ASA防火墙基本配置

一、基本配置

#hostname name //名字的设置

#interface gigabitethernet0/0 //进入接口0/0

#nameif outside //配置接口名为outside

#security-level 0 //设置安全级别。级别从0--100，级别越高安全级别越高

#ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址

#no shutdown

#interface ethernet0/1 //进入接口0/1

#nameif inside //配置接口名为inside

#security-level 100 //设置安全级别。级别从0--100，级别越高安全级别越高

#ip address 192.168.10.1 255.255.255.0 //设置ip地址

#duplex full //全双工

#speed 100 //速率

#no shutdown

#interface ethernet0/2 //进入接口0/2

#nameif dmz //配置接口名为dmz

#security-level 50 //设置安全级别。级别从0--100，级别越高安全级别越高

#ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址

#no shutdown

#interface Management0/0 //进入管理接口

# nameif guanli //接口名

# security-level 100 //安全级别

#ip address 192.168.1.1 255.255.255.0 //IP地址

注意：security-level 配置安全级别。默认外网接口为0/0 安全级别默认为0

内网接口为0/1 安全级别默认为100

dmz 接口为0/2 安全级别默认为50

默认情况下，相同安全级别接口之间不允许通信，可以使用以下命令：

#same-security-traffic permit interface //允许相同安全级别接口之间互相通信。

较高安全接口访问较低安全接口：允许所有基于IP的数据流通过，除非有ACL访问控制列表，认证或授权的限制。

较低安全接口访问较高安全接口：除非有conduit或acl进行明确的许可，否则丢弃所有的数据包。

二、global、nat、static、route命令

1、global命令

global (if_name) nat_id ipaddress--ipaddress [netmask mask]

if_name:指的是接口

nat_id:为地址池的ID标识号

ipaddress--ipaddress [netmask mask]：指定的IP地址池范围，也可以是一个地址

例：

global(outside) 1 218.106.236.247-218.106.236.249 //配置一个地址池

global(outside) 1 interface //配置单个地址为outside接口的地址

global(outside) 1 218.106.236.237 netmask 255.255.255.248 //配置一个地址池，为255.255.255.248所有子网范围内的地址

2、nat命令

（1）基本用法

nat (if_name) nat_id local_ip [netmask]

if_name:指的是接口

nat_id:为地址池的ID标识号，即global中定义的nat_id

local_ip [netmask] :哪些地址转换到nat_id这个地址池上。

(2)动态内部nat转换（多对多）

例：

global(outside) 1 218.106.236.247-218.106.236.249 //配置一个地址池

nat (inside) 1 192.168.9.0 255.255.255.0 //和上面的global配置一起使用，即把192.168.9.0 这个网段的地址转换为218.106.236.247-218.106.236.249这个网段

(3) pat (多对一nat)

当多个ip地址转换为一个ip地址时，就自动在外部IP地址的后面加上大于1024的端口号，以区别不同的转换访问。

global(outside) 1 218.106.236.247 //配置一个外部地址

nat (inside) 1 192.168.9.0 255.255.255.0 //和上面的global配置一起使用，即把192.168.9.0 这个网段的地址转换为218.106.236.247这个外部IP地址。外部人看到的是自动加了端口号的地址。

(4)策略nat

access-list extended net1 permit ip 192.168.9.0 255.255.255.0 host 209.165.200.1 //定义一个策略

global(outside) 1 209.165.200.100 //定义一个地址

nat (inside) 1 access-list net1 //当192.168.9.0 网段的地址访问209.165.200.1这台电脑时，转换为209.165.200.100这个ip地址。

(5)动态外部nat转换

当低级别的想往高级别的转换时，在后面加outside关键字即可。

nat (dmz) 1 192.168.7.0 255.255.255.0 outside //把dmz接口下的地址nat 到inside接口中global(inside) 1 192.168.9.10-192.168.9.20 //即dmz接口中的192.168.7.0 网段的地址访问内网时，将转换为内网地址为192.168.9.10-192.168.9.20

(6)nat 0 即nat 免除

nat 0 表示穿过防火墙而不进行nat转换。即表示地址不经过转换直接作为源地址发送穿过防火墙达到低级别安全接口。

nat (dmz) 0 192.168.0.9 255.255.255.255

注意：执行nat的顺序：

nat 0 (nat免除）

静态nat和静态pat (即static命令）

策略动态nat (nat access-list)

正常的动态nat和pat (nat)

3、static映射命令

充许一个位于低安全级别接口的流量，穿过防火墙达到一个较高级别的接口。即数据流从较低安全级别接口到较高安全级别。

(1)常用方法：

static (real_ifname mapped_ifname) {mapped_ip|interface} real_ip [netmask mask]

real_ifname :较高级别接口名mapped_ifname:较低级别接口名