10.4 ftp netmask 255.255.255.255 //把outside接口ip地址的ftp端口映射到192.168.10.4 内部IP的FTP端口。

access-list ftp extended permit tcp any interface outside eq ftp //定议一个访问控制列表,以允许ftp数据流通过。

access-group ftp in interface outside //把访问控制列表应用于接口4、route 命令route if_name destination_ip gateway [metric]if_name: 接口名destination_ip: 目的地gateway: 网关metric: 跳数例:route outside 0 0 218.102.33.247 1 //即默认网关为218.102.33.247 ,只有一跳route inside 192.168.9.0 255.255.255.0 192.168.10.1 //设置到目标192.168.9.0网段的网关为192.168.10.1三、访问控制访问控制的方法与路由器的没有区别。

基本步骤是先定义访问控制列表,然后再应用到接口即可。

在此不多作解释,在路由器模块里,会单独把访问列表作解释。

四、防火墙基本管理1、telnet 配置#usename name password password //设置登入的帐号和密码#aaa authentication telnet console LOCAL //设置AAA验证方式。

此处为LOCAL本地。

也可以用AAA服务器进入验证。

#telnet 0.0.0.0 0.0.0.0 inside //哪些地址可telnet进此接口#telnet timeout 10 //超时时长,以分钟为单位2、ssh登录配置#usename name password password //设置登入的帐号和密码#aaa authentication ssh console LOCAL //设置AAA验证方式。

此处为LOCAL本地。

也可以用其他服务器进入验证。

#ssh timeout 10#crypto key generate rsa modulus 1024 //指定rsa密钥的大小,这个值越大,产生rsa的时间越长,cisco推荐使用1024.# write mem //保存刚才产生的密钥#ciscoasa(config)#ssh 0.0.0.0 0.0.0.0 {inside|outside} //允许哪些IP可以通过SSH登录此防火墙。

相关文档
最新文档