防火墙配置实例

C I S C O5520防火墙配置实例

本人在项目中已经两次接触到思科5500系列防火墙的配置应用了，根据项目的需求不同，详细的配置也不一样，因此汇总了一个通用版本的思科5500系列防火墙的配置，不详之处，请各位大虾给予指点，谢谢！

CD-ASA5520# show run

: Saved

:

ASA Version (2)

!

hostname CD-ASA5520&nb sp; //给防火墙命名

enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码

names

dns-guard

!

interface GigabitEthernet0/0 //内网接口：

duplex full //接口作工模式：全双工，半双，自适应

nameif inside //为端口命名：内部接口inside

security-level 100 //设置安全级别 0~100 值越大越安全

!

interface GigabitEthernet0/1 //外网接口

nameif outside //为外部端口命名：外部接口outside

security-level 0

!

interface GigabitEthernet0/2

nameif dmz

security-level 50

!

interface GigabitEthernet0/3

shutdown

no nameif

no security-level

no ip address

!

interface Management0/0 //防火墙管理地址shutdown

no nameif

no security-level

no ip address

!

passwd encrypted

ftp mode passive

clock timezone CST 8

dns server-group DefaultDNS

access-list outside_permit extended permit tcp any interface outside eq 3389

//访问控制列表

access-list outside_permit extended permit tcp any interface outside range 30000 30010

//允许外部任何用户可以访问outside 接口的30000-30010的端口。

pager lines 24

logging enable //启动日志功能

logging asdm informational

mtu inside 1500 内部最大传输单元为1500字节

mtu outside 1500

mtu dmz 1500

//定义一个命名为vpnclient的IP地址池,为remote用户分配IP地址

no failover

icmp unreachable rate-limit 1 burst-size 1

asdm image disk0:/

no asdm history enable

arp timeout 14400 //arp空闲时间为14400秒

global (outside) 1 interface //由于没有配置NAT 故这里是不允许内部用户上INTERNET

//端口映射可以解决内部要公布的服务太多，而申请公网IP少问题。

access-group outside_permit in interface outside

//把outside_permit控制列表运用在外部接口的入口方向。

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute

------------定义一个命名为vpnclient的组策略-------------------------

group-policy vpnclient internal //创建一个内部的组策略。

group-policy vpnclient attributes //设置vpnclient组策略的参数

vpn-idle-timeout none //终止连接时间设为默认值

vpn-session-timeout none //会话超时采用默认值

vpn-tunnel-protocol IPSec //定义通道使用协议为IPSEC。

split-tunnel-policy tunnelspecified //定义。

default-domain value //定义默认域名为

------------定义一个命名为l2lvpn的组策略------------------------- group-policy l2lvpn internal

group-policy l2lvpn attributes

vpn-simultaneous-logins 3

vpn-idle-timeout none

vpn-session-timeout none

vpn-tunnel-protocol IPSec

username test password P4ttSyrm33SV8TYp encrypted privilege 0

//创建一个远程访问用户来访问安全应用

username cisco password 3USUcOPFUiMCO4Jk encrypted

http server enable //启动HTTP服务

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart //snmp的默认配置

crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac

//配置转集（定义了IPSC隧道使用的加密和信息完整性算法集合）

crypto dynamic-map vpn_dyn_map 10 set transform-set ESP-DES-MD5