cisco_ASA配置思科的防火墙命令

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

要想配置思科的防火墙得先了解这些命令:

常用命令有:nameif、interface、ip address、nat、global、route、static等。

global

指定公网地址范围:定义地址池。

Global命令的配置语法:

global (if_name) nat_id ip_address-ip_address [netmark global_mask]

其中:

(if_name):表示外网接口名称,一般为outside。

nat_id:建立的地址池标识(nat要引用)。

ip_address-ip_address:表示一段ip地址范围。

[netmark global_mask]:表示全局ip地址的网络掩码。

nat

地址转换命令,将内网的私有ip转换为外网公网ip。

nat命令配置语法:nat (if_name) nat_id local_ip [netmark]

其中:

(if_name):表示接口名称,一般为inside.

nat_id:表示地址池,由global命令定义。

local_ip:表示内网的ip地址。对于0.0.0.0表示内网所有主机。

[netmark]:表示内网ip地址的子网掩码。

route

route命令定义静态路由。

语法:

route (if_name) 0 0 gateway_ip [metric]

其中:

(if_name):表示接口名称。

0 0 :表示所有主机

Gateway_ip:表示网关路由器的ip地址或下一跳。

[metric]:路由花费。缺省值是1。

static

配置静态IP地址翻译,使内部地址与外部地址一一对应。

语法:

static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address 其中:

internal_if_name表示内部网络接口,安全级别较高,如inside。

external_if_name表示外部网络接口,安全级别较低,如outside。

outside_ip_address表示外部网络的公有ip地址。

inside_ ip_address表示内部网络的本地ip地址。

(括号内序顺是先内后外,外边的顺序是先外后内)

例如:

asa(config)#static (inside,outside) 133.0.0.1 192.168.0.8

表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址

********************************************************************* asa#conf t

asa(config)# hostname asa //设置主机名

asa(config)#enable password cisco //设置密码

配置外网的接口,名字是outside,安全级别0,输入ISP给您提供的地址就行了。

asa(config)#interface GigabitEthernet0/0

asa(config)#nameif outside //名字是outside

asa(config)#securit-level 0 //安全级别0

asa(config)#ip address *.*.*.* 255.255.255.0 //配置公网IP地址

asa(config)#duplex full

asa(config)#

asa(config)#no shutdown

配置内网的接口,名字是inside,安全级别100

asa(config)#interface GigabitEthernet0/1

asa(config)#nameif inside

asa(config)#securit-level 100

asa(config)#duplex full

asa(config)#speed 100

asa(config)#no shutdown

配置DMZ的接口,名字是dmz,安全级别50

asa(config)#interface GigabitEthernet0/2

asa(config)#nameif dmz

asa(config)#securit-level 50

asa(config)#duplex full

asa(config)#

asa(config)#no shutdown

网络部分设置

asa(config)#nat(inside) 1 192.168.1.1 255.255.255.0

asa(config)#global(outside) 1 222.240.254.193 255.255.255.248

asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255 //表示192.168.1.1这个地址不需要转换。直接转发出去。

asa(config)#global (outside) 1 133.1.0.1-133.1.0.14 //定义的地址池

asa(config)#nat (inside) 1 0 0 //0 0表示转换网段中的所有地址。

定义内部网络地址将要翻译成的全局地址或地址范围

配置静态路由

asa(config)#route outside 0 0 133.0.0.2 //设置默认路由133.0.0.2为下一跳

如果内部网段不是直接接在防火墙内口,则需要配置到内部的路由。

asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1

地址转换

asa(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ;静态NAT

asa(config)#static (dmz,outside) 133.1.0.2 10.65.1.102 ;静态NAT

asa(config)#static (inside,dmz) 10.66.1.200 10.66.1.200 ;静态NAT

如果内部有服务器需要映射到公网地址(外网访问内网)则需要static

asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240

asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240 10000 10 //后面的10000为限制连接数,10为限制的半开连接数

ACL实现策略访问

asa(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置ACL

asa(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;设置ACL

asa(config)#access-list 101 deny ip any any ;设置ACL

asa(config)#access-group 101 in interface outside ;将ACL应用在outside端口当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。

当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会映射成地址池的IP,到外部去找。

当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101,static 是双向的。

PIX的所有端口默认是关闭的,进入PIX要经过acl入口过滤。

静态路由指示内部的主机和dmz的数据包从outside口出去。

相关文档
最新文档