CISCO ASA5520配置手册
Cisco ASA5520防火墙配置
ip address ip_address [netmask]
ip address ip_address dhcp
打开端口: no shutdown
配置安全级别
security-level [0-100]
数据从安全级别高的流向底的,不能倒流
倒流需要保安允许
所以外网一般配置为0,内网为100
配置别名
连接命令:telnet 192.168.1.1
ASA5520默认不允许外网telnet,开启比较麻烦
ASDM连接
图形界面配置方式
SSH连接
工作模式
普通模式
连接上去后模式
进入普通模式需要有普通模式密码
Enable进入特权模式,需要特权密码
特权模式
Config terminal进入配置模式
配置模式
模式转换
Policy pat : static (real_interface,mapped_interface) {tcp | udp} {mapped_ip |interface} mapped_port access-list acl_name
举例
hostname(config)# access-list NET1 permit ip 10.1.2.0 255.255.255.0 209.165.201.0
动态分配给内网一个独立的IP
PAT
PAT使用1个地址+65535个端口为内网提供地址转换
地址池中只有一个值时,就是PAT
分配给内网连接一个固定IP和一个动态的端口
Static NAT
Static NAT
允许外网先发起连接
是一个外网IP固定一个内网IP
可以称为IP映射
ASA5520防火墙双机配置
ASA5520防火墙的安装配置说明一、通过超级终端连接防火墙。
先将防火墙固定在机架上,接好电源;用随机带来的一根蓝色的线缆将防火墙与笔记本连接起来。
注意:该线缆是扁平的,一端是RJ-45接口,要接在防火墙的console端口;另一端是串口,要接到笔记本的串口上.建立新连接,给连接起个名字。
选择COM口,具体COM1还是COM3应该根据自己接的COM来选择,一般接COM1就可以。
选择9600,回车就可以连接到命令输入行。
二、防火墙提供4种管理访问模式:1.非特权模式。
防火墙开机自检后,就是处于这种模式。
系统显示为firewall> 2.特权模式。
输入enable进入特权模式,可以改变当前配置。
显示为firewall# 3.配置模式。
在特权模式下输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。
显示为firewall(config)#4.监视模式。
PIX防火墙在开机或重启过程中,按住Escape键或发送一个“Break”字符,进入监视模式。
这里可以更新操作系统映象和口令恢复。
显示为monitor>三、基本配置步骤在PC机上用串口通过cisco产品控制线连接防火墙的Console口(9600-N-8-1),使用超级终端连接。
在提示符的后面有一个大于号“>”,你处在asa用户模式。
使用en或者enable命令修改权限模式。
asafirewall> en //输入en 或 enable 回车Password: //若没有密码则直接回车即可asafirewall# //此时便拥有了管理员模式,此模式下可以显示内容但不能配置,若要配置必须进入到通用模式asafirewall# config t // 进入到通用模式的命令asafirewall(config)# hostname sjzpix1 //设置防火墙的名称Sjzpix1(config)# password zxm10 //设置登陆口令为zxm10Sjzpix1(config)# enable password zxm10 //设置启动模式口令,用于获得管理员模式访问1.配置各个网卡Sjzpix1(config)# interface GigabitEthernet0/0 //配置防火墙的E0 端口Sjzpix1(config-if)# security-level 0 //设置成最低级别Sjzpix1(config-if)# nameif outside //设置E0 端口为外部端口Sjzpix1(config-if)# speed auto //设置成自动设置网口速率Sjzpix1(config-if)# ip address 10.0.1.50 255.255.255.0 standby 10.0.1.51// 10.0.1.50 为该防火墙分配的公网IP,255.255.255.0为该防火墙公网IP对应的掩码,若该防火墙没有主备用方式则配置命令中的红色字体部分不需要配置。
防火墙asa5520思科3560G和2918配置实例
客户需求说明:外网进来一个专线和8个IP地址,114.113.159.246—253,子网掩码255.255.255.192,对外网关114.113.159.254。
由于客户还没有搬进办公区,所以VLAN划分以及策略上的一些设置需要全部搬过来之后才能确定,目前的需求是,所有的点,大约150个左右,都能上网即可,具体策略等全部搬过来之后再定。
设备配置:ASA配置(管理地址192.168.0.1):ciscoasa# sh run: Saved:ASA Version 7.0(8)!hostname ciscoasaenable password 8Ry2YjIyt7RRXU24 encryptedpasswd 2KFQnbNIdI.2KYOU encryptednamesdns-guard!interface GigabitEthernet0/0 外网接口nameif outside 接口名security-level 0 安全级别ip address 114.113.159.247 255.255.255.192 ip地址!interface GigabitEthernet0/1 内网接口nameif inside 接口名security-level 100 安全级别ip address 192.168.0.1 255.255.255.0 ip地址!interface GigabitEthernet0/2shutdownno nameifno security-levelno ip address!interface GigabitEthernet0/3shutdownno nameifno security-levelno ip address!interface Management0/0shutdownno nameifno security-levelno ip address!ftp mode passiveaccess-list Per_inside extended permit icmp any any列表名扩展的允许icmp包来自内网任何机器access-list Per_inside extended permit ip any anyip包access-list Per_outside extended permit icmp any anyicmp保来自外网任意地址pager lines 24mtu outside 1500mtu inside 1500no failoverno asdm history enablearp timeout 14400global (outside) 8 interface nat外网接口nat (inside) 8 192.168.0.0 255.255.255.0 nat内网地址access-group Per_outside in interface outside 将列表挂在接口上access-group Per_inside in interface insideroute outside 0.0.0.0 0.0.0.0 114.113.159.254 1 静态路由到出接口下一跳timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00timeout uauth 0:05:00 absoluteno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800crypto ipsec security-association lifetime kilobytes 4608000telnet timeout 5ssh timeout 5console timeout 0!class-map inspection_defaultmatch default-inspection-traffic!!policy-map global_policyclass inspection_defaultinspect dns maximum-length 512inspect ftpinspect h323 h225inspect h323 rasinspect netbiosinspect rshinspect rtspinspect skinnyinspect esmtpinspect sqlnetinspect sunrpcinspect tftpinspect sipinspect xdmcp!service-policy global_policy globalCryptochecksum:d41d8cd98f00b204e9800998ecf8427e: end3560G配置(管理地址192.168.0.2):3560G#sh runBuilding configuration...Current configuration : 2883 bytes!version 12.2no service padservice timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname 3560G!enable password cisco!no aaa new-modelsystem mtu routing 1500ip subnet-zero!!!!no file verify autospanning-tree mode pvstspanning-tree extend system-id!vlan internal allocation policy ascending!interface GigabitEthernet0/1 进入接口switchport trunk encapsulation dot1q 封装trunk switchport mode trunk trunk模式!interface GigabitEthernet0/2switchport trunk encapsulation dot1qswitchport mode trunk!interface GigabitEthernet0/3switchport trunk encapsulation dot1qswitchport mode trunk!interface GigabitEthernet0/4switchport trunk encapsulation dot1qswitchport mode trunk!interface GigabitEthernet0/5switchport trunk encapsulation dot1qswitchport mode trunk!interface GigabitEthernet0/6switchport trunk encapsulation dot1qswitchport mode trunkinterface GigabitEthernet0/7 switchport trunk encapsulation dot1q switchport mode trunk!interface GigabitEthernet0/8 switchport trunk encapsulation dot1q switchport mode trunk!interface GigabitEthernet0/9 switchport trunk encapsulation dot1q switchport mode trunk!interface GigabitEthernet0/10 switchport trunk encapsulation dot1q switchport mode trunk!interface GigabitEthernet0/11 switchport trunk encapsulation dot1q switchport mode trunk!interface GigabitEthernet0/12 switchport trunk encapsulation dot1q switchport mode trunk!interface GigabitEthernet0/13 switchport trunk encapsulation dot1q switchport mode trunk!interface GigabitEthernet0/14 switchport trunk encapsulation dot1q switchport mode trunk!interface GigabitEthernet0/15 switchport trunk encapsulation dot1q switchport mode trunk!interface GigabitEthernet0/16 switchport trunk encapsulation dot1q switchport mode trunk!interface GigabitEthernet0/17 switchport trunk encapsulation dot1q switchport mode trunkinterface GigabitEthernet0/18 switchport trunk encapsulation dot1q switchport mode trunk!interface GigabitEthernet0/19 switchport trunk encapsulation dot1q switchport mode trunk!interface GigabitEthernet0/20 switchport trunk encapsulation dot1q switchport mode trunk!interface GigabitEthernet0/21 switchport trunk encapsulation dot1q switchport mode trunk!interface GigabitEthernet0/22 switchport trunk encapsulation dot1q switchport mode trunk!interface GigabitEthernet0/23 switchport trunk encapsulation dot1q switchport mode trunk!interface GigabitEthernet0/24 switchport trunk encapsulation dot1q switchport mode trunk!interface GigabitEthernet0/25!interface GigabitEthernet0/26!interface GigabitEthernet0/27!interface GigabitEthernet0/28!interface Vlan1ip address 192.168.0.2 255.255.255.0 !ip classlessip http server!!control-plane!!line con 0line vty 0 4password ciscologinline vty 5 15login!End2918配置(管理地址192.168.0.3-9,13):2918-1#sh runBuilding configuration...Current configuration : 1322 bytes!version 12.2no service padservice timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname 2918-1 设备名:2918-1/8 !boot-start-markerboot-end-marker!enable password cisco!no aaa new-modelsystem mtu routing 1500ip subnet-zero!!!!!!spanning-tree mode pvstspanning-tree extend system-id!vlan internal allocation policy ascending!!interface FastEthernet0/1 !interface FastEthernet0/2 !interface FastEthernet0/3 !interface FastEthernet0/4 !interface FastEthernet0/5 !interface FastEthernet0/6 !interface FastEthernet0/7 !interface FastEthernet0/8 !interface FastEthernet0/9 !interface FastEthernet0/10 !interface FastEthernet0/11 !interface FastEthernet0/12 !interface FastEthernet0/13 !interface FastEthernet0/14 !interface FastEthernet0/15 !interface FastEthernet0/16 !interface FastEthernet0/17 !interface FastEthernet0/18 !interface FastEthernet0/19 !interface FastEthernet0/20 !interface FastEthernet0/21 !interface FastEthernet0/22!interface FastEthernet0/23!interface FastEthernet0/24!interface GigabitEthernet0/1!interface GigabitEthernet0/2!interface Vlan1ip address 192.168.0.3 255.255.255.0no ip route-cache!ip http server!control-plane!!line con 0line vty 0 4password ciscologinline vty 5 15login!end施工总结:在项目实施过程中遇到一些问题,譬如在ASA上做配置的时候,将原来成功的配置贴上去之后进行测试,发现不起作用,后来用2918交换机模拟PC却没有问题。
防火配置墙维护手册ASA5520和FWSM
第一章防火墙技术点 (3)1.1功能介绍 (3)1.2防火墙端口 (3)1.2.1 Inside (4)1.2.2 Outside (4)1.2.3 Demilitarized Zone (5)1.3ACL(A CCESS LIST) (5)1.3.1 ACL的基本原理、功能与局限性 (5)1.3.2 三种主要的访问列表: (6)1.3.2.1 标准访问列表 (6)1.3.2.2 扩展访问列表 (7)1.3.2.3 命名访问列表 (10)1.3.3 ACL要点 (10)1.3.4 ACL配置显示 (11)1.4NAT(N ETWORK A DDRESS T RANSLA TION) (11)1.4.1 NAT介绍 (11)1.4.2 NAT术语 (12)1.4.3 NAT的种类 (13)1.4.3.1 Static NA T(静态地址转换) (14)1.4.3.2 Dynamic NAT(动态地址转换) (17)1.4.3.3 PA T(端口地址转换) (18)1.5路由(ROUTE) (20)1.5.1 路由原理 (20)1.5.2 路由协议 (21)1.5.3 静态路由 (22)1.6FAILOVER (23)1.6.1 FAILOVER介绍 (23)1.6.2 The Failover and Stateful Failover Links (24)1.6.3 Active/Active and Active/Standby Failover (25)1.6.4 Inter-Chassis Failover (26)1.7应用安全(A PPLICA TION L AYER P ROTOCOL I NSPECTION) (27)1.7.1 Stateful Inspection介绍 (27)1.7.2 Application Protocol Inspection的应用 (29)1.7.3 默认配置 (29)第二章防火墙体系结构 (31)2.1FWSM结构 (31)2.2ASA5520结构 (32)第三章网络拓扑结构 (33)3.1FWSM网络结构 (33)3.2ASA5520网络结构 (34)第四章防火墙配置说明 (35)4.1FWSM基本配置 (35)4.1.1 交换机配置 (35)4.1.2 FWSM配置 (35)4.1.3 Context配置(例) (37)4.2ASA5520配置(例) (39)第五章FWSM管理维护 (44)5.1软件管理 (44)5.1.1 快速软件升级 (45)5.1.2 登陆应用分区 (46)5.1.3 登陆维护分区 (46)5.2改变和恢复口令 (46)5.2.1 改变应用分区口令 (46)5.2.2 恢复应用分区口令 (46)第一章防火墙技术点本项目防火墙包括了ASA5520和FWSM,项目中所用到的主要技术点现统计如下:1.1 功能介绍Firewalls protect inside networks from unauthorized access by users on an outside network。
ASA5520的双机A-A方式配置
拓朴图如下,现有点不明白怎么样将防火墙的接口怎样分配IP ,两个context中的路由指向同一个IP 网关,
原来防火墙的OUTSIDE :10。180。48。253 INS做成两个context a.contextb 两个接口的IP 该怎样做?????
ASA5520/test1(config-if)# ip address 192.168.10.1 255.255.255.0 standby
192.168.10.2
ASA5520(config)# failover //全局模式下面开始failover
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------在第二台ASA5520设备上配置
failover
剩下的ASA会自动同步它的配置
两个5520实现双A,非常好的方案啊,而且这个配置绝对可行,前几天刚刚做过实验了,我觉得八楼的兄弟把中文解释都写出来了,
值得借鉴啊,等有空的时候,我也把做双A的完整配置写出来的
用透明模式完成比较好
在65上起两个VLAN
能給一份完整的配置嗎。特別是兩臺FIREWALL都在透明模式下的,如何做A/A,謝謝!!
ASA5520(config-fover-group)# preempt //配置抢占参数
ASA5520(config-fover-group)# replication http
ASA5520双机配置案例(带状态state link的双机配置AA模式 带状态的多个state link接口)
hostname asa-1enable password cisco!interface GigabitEthernet0/0nameif insidesecurity-level 100ip address 192.200.31.249 255.255.255.192 standby 192.200.31.248!interface GigabitEthernet0/1description LAN Failover Interface(做failover link的接口不需要做地址配置)!interface GigabitEthernet0/2description STATE Failover Interface!interface GigabitEthernet0/3nameif outsidesecurity-level 100ip address 192.200.31.4 255.255.255.224 standby 192.200.31.5!interface Management0/0shutdownnameif managementsecurity-level 100ip address 10.168.1.1 255.255.255.0management-only!same-security-traffic permit inter-interface!failoverfailover lan unit primaryfailover lan interface faillink(自己起的failover名字)GigabitEthernet0/1(心跳线接口)failover polltime unit 1 holdtime 3failover link statelink GigabitEthernet0/2failover interface ip faillink 10.168.100.1 255.255.255.0 standby 10.168.100.2 failover interface ip statelink 10.168.101.1 255.255.255.0 standby 10.168.101.2 monitor-interface outsidemonitor-interface insideicmp permit any insideicmp permit any outsideroute inside 192.200.31.32 255.255.255.224 192.200.31.250 1route inside 192.200.31.64 255.255.255.192 192.200.31.250 1route inside 192.200.31.128 255.255.255.192 192.200.31.250 1route inside 192.200.31.192 255.255.255.192 192.200.31.250 1route outside 0.0.0.0 0.0.0.0 192.200.31.1 1telnet 0.0.0.0 0.0.0.0 insidetelnet 0.0.0.0 0.0.0.0 outside!hostname asa-2enable password 2KFQnbNIdI.2KYOU encryptedpasswd 2KFQnbNIdI.2KYOU encryptednamesno dns-guard!interface Ethernet0/0nameif insidesecurity-level 100ip address 192.200.31.249 255.255.255.192 standby 192.200.31.248 !interface Ethernet0/1description LAN Failover Interface!interface Ethernet0/2description STATE Failover Interfaceshutdown!interface Ethernet0/3nameif outsidesecurity-level 100ip address 192.200.31.4 255.255.255.224 standby 192.200.31.5!interface Management0/0nameif managementsecurity-level 100ip address 10.168.1.1 255.255.255.0management-only!no ftp mode passiveclock timezone CST 8same-security-traffic permit inter-interfacepager lines 24logging asdm informationalmtu inside 1500mtu outside 1500mtu management 1500failoverfailover lan unit primaryfailover lan interface faillink Ethernet0/1failover polltime unit 1 holdtime 3failover link statelink Ethernet0/2failover interface ip faillink 10.168.100.1 255.255.255.0 standby 10.168.100.2 failover interface ip statelink 10.168.101.1 255.255.255.0 standby 10.168.101.2 icmp permit any insideicmp permit any outsideno asdm history enablearp timeout 14400route inside 192.200.31.128 255.255.255.192 192.200.31.250 1route inside 192.200.31.64 255.255.255.192 192.200.31.250 1route inside 192.200.31.32 255.255.255.224 192.200.31.250 1route outside 0.0.0.0 0.0.0.0 192.200.31.1 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00timeout uauth 0:05:00 absolutehttp server enableno snmp-server locationno snmp-server contactcrypto ipsec security-association lifetime seconds 28800crypto ipsec security-association lifetime kilobytes 4608000telnet 0.0.0.0 0.0.0.0 insidetelnet 0.0.0.0 0.0.0.0 outsidetelnet timeout 5ssh timeout 5console timeout 0dhcpd ping_timeout 50!<--- More --->class-map inspection_defaultmatch default-inspection-traffic!!policy-map global_policyclass inspection_defaultinspect dns maximum-length 512inspect ftpinspect h323 h225inspect h323 rasinspect rshinspect rtspinspect esmtpinspect sqlnetinspect skinnyinspect sunrpcinspect xdmcpinspect sipinspect netbiosinspect tftp!Cryptochecksum:a0b294ccce697e561e4e0fcf9e1cae91 : endasa-2#### END LOG - DATE: 090313, TIME: 024509 ###。
ciscoasa5520的基本配置
cisco asa5520的基本配置cisco思科是全球领先的大品牌,相信很多人也不陌生,那么你知道cisco asa5520的基本配置吗?下面是店铺整理的一些关于cisco asa5520的基本配置的相关资料,供你参考。
cisco asa5520的基本配置:1、配置接口:interface、名字:nameif、IP address、security-levelnameif 是我们为这个接口指定的具体名字。
security-level表示这个接口的安全等级。
一般情况下,可以把企业内部接口的安全等级可以设置的高一点,而企业外部接口的安全等级则可以设置的低一点。
如此的话,根据防火墙的访问规则,安全级别高的接口可以防卫安全级别低的接口。
也就是说,不需要经过特殊的设置,企业内部网络就可以访问企业外部网络。
而如果外部网络访问内部网络,由于是安全级别低的接口访问安全级别高的接口,则必须要要进行一些特殊的设置,如需要访问控制列表的支持;这里是配置外网的接口,名字是outside,安全级别0,IP地址我隐藏了。
输入ISP给您提供的地址就行了。
interface GigabitEthernet0/0nameif outsidesecurity-level 0ip address *.*.*.* 255.255.255.0;这里是配置内网的接口interface GigabitEthernet0/1nameif insidesecurity-level 100ip address 172.19.12.2 255.255.255.0!2、网络部分设置global (outside) 1 interface /*所有IP访问外网全部转换成该端口的IP出去,即PATnat (inside) 1 0.0.0.0 0.0.0.0 /*表示转换网段中的所有地址。
定义内部网络地址将要翻译成的全局地址或地址范围route outside 0.0.0.0 0.0.0.0 *.*.*.* 1 /*设置外网路由的网关,最后的1是路由的跳数route inside 172.19.74.0 255.255.254.0 172.19.12.1 1 /*设定路由回指到内部的子网route inside 172.19.76.0 255.255.252.0 172.19.12.1 13、 !开启asdmhttp server enablehttp 0.0.0.0 0.0.0.0 inside!允许内网用户使用telnet连接防火墙telnet 0.0.0.0 0.0.0.0 insidetelnet timeout 5!允许内网用户使用ssh连接防火墙ssh 0.0.0.0 0.0.0.0 insidessh timeout 5。
asg5520 使用手册
ASG5520使用手册一、产品概述ASG5520是一款高性能的网络安全设备,具有防火墙、入侵检测、内容过滤等功能,适用于企业和家庭用户的网络安全防护。
本设备采用最新的网络安全技术,提供全面的安全防护,并可灵活配置以满足不同用户的需求。
二、设备安装1.将ASG5520设备放置在适当的位置,确保设备周围有足够的空间以便散热。
2.连接电源线并将其插入电源插座,确保设备正常供电。
3.连接网线并将其插入网络接口,确保设备能够正常访问网络。
4.打开设备的电源开关,等待设备启动完成。
三、系统配置1.通过浏览器访问设备的IP地址,进入设备的Web界面。
2.在登录界面输入用户名和密码,进入设备的配置页面。
3.根据需求配置设备的网络接口、安全策略等基本参数。
4.根据实际需求,可以进一步配置设备的高级功能,如入侵检测、内容过滤等。
四、网络配置1.在网络配置页面,可以配置设备的IP地址、子网掩码等网络参数。
2.可以配置设备的默认网关和DNS服务器地址。
3.可以配置设备的网络接口,包括接口类型、接口参数等。
4.可以配置设备的路由表,以实现不同网络之间的通信。
五、安全管理1.在安全管理页面,可以配置设备的安全策略,包括访问控制、防火墙规则等。
2.可以配置设备的身份认证和访问控制,以确保设备的安全性。
3.可以配置设备的安全日志,以便对安全事件进行记录和分析。
4.可以定期更新设备的病毒库和安全补丁,以确保设备的安全性。
六、故障排除1.检查设备的电源和网线是否正常连接。
2.检查设备的网络接口是否正常工作。
3.检查设备的配置是否正确。
4.如果以上步骤无法解决问题,可以尝试重启设备,看是否能够解决问题。
如果问题仍然存在,建议联系技术支持人员进行进一步排查和解决。
七、高级设置1、可以配置设备的定时任务,以便自动执行一些计划任务。
2、可以配置设备的SNMP参数,以便通过SNMP协议进行管理。
3、可以配置设备的流量控制参数,以便对设备的数据流量进行管理。
ASA5520配置
一般网络机构来理解asa5520外网-----asa5520----分别是内网和dmzasa配置都在全局模式下配置,很多跟cisco路由交换的一样(大同小异)第一次连接防火墙时有个初始化配置主要有配置密码,时间,内部ip,和管理ip1、配置主机名、域名、和密码主机名:ciscoasa5520(config)#hostname 5520域名:5520(config)#domain—name 密码:5520(config)#enable password asa5520 (特权密码)5520(config)#password cisco (telnet密码)2、配置接口名字、安全级别5520(config)#int f0/15520(config)#nameif inside (内网,dmz,outside)5520(config)#security-level 100 (安全级别为100,dmz:50,outside:0)5520(config)#ip add 192.168.1.1 255.255.255.0 (配置ip地址)5520(config)#no shut5520(config)#exit查看接口show interface ipbriefshow interface f/03、配置路由5520(config)#route 接口名目标网段掩码下一跳例上网的缺省路由5520(config)#route outside 0.0.0.0 0.0.0.0 61.232.14.815520(config)#route inside 192.168.0.0 0.0.255.255 192.168.1.254查看路由show route4、管理(启用telnet或者ssh)5520(config)#telnet ip或网段掩码接口例:5520(config)#telnet 192.168.2.20 255.255.255.0 inside(表示只允许这个ip地址telnet asa)5520(config)#telnet 192.168.2.0 255.255.255.0 inside (表示允许这个ip段telnet asa)设置telnet超时5520(config)#telnet timeout 30 单位为分ssh为密文传送(RSA密钥对)5520(config)#cryto key generate rsa modulus 1024连接5520(config)#ssh 192.168.2.0 255.255.255.0 inside5520(config)#ssh 0 0 outside 允许外网任意ip连接配置空闲超时ssh timeout 30ssh version 25、远程接入ASDM(cisco的自适应安全管理器)客户端可以用cisco自带的软件也可以装jre走https启用https服务器功能5520(config)#http server enable 端口号(越大越好)设置允许接入网段5520(config)#http 网段|ip 掩码接口名(http 0 0 outside 外网任何ip接入)指定ASDM的映像位置5520(config)#asdm image disk0:/asdmfilse(这个一般用show version产看版本号)配置客户端登录使用的用户名和密码5520(config)# username 用户名password 密码privilege 156、nat的配置(这个好像与pix类似)5520(config)# nat (interface-名)nat-id 本地ip 掩码5520(config)#global (接口名)nat-id 全局ip、网段或接口例:5520(config)#nat-control (启用nat)5520(config)#nat(inside)1 0 0 (可以指定一个网段或者全部)5520(config)#global (outside)1 interface (这就称了pat,当然也可以写一个ip段或者一个ip)5520(config)# global(dmz)1 172.16.1.100-172.16.1.110 意思与上差不多这里要注意:内网到dmz区域都应是nat如果内网到dmz用路由的话,这样可能导致黑客先攻击dmz,然后长区直入到内网。
CISCOASA5520配置手册
CISCOASA5520配置手册CISCO ASA5520配置手册CD-ASA5520# show run: Saved:ASA V ersion 7.2(2)!hostname CD-ASA5520 //给防火墙命名domain-name default.domain.invalid //定义工作域enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码Namesdns-guard!interface GigabitEthernet0/0 //内网接口:duplex full //接口作工模式:全双工,半双,自适应nameif inside //为端口命名:内部接口insidesecurity-level 100 //设置安全级别0~100 值越大越安全ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址!interface GigabitEthernet0/1 //外网接口nameif outside //为外部端口命名:外部接口outsidesecurity-level 0ip address 202.98.131.122 255.255.255.0 //IP地址配置!interface GigabitEthernet0/2nameif dmzsecurity-level 50ip address 192.168.2.1 255.255.255.0!interface GigabitEthernet0/3Shutdownno nameifno security-levelno ip address!interface Management0/0 //防火墙管理地址shutdownno nameifno security-levelno ip address!passwd 2KFQnbNIdI.2KYOU encryptedftp mode passiveclock timezone CST 8dns server-group DefaultDNSdomain-name default.domain.invalidaccess-list outside_permit extended permit tcp any interface outside eq 3389//访问控制列表access-list outside_permit extended permit tcp any interface outside range 30000 30010//允许外部任何用户可以访问outside 接口的30000-30010的端口。
cisco asa5520 配置讲解幻灯片PPT
第二层
asa802(config)# class-map type inspect http http_url_class asa802(config-cmap)# match not request header host regex class url_class
asa802(config)# policy-map type inspect http http_url_policy asa802(config-pmap)# class http_url_class
asa802(config-pmap-c)# drop-connection log 采用哪种思路实 现要由具体情况 而定
第三层
asa802(config)# regex url1 "\.out\.com" asa802(config)# class-map type regex match-any url_class asa802(config-cmap)# match regex url1
技能展示了解cisco防火墙产品系列会对asa安全设备进行基本配置会配置asa安全设备的高级应用本章结构cisco防火墙cisco防火墙简介asa基本配置配置接口配置路由asa高级应用配置远程管理接入配置acl配置网络地址转换url过滤日志管理配置安全功能cisco防火墙简介硬件与软件防火墙软件防火墙硬件防火墙芯片级防火墙asa安全设备asa5500系列常见型号
cisco asa5520 配置讲解幻灯片 PPT
本PPT课件仅供大家学习使用 请学习完及时删除处理 谢谢!
课程回顾
在IP首部中,与分片有关的字段是哪几个? 终止TCP连接可以通过哪个控制位来实现? UDP有没有流量控制?
ASA5520的硬件介绍及相关配置
ASA5520的硬件介绍及相关配置Cisco ASA55201 Cisco ASA5500系列介绍:Cisco ASA 5500 系列⾃适应安全设备是思科专门设计的解决⽅案,能够将最⾼的安全性和VPN服务与全新的⾃适应识别和防御(AIM)架构有机地结合在⼀起。
作为思科⾃防御⽹络的关键组件,Cisco ASA 5500系列能够提供主动威胁防御,在⽹络受到威胁之前就能及时阻挡攻击,控制⽹络⾏为和应⽤流量,并提供灵活的VPN连接。
思科提供的强⼤多功能⽹络安全设备系列不但能为保护中⼩企业和⼤型企业⽹络提供⼴泛⽽深⼊的安全功能,还能降低与实现这种安全性相关的总体部署和运营成本及复杂性。
Cisco ASA 5500 系列能够在⼀个平台中提供多种已经过市场验证的技术,⽆论从技术⾓度还是从经济⾓度看,都能够为多个地点部署各种安全服务。
利⽤其多功能安全组件,企业⼏乎不需要作任何两难选择,既可以提供强有⼒的安全保护,⼜可以降低在多个地点部署多台设备的运营成本。
Cisco ASA 5500 系列能够通过以下关键组件帮助企业更有效地管理⽹络并提供出⾊的投资保护:●作⽤全特性、⾼性能的防⽕墙,⼊侵防范(IPS), ⽹络防病毒和IPSec/SSL VPN 技术提供了强⼤的应⽤安全性,基于⽤户和应⽤的访问控制,蠕⾍与病毒抑制,恶意代码防护以及远程⽤户/站点连接。
●⽬的利⽤⾼度可定制的针对流的安全策略,企业能够适应和扩展Cisco ASA 5500系列的安全服务组合。
安全策略允许企业根据应⽤要求定制安全需求,并通过⽤户可安装的安全服务模块(SSM)提供性能和安全服务可扩展性。
这种多功能的设备可实现平台、配置和管理的标准化,从⽽降低部署与⽇常运营成本。
Cisco ASA 5500系列包括Cisco ASA 5510, 5520和5540 ⾃适应安全设备——这三种专门设计的⾼性能安全解决⽅案提供了多功能的单机架(1RU) 设计,⼀个⽤于提供安全服务可扩展性的扩展插槽以及可提⾼部署灵活性的多个⽹络接⼝。
cisco ASA5520 详细配置
nat (inside) 0 access-list No-nat
(anyconnect ssl-vpn)
webvpn
enable outside
username sxwz008 password 1234567
username sxwz009 password 1234567
username sxwz010 password 1234567
username sxwz011 password 1234567
username sxwz012 password 1234567
username sxwz013 password 1234567
username sxwz014 password 1234567
username sxwz015 password 1234567
(IPsecDynamicLAN-to-LAN VPN 动态VPN)
isakmp enable outside
nat-con
nat (inside) 1 0 0
global (outside) 1 interface
(开启ASDM)
http server enable 443
http 0 0 inside
http 0 0 outside
username sxwz password cisco privilege 15
group-policy SSLCLientPolicy internal
思科防火墙ASA5520配置
思科防火墙ASA5520配置博客分类:网络思科防火墙ASA5520配置:目的:1、内网可以上网2、内网可以访问DMZ区域的服务器3、外网可以通过公网IP访问DMZ区域的服务器要求:1、内网的网段192.168.10.02、DMZ的网段192.168.5.03、外网IP地址:200.200.200.82 200.200.200.83 网关255.255.255.248(这个地址一般是运营商提供)4、外网路由:200.200.200.815、DMZ区域的服务器IP地址:192.168.5.2步骤1:配置接口inside、outside和dmzinterface g0/0speed autoduplex autonameif insideSecurity-level 100ip address 192.168.10.1 255.255.255.0no shutexitinterface g0/1speed autoduplex autonameif outsideSecurity-level 0ip address 200.200.200.82 255.255.255.248 no shutexitinterface g0/2speed autoduplex autonameif dmzSecurity-level 50ip address 192.168.5.1 255.255.255.0no shutexit步骤2、添加外网路由route outside 0 0 200.200.200.81步骤3、做nat转换,使得内网可以上网,同时内网可以访问dmz区域的服务器nat-controlnat (inside) 1 192.168.10.0 255.255.255.0global (outside) 1 interfaceglobal (dmz) 1 interface步骤4、做静态nat,将对外网IP的访问转换到dmz区域的服务器static (dmz,outside) 200.200.200.83 192.168.5.2 netmask255.255.255.255 dns注意:这里的外网IP不是outside的接口地址,是另外一个公网IP步骤5、配置ACL规则,允许外网访问DMZ服务器access-list out_dmz extended permit tcp any host 200.200.200.83 eq wwwaccess-group out_dmz in interface outside到此配置结束,正常情况下上面的要求都可以实现了,但是可能由于每个机房的环境不一样,结果会有一些错误。
ASAIPSECVPN配置手册
ASAIPSECVPN配置手册CISCO ASA IPSEC VPN配置手册1、设备初始化配置ciscoasa(config)#hostname ASA5520ASA5520(config)#int e0/0ASA5520(config-if)#nameif outsideASA5520(config-if)#security-level 0ASA5520(config-if)#ip add 172.16.2.1 255.255.255.0ASA5520(config-if)#no shASA5520(config)#int e0/1ASA5520(config-if)#nameif insideASA5520(config-if)#security-level 100ASA5520(config-if)#ip add 192.168.20.254 255.255.255.0ASA5520(config-if)#no sh2、配置路由(作用:保证VPN加/解密点之间能通信)ASA5520(config)#route outside 0.0.0.0 0.0.0.0 172.16.2.2543、配置NATASA5520(config)#access-list NONAT permit ip 192.168.20.0 255.255.255.0192.168.10.0 255.255.255.0 不进行NAT转换ASA5520(config)#nat (inside) 0 access-list NONAT NAT豁免技术ASA5520(config)#nat (inside) 1 192.168.20.0 255.255.255.0 ASA5520(config)#global (outside) 1 interface4、配置ISAKMP/IKE阶段1(作用:建立VPN的管理连接)1)配置ISAKMP/IKE策略ASA5520(config)#crypto isakmp enable outside 启用ISAKMP 协议ASA5520(config)#crypto isakmp policy 1 定义第一阶段ISAKMP/IKE策略ASA5520(config-isakmp)#hash md5 哈希使用md5ASA5520(config-isakmp)#encryption 3des 加密方式使用3DES(对称)ASA5520(config-isakmp)#group 2 DH加密算法强度ASA5520(config-isakmp)#authentication pre-share 验证用预共享密钥2)配置预共享密钥ASA5520(config)#crypto isakmp key cisco123 address 192.168.1.25、配置ISAKMP/IKE阶段2(作用:建立VPN的数据连接)1)、配置ACL定义VPN连接所保护的流量ASA5520(config)#access-list VPN permit ip 192.168.20.0 255.255.255.0 192.168.10.0 255.255.255.02)、定义Ipsec传输集(转换集)ASA5520(config)#crypto ipsec transform-set ESP-T esp-des esp-md5-hmac配置crypto map加密映射(作用:关联ACL和ipsec传输集设置) ASA5520(config)#crypto map VPN-MAP 1 match address VPNASA5520(config)#crypto map VPN-MAP 1 set peer 172.16.1.1 指定对方的加/解密点ASA5520(config)#crypto map VPN-MAP 1 set transform-set ESP-T4)、crypto map接口应用ASA5520(config)#crypto map VPN-MAP interface outside6、测试ASA防火墙VPN查看与排错命令:show vpn-sessiondb l2l 查看l2l vpn的连接状态信息Show crypto map 显示crypto map相关配置Show cyrpto isakmp sa 显示ISAKMP/IKE阶段1安全联盟SA---VPN连接Show crypto ipsec sa 显示ISAKMP/IKE阶段2安全联盟SATroubleshooting:access-list tac permit ip host 192.168.190.2 anyaccess-list tac permit ip any host 192.168.190.2capture test access-list tac interface testshow capture testshow asp drop 查看drop丢包packet-tracer input inside icmp 192.168.1.123 8 0 192.168.100.2方向接口协议测试PC地址对端inside接口地址。
ASA5520防火墙VPN配置详解
ASA Version 7.2(3)!hostname ciscoasaenable password 8Ry2YjIyt7RRXU24 encryptednames======================配置接口IP====================================== interface E0/0nameif insidesecurity-level 100ip address 10.1.1.1 255.255.255.0!interface E0/1nameif outsidesecurity-level 0ip address 222.222.222.1 255.255.255.0=======================定义内外网数据流ACL========================access-list INSIDE_IN extended permit icmp any anyaccess-list INSIDE_IN extended permit IP any anyaccess-list OUTSIDE_IN extended permit icmp any anyaccess-list NO_NAT extended permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.25 5.0.0access-list NO_NAT extended permit ip 192.168.1.0 255.255.255.0 10.1.1.0 255.25 5.255.0======================定义分配拨号用户地址池===========================ip local pool vpnpool 192.168.1.100-192.168.1.199======================NAT转换语句=================================global (outside) 1 interfacenat (inside) 0 access-list NO-NATnat (inside) 1 10.1.1.0 255.255.255.0======================路由==========================================route outside 0.0.0.0 0.0.0.0 222.222.222.2 1========================应用ACL到接口==============================access-group INSIDE_IN in interface insideaccess-group OUTSIDE_IN in interface outside========================定义加密算法及加密图=====================crypto ipsec transform-set ESP esp-des esp-md5-hmaccrypto dynamic-map outside_dyn_map 10 set transform-set ESPcrypto dynamic-map outside_dyn_map 10 set reverse-routecrypto map outsidemap 10 ipsec-isakmp dynamic outside_dyn_mapcrypto map outsidemap interface outsidecrypto isakmp enable outsidecrypto isakmp policy 1authentication pre-shareencryption deshash md5group 2=======================定义策略组=====================service-policy global_policy globalgroup-policy MYGROUP internalgroup-policy MYGROUP attributesvpn-tunnel-protocol IPSec=====================配置用户和密码==================username cisco password cisco============定义隧道组并应用拨号地址池,定义共享密钥================== tunnel-group hivpn type ipsec-ratunnel-group hivpn general-attributesaddress-pool vpnpooldefault-group-policy MYGROUPtunnel-group hivpn ipsec-attributespre-shared-key ciscoprompt hostname contextCryptochecksum:d4fe4080014deada00b8e2d2952fb69b: endciscoasa#。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
CISCO ASA5520配置手册CD-ASA5520# show run: Saved:ASA Version 7.2(2)!hostname CD-ASA5520 //给防火墙命名domain-name default.domain.invalid //定义工作域enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码Namesdns-guard!interface GigabitEthernet0/0 //内网接口:duplex full //接口作工模式:全双工,半双,自适应nameif inside //为端口命名:内部接口insidesecurity-level 100 //设置安全级别0~100 值越大越安全ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址!interface GigabitEthernet0/1 //外网接口nameif outside //为外部端口命名:外部接口outsidesecurity-level 0ip address 202.98.131.122 255.255.255.0 //IP地址配置!interface GigabitEthernet0/2nameif dmzsecurity-level 50ip address 192.168.2.1 255.255.255.0!interface GigabitEthernet0/3Shutdownno nameifno security-levelno ip address!interface Management0/0 //防火墙管理地址shutdownno nameifno security-levelno ip address!passwd 2KFQnbNIdI.2KYOU encryptedftp mode passiveclock timezone CST 8dns server-group DefaultDNSdomain-name default.domain.invalidaccess-list outside_permit extended permit tcp any interface outside eq 3389//访问控制列表access-list outside_permit extended permit tcp any interface outside range 30000 30010//允许外部任何用户可以访问outside 接口的30000-30010的端口。
pager lines 24logging enable //启动日志功能logging asdm informationalmtu inside 1500 内部最大传输单元为1500字节mtu outside 1500mtu dmz 1500ip local pool vpnclient 192.168.200.1-192.168.200.200 mask 255.255.255.0//定义一个命名为vpnclient的IP地址池,为remote用户分配IP地址no failovericmp unreachable rate-limit 1 burst-size 1asdm image disk0:/asdm-522.binno asdm history enablearp timeout 14400 //arp空闲时间为14400秒global (outside) 1 interface //由于没有配置NA T 故这里是不允许内部用户上INTERNET static (dmz,outside) tcp interface 30000 192.168.2.2 30000 netmask 255.255.255.255//端口映射可以解决内部要公布的服务太多,而申请公网IP少问题。
static (dmz,outside) tcp interface 30001 192.168.2.2 30001 netmask 255.255.255.255//把dmz区192.168.2.2 30002 映射给外部30002端口上。
static (dmz,outside) tcp interface 30002 192.168.2.2 30002 netmask 255.255.255.255static (dmz,outside) tcp interface 30003 192.168.2.2 30003 netmask 255.255.255.255static (dmz,outside) tcp interface 30004 192.168.2.2 30004 netmask 255.255.255.255static (dmz,outside) tcp interface 30005 192.168.2.2 30005 netmask 255.255.255.255static (dmz,outside) tcp interface 30006 192.168.2.2 30006 netmask 255.255.255.255static (dmz,outside) tcp interface 30007 192.168.2.2 30007 netmask 255.255.255.255static (dmz,outside) tcp interface 30008 192.168.2.2 3008 netmask 255.255.255.255static (dmz,outside) tcp interface 30009 192.168.2.2 30009 netmask 255.255.255.255static (dmz,outside) tcp interface 30010 192.168.2.2 30010 netmask 255.255.255.255static (dmz,outside) tcp interface 3389 192.168.2.2 3389 netmask 255.255.255.255access-group outside_permit in interface outside//把outside_permit控制列表运用在外部接口的入口方向。
route outside 0.0.0.0 0.0.0.0 202.98.131.126 1 //定义一个默认路由。
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeout uauth 0:05:00 absolute------------定义一个命名为vpnclient的组策略-------------------------group-policy vpnclient internal //创建一个内部的组策略。
group-policy vpnclient attributes //设置vpnclient组策略的参数wins-server value 192.168.1.10 //定义WINS-SERVER 的IP地址。
dns-server value 192.168.1.10 61.139.2.69 //定义dns-server的IP地址。
vpn-idle-timeout none //终止连接时间设为默认值vpn-session-timeout none //会话超时采用默认值vpn-tunnel-protocol IPSec //定义通道使用协议为IPSEC。
split-tunnel-policy tunnelspecified //定义。
default-domain value //定义默认域名为------------定义一个命名为l2lvpn的组策略-------------------------group-policy l2lvpn internalgroup-policy l2lvpn attributeswins-server value 192.168.1.10dns-server value 192.168.1.10 61.139.2.69vpn-simultaneous-logins 3vpn-idle-timeout nonevpn-session-timeout nonevpn-tunnel-protocol IPSecusername test password P4ttSyrm33SV8TYp encrypted privilege 0//创建一个远程访问用户来访问安全应用username cisco password 3USUcOPFUiMCO4Jk encryptedhttp server enable //启动HTTP服务http 0.0.0.0 0.0.0.0 inside //允许内部主机HTTP连接no snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstart//snmp的默认配置crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac//配置转集(定义了IPSC隧道使用的加密和信息完整性算法集合)crypto dynamic-map vpn_dyn_map 10 set transform-set ESP-DES-MD5//为动态加密图条目定义传换集crypto map outside_map 10 ipsec-isakmp dynamic vpn_dyn_map//创建一个使用动态加密条目的加密图crypto map outside_map interface outside//将outside_map加密图应用到outside端口------------配置IKE--------------crypto isakmp enable outside //在ostside 接口启动ISAKMPcrypto isakmp policy 20 //isakmmp权值,值越小权值越高authentication pre-share //指定同位体认证方法是共享密钥encryption des //指定加密算法hash md5 //指定使用MD5散列算法group 2 //指定diffie-hellman组2lifetime 86400 //指定SA(协商安全关联)的生存时间crypto isakmp policy 65535authentication pre-shareencryption deshash md5group 2lifetime 86400-------------调用组策略-----------------crypto isakmp nat-traversal 20tunnel-group DefaultL2LGroup general-attributes //配置这个通道组的认证方法default-group-policy l2lvpn //指定默认组策略名称。