Cisco ASA5520防火墙配置

Cisco ASA5520防火墙配置

前言

●主要从防火墙穿越的角度，描述Cisco ASA5520防火墙的配置

●对Pix ASA系列防火墙配置具有参考意义

内容

●防火墙与NAT介绍

●基本介绍

●基本配置

●高级配置

●其它

●案例

防火墙与NAT介绍

●防火墙

门卫

●NAT

过道

●区别

两者可以分别使用

Windows有个人防火墙

Windows有Internet Connect sharing服务

一般防火墙产品，同时带有NAT

基本介绍

●配置连接

●工作模式

●常用命令

●ASA5520介绍

配置连接

●初次连接

使用超级终端登陆Console口

Cicso的波特率设置为9600

●Telnet连接

默认不打开，在使用Console配置后，可以选择开启

开启命令：telnet ip_addressnetmaskif_name

连接命令：telnet 192.168.1.1

ASA5520默认不允许外网telnet,开启比较麻烦

●ASDM连接

图形界面配置方式

●SSH连接

工作模式

●普通模式

连接上去后模式

进入普通模式需要有普通模式密码

Enable 进入特权模式，需要特权密码

●特权模式

Config terminal 进入配置模式

●配置模式

●模式转换

exit 或者ctrl-z退出当前模式，到前一模式

也适用于嵌套配置下退出当前配置

常用命令

●命令支持缩写，只要前写到与其它命令不同的地方即可

config terminal = conf term = conf t

Tab键盘补全命令

？Or help 获取帮助

●取消配置

no 命令取消以前的配置

Clear 取消一组配置，具体请查看帮助

●查看配置

Show version

show run [all] , write terminal

Show xlat

Show run nat

Show run global

●保存配置

Write memory

ASA5520介绍

●硬件配置：ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz

●1个Console口，一个Aux口，4个千兆网口

●支持并发：280000个

●支持VPN个数：150

●支持双机热备、负载均衡

●可以通过show version 查看硬件信息

基本配置

●接口配置

●NAT配置

●ACL访问控制

接口配置

●四个以太网口

GigabitEthernet0/0、gig0/1、gig0/2、gig0/3

进入接口配置: interface if_name

●配置IP

ip address ip_address [netmask]

ip address ip_addressdhcp

打开端口: no shutdown

配置安全级别

security-level [0-100]

数据从安全级别高的流向底的，不能倒流

倒流需要保安允许

所以外网一般配置为0，内网为100

配置别名

供其它命令引用

Nameifif_name

NAT

●NAT (Network Address Translate)

●NAT类型(与防火墙穿越提到的类型不相关）

Dynamic NAT

PAT

Static NAT & Static PAT

Identity NAT

NAT exemption

Policy NAT

●地址表超时

NAT配置

●普通NAT

Dynamic NAT

PAT

●NAT例外

Static NAT

Identity NAT

NAT exemption

Policy NAT

普通NAT

●普通NAT，只允许内网先发起连接

●地址池配置

global (if_name) natidstart_addr-end_addrnetmask

如：global (outside) 1 192.168.85.111-192.168.85.113 255.255.255.0

定义了natid 1 和地址池192.168.85.111-192.168.85.113

Dynamic NAT

nat (real_ifc) nat_idinside_networkoutside_network

动态分配给内网一个独立的IP

●PAT

PAT使用1个地址+65535个端口为内网提供地址转换

地址池中只有一个值时，就是PAT

分配给内网连接一个固定IP和一个动态的端口

Static NAT