ASA防火墙配置命令-王军
CISCO ASA防火墙ASDM安装和配置
CISCO ASA防火墙ASDM安装和配置准备工作:准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口,通过开始——>程序——> 附件——>通讯——>超级终端输入一个连接名,比如“ASA”,单击确定。
选择连接时使用的COM口,单击确定。
点击还原为默认值。
点击确定以后就可能用串口来配置防火墙了。
在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。
在串口下输入以下命令:ciscoasa>ciscoasa> enPassword:ciscoasa# conf t 进入全局模式ciscoasa(config)# webvpn 进入WEBVPN模式ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字ciscoasa(config-if)# no shutdown 激活接口ciscoasa(config)#q 退出管理接口ciscoasa(config)# http server enable 开启HTTP服务ciscoasa(config)# http 192.168.1.0 255.255.255.0 guanli 在管理口设置可管理的IP地址ciscoasa(config)# show run 查看一下配置ciscoasa(config)# wr m 保存经过以上配置就可以用ASDM配置防火墙了。
首先用交叉线把电脑和防火墙的管理口相连,把电脑设成和管理口段的IP 地址,本例中设为192.168.1.0 段的IP打开浏览器在地址栏中输入管理口的IP地址:[url]https://192.168.1.1/admin[/url]弹出一下安全证书对话框,单击“是”输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“确定”。
CISCOASA防火墙管理员权限配置
CISCOASA防火墙管理员权限配置hostname(config)aaa authentication ssh console LOCAL 配置本地认证hostname(config)aaa authorization command LOCAL 配置本地授权hostname(config)aaa authorization exec authentication-serverhostname(config)enable password cisco level 3 配置level 3的enable密码hostname(config)username user1 password admincisco 新建用户hostname(config)privilege cmd level 3 mode exec command show 配置level 3级别下可使用的命令hostname(config)privilege show level 3 mode exec command running-confighostname(config)privilege show level 3 mode exec command clockhostname(config)privilege show level 3 mode exec command arphostname(config)privilege show level 3 mode configure command clockhostname(config)privilege show level 3 mode configure command arp使用user1登录后hostname>enable 3 进入level 3Password: ciscohostname# show clock13:39:52.489 BJ Tue Aug 5 2014 可使用授权过的命令hostname# show route^ERROR: % Invalid input detected at '^' marker. ERROR: Command authorization failed 未授权的命令无法使用hostname# show crypto^ERROR: % Invalid input detected at '^' marker. ERROR: Command authorization failed 未授权的命令无法使用。
ASA防火墙的基本配置
安全级别:0-100从高安全级别到低安全级别的流量放行的从低安全到高安全级别流量禁止的ASA防火墙的特性是基于TCP和UDP链路状态的,会话列表,记录出去的TCP或者UDP 流量,这些流量返回的时候,防火墙是放行的。
ASA防火墙的基本配置!interface Ethernet0/0nameif insidesecurity-level 99ip address 192.168.1.2 255.255.255.0!interface Ethernet0/1nameif dmzsecurity-level 50ip address 172.16.1.2 255.255.255.0!interface Ethernet0/2nameif outsidesecurity-level 1ip address 200.1.1.2 255.255.255.0ciscoasa# show nameifInterface Name SecurityEthernet0/0 inside 99Ethernet0/1 dmz 50Ethernet0/2 outside 12、路由器上配置配置接口地址路由--默认、静态配置VTY 远程登录R3:interface FastEthernet0/0ip address 200.1.1.1 255.255.255.0no shutdown配置去内网络的路由ip route 192.168.1.0 255.255.255.0 200.1.1.2配置去DMZ区域的路由ip route 172.161.0 255.255.255.0 200.1.1.2配置远程登录VTYR3(config)#line vty 0 2R3(config-line)#password 666R3(config-line)#loginR2:interface FastEthernet0/0ip address 172.16.1.1 255.255.255.0no shutdown配置默认路由IP route 0.0.0.0 0.0.0.0 172.16.1.2配置远程登录VTYR3(config)#line vty 0 2R3(config-line)#password 666R3(config-line)#loginR2:interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0no shutdown配置默认路由IP route 0.0.0.0 0.0.0.0 192.168.1.2配置远程登录VTYR3(config)#line vty 0 2R3(config-line)#password 666R3(config-line)#loginR1可以Telnet R3 ,反过来不行R1不可以ping通R3防火墙放行流量防火墙能放行R3低安全级别的---R1高安全级别区域--Telnet流量ciscoasa(config)# access-list 100 permit tcp host 200.1.1.1 host 192.168.1.1 eq 23应用列表到接口ciscoasa(config)# access-group 100 in interface outside验证:防火墙能放行R3低安全级别的---R1高安全级别区域--ICMP流量ciscoasa(config)# access-list 100 permit icmp host 200.1.1.1 host 192.168.1.1验证。
ASA防火墙配置命令-王军
ASA防火墙配置命令(v1.0)版本说明目录1. 常用技巧 (3)2. 故障倒换 (3)3. 配置telnet、ssh及http管理 (5)4. vpn常用管理命令 (5)5. 配置访问权限 (6)6. 配置sitetosite之VPN (6)7. webvpn配置(ssl vpn) (7)8. 远程拨入VPN (8)9. 日志服务器配置 (10)10. Snmp网管配置 (11)11. ACS配置 (11)12. AAA配置 (11)13. 升级IOS (12)14. 疑难杂症 (12)1. 常用技巧Sh ru ntp查看与ntp有关的Sh ru crypto 查看与vpn有关的Sh ru | inc crypto 只是关健字过滤而已2. 故障倒换failoverfailover lan unit primaryfailover lan interface testint Ethernet0/3failover link testint Ethernet0/3failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001 failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001 failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001 failover mac address Management0/0 0018.1900.7000 0018.1900.7001 failover interface ip testint 10.3.3.1 255.255.255.0 standby 10.3.3.2 注:最好配置虚拟MAC地址sh failover显示配置信息write standby写入到备用的防火墙中failover命令集如下:configure mode commands/options:interface Configure the IP address and mask to be used for failover and/or stateful update informationinterface-policy Set the policy for failover due to interface failureskey Configure the failover shared secret or keylan Specify the unit as primary or secondary or configure the interface and vlan to be used for failover communication link Configure the interface and vlan to be used as a link for stateful update informationmac Specify the virtual mac address for a physical interface polltime Configure failover poll intervalreplication Enable HTTP (port 80) connection replicationtimeout Specify the failover reconnect timeout value forasymmetrically routed sessionssh failover 命令集如下:history Show failover switching historyinterface Show failover command interface informationstate Show failover internal state informationstatistics Show failover command interface statistics information| Output modifiers<cr>3. 配置telnet、ssh及http管理username jiang password Csmep3VzvPQPCbkx encrypted privilege 15aaa authentication enable console LOCALaaa authentication telnet console LOCALaaa authentication ssh console LOCALaaa authorization command LOCALhttp 192.168.40.0 255.255.255.0 managementssh 192.168.40.0 255.255.255.0 inside4. vpn常用管理命令sh vpn-sessiondb full l2l 显示site to site 之vpn通道情况sh ipsec stats 显示ipsec通道情况sh vpn-sessiondb summary 显示vpn汇总信息sh vpn-sessiondb detail l2l 显示ipsec详细信息sh vpn-sessiondb detail svc 查看ssl client信息sh vpn-sessiondb detail webvpn 查看webvpn信息sh vpn-sessiondb detail full l2l 相当于linux下的ipsec whack –status 如果没有建立连接,则表示ipsec通道还没有建立起来。
ASA5510防火墙配置手册
ASA5510防火墙配置手册ASA5510防火墙配置手册1. 设置主机名:#hostname szhndasa2. 设置时区:szhndasa#clocktimezone EST 73. 设置时钟:Szhndasa#clock set 15:45:30 28 FEB 20084. 配置内接口 IPSzhndasa#int Ethernet 0/0Szhndasa#nameif insideSzhndasa#security-level 100Szhndasa#ip address 192.168.55.254 255.255.255.05 配置外部接口 IPSzhndasa#int Ethernet 0/1Szhndasa#nameif outsideSzhndasa#security-level 0Szhndasa#ip address 210.X.X.X 255.255.255.2486.配置用户名和密码Szhndasa#username admin password ********* encryptedprivilege 15 注:15 表示有最高权限7.配置 HTTP 和 TELNETSzhndasa#aaa authentication telnet console LOCALSzhndasa#http server enableSzhndasa#http 192.168.55.0 255.255.255.0 insideSzhndasa#telnet 192.168.55.0 255.255.255.0 inside8.配置 site to site vpncrypto map outside_map 20 match address outside_cryptomap_20_1 crypto map outside_map 20 set pfscrypto map outside_map 20 set peer 210.75.1.Xcrypto map outside_map 20 set transform-set ESP-3DES-SHAcrypto map outside_map 20 set nat-t-disablecrypto map outside_map interface outside注:还可通过 http 方式用 ASDM 管理软件图形化配置 ASA[原创] CISCO ASA 防火墙 IOS恢复与升级简明教程!客户的误操作,把ios给删了,这下麻烦到我了。
asa配置步骤
思科防火墙已经从PIX发展到ASA了,IOS也已经从早期的6.0发展到7.2。
但总体的配置思路并没有多少变化。
只是更加人性化,更加容易配置和管理了。
下面是我工作以来的配置总结,有些东西是6.3版本的,但不影响在7.*版本的配置。
一:6个基本命令: nameif、 interface、 ip address 、nat、 global、 route。
二:基本配置步骤:step1: 命名接口名字nameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 dmz security50**7版本的配置是先进入接口再命名。
step2:配置接口速率interface ethernet0 10full autointerface ethernet1 10full autointerface ethernet2 10fullstep3:配置接口地址ip address outside 218.106.185.82ip address inside 192.168.100.1 255.255.255.0ip address dmz 192.168.200.1 255.255.255.0step4:地址转换(必须)* 安全高的区域访问安全低的区域(即内部到外部)需NAT和global;nat(inside) 1 192.168.1.1 255.255.255.0global(outside) 1 222.240.254.193 255.255.255.248*** nat (inside) 0 192.168.1.1 255.255.255.255 表示192.168.1.1这个地址不需要转换。
直接转发出去。
* 如果内部有服务器需要映射到公网地址(外网访问内网)则需要static和conduit或者acl.static (inside, outside) 222.240.254.194 192.168.1.240static (inside, outside) 222.240.254.194 192.168.1.240 10000 10后面的10000为限制连接数,10为限制的半开连接数。
ASA防火墙基本配置
第二章ASA防火墙实验案例一ASA防火墙基本配置一、实验目的:熟悉ASA基本配置二、实验环境和需求在WEB上建立站点.,在Out上建立站点,并配置DNS服务,负责解析(202.0.0.253/29)和(IP为202.2.2.1),PC1的DNS 指向200.2.2.1只能从PC1通过SSH访问ASA从PC1可以访问outside和dmz区的网站,从Out主机可以访问DMZ区的Web站点从PC1可以ping通Out主三、实验拓扑图四、配置步骤(一)路由器配置int f1/0ip add 200.0.0.1 255.255.255.252no shint f0/0ip add 200.2.2.254 255.255.255.0no shexitip route 0.0.0.0 0.0.0.0 200.0.0.2end(二) ASA基本属性配置1、接口配置Interface E 0/0Ip address 192.168.0.254 255.255.255.0Nameif inside //设置内接口名字Security-level 100 //设置内接口安全级别No shutdownInterface E 0/1Ip add 192.168.1.254 255.255.255.0Nameif dmz //设置接口为DMZSecurity-level 50 //设置DMZ接口的安全级别No shutdownInterface E 0/2Ip address 200.0.0.2 255.255.255.252Nameif outside //设置外接口名字Security-level 0 //设置外接口安全级别No shutdown2、ASA路由配置:静态路由方式(config)#Route outside 0.0.0.0 0.0.0.0 200.0.0.13、从PC1上可以PING通OUT主机默认情况下不允许ICMP流量穿过,从内Ping外网是不通的,因为ICMP应答的报文返回时不能穿越防火墙,可以配置允许几种报文通过,(Config)# Access-list 111 permit icmp any any(config)# Access-group 111 in interface outside此时在PC1上就可台PING通OUT主机了。
思科ASA防火墙基本配置
思科ASA防火墙基本配置思科ASA防火墙基本配置Fire Wall 防火墙,它是一种位于内部网络与外部网络之间的网络安全系统,当然,防火墙也分软件防火墙与硬件防火墙。
硬件防火墙又分为:基于PC架构与基于ASIC芯片今天来聊一聊思科的'硬件防火墙 Cisco ASACisco ASA 防火墙产品线挺多:Cisco ASA5505 Cisco ASA5510 Cisco ASA5520 Cisco ASA5540 Cisco ASA5550 等等ASA 的基本配置步骤如下:配置主机名、域名hostname [hostname]domain-name xx.xxhostname Cisco-ASA 5520domain-name 配置登陆用户名密码password [password]enable password [password]配置接口、路由interface interface_namenameif [name]name 有三种接口类型 insdie outside dmzsecurity-level xx(数值)数值越大接口安全级别越高注:默认inside 100 ,outside 0 ,dmz 介于二者之间静态路由route interface_number network mask next-hop-addressroute outside 0.0.0.0 0.0.0.0 210.210.210.1配置远程管理接入Telnettelnet {network | ip-address } mask interface_nametelnet 192.168.1.0 255.255.255.0 insidetelnet 210.210.210.0 255.255.255.0 outsideSSHcrypto key generate rsa modulus {1024| 2048 }指定rsa系数,思科推荐1024ssh timeout minutesssh version version_numbercrypto key generate rsa modulus 1024ssh timeout 30ssh version 2配置 ASDM(自适应安全设备管理器)接入http server enbale port 启用功能http {networdk | ip_address } mask interface_nameasdm image disk0:/asdm_file_name 指定文件位置username user password password privilege 15NATnat-controlnat interface_name nat_id local_ip maskglobal interface_name nat_id {global-ip [global-ip] |interface} nat-controlnat inside 1 192.168.1.0 255.255.255.0global outside 1 interfaceglobal dmz 1 192.168.202.100-192.168.202.150ACLaccess-list list-name standad permit | deny ip maskaccess-list list-name extendad permit | deny protocol source-ip mask destnation-ip mask portaccess-group list-name in | out interface interface_name如果内网服务器需要以布到公网上staic real-interface mapped-interface mapped-ip real-ip staic (dmz,outside) 210.210.202.100 192.168.202.1保存配置wirte memory清除配置clear configure (all)【思科ASA防火墙基本配置】。
ciscoASA防火墙详细配置
access-list 102 extended permit icmp any any
------------------ 设 置
ACL 列表(允许 ICMP 全部通过)
access-list 102 extended permit ip any any 列表(允许所有 IP 全部通过) pager lines 24 mtu outside 1500 mtu inside 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable
address
218.16.37.222
255.255.255.192
------------------vlan2 配置 IP
asa5505(config)#show ip address vlan2 ------------------验证配置
5.端口加入 vlan
asa5505(config)# interface e0/3 ------------------进入接口 e0/3
cisco-asa-5505 基本配置
interface Vlan2nameif outside ----------------------------------------对端口命名外端口
security-level 0 ----------------------------------------设置端口等级
有地址)0 无最大会话数限制
access-group 102 in interface outside
------------------―――设置 ACL
列表绑定到外端口 端口绑定
route outside 0.0.0.0 0.0.0.0 x.x.x.x 1 路由
asa防火墙命令
asa防火墙命令一、基本配置#hostname name //名字的设置#interface gigabitethernet0/0 //进入接口0/0#nameif outside //配置接口名为outside#security-level 0 //设置安全级别。
级别从0--100,级别越高安全级别越高#ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址#no shutdown#interface ethernet0/1 //进入接口0/1#nameif inside //配置接口名为inside#security-level 100 //设置安全级别。
级别从0--100,级别越高安全级别越高#ip address 192.168.10.1 255.255.255.0 //设置ip地址#duplex full //全双工#speed 100 //速率#no shutdown#interface ethernet0/2 //进入接口0/2#nameif dmz //配置接口名为dmz#security-level 50 //设置安全级别。
级别从0--100,级别越高安全级别越高#ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址#no shutdown#interface Management0/0 //进入管理接口# nameif guanli //接口名# security-level 100 //安全级别#ip address 192.168.1.1 255.255.255.0 //IP地址注意:security-level 配置安全级别。
默认外网接口为0/0 安全级别默认为0内网接口为0/1 安全级别默认为100dmz 接口为0/2 安全级别默认为50默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令:#same-security-traffic permit interface //允许相同安全级别接口之间互相通信。
ASA防火墙配置
ASA防火墙初始配置1.模式介绍“>”用户模式firewall>enable 由用户模式进入到特权模式password:“#”特权模式firewall#config t 由特权模式进入全局配置模式“(config)#”全局配置模式防火墙的配置只要在全局模式下完成就可以了。
2.接口配置(以5510以及更高型号为例,5505接口是基于VLAN的):interface Ethernet0/0nameif inside (接口的命名,必须!)security-level 100(接口的安全级别)ip address 10.0.0.10 255.255.255.0no shutinterface Ethernet0/1nameif outsidesecurity-level 0ip address 202.100.1.10 255.255.255.0no shut3.路由配置:默认路由:route outside 0 0 202.100.1.1 (0 0 为0.0.0.0 0.0.0.0)静态路由:route inside 192.168.1.0 255.255.255.0 10.0.0.15505接口配置:interface Ethernet0/0!interface Ethernet0/1switchport access vlan 2interface Vlan1nameif insidesecurity-level 100ip address 192.168.6.1 255.255.255.0!interface Vlan2nameif outsidesecurity-level 0ip address 202.100.1.10ASA防火墙NAT配置内网用户要上网,我们必须对其进行地址转换,将其转换为在公网上可以路由的注册地址,防火墙的nat和global是同时工作的,nat定义了我们要进行转换的地址,而global定义了要被转换为的地址,这些配置都要在全局配置模式下完成,Nat配置:firewall(config)# nat (inside) 1 0 0上面inside代表是要被转换得地址,1要和global 后面的号对应,类似于访问控制列表号,也是从上往下执行,0 0 代表全部匹配(第一个0代表地址,第二个0代表掩码),内部所有地址都回进行转换。
ASA防火墙配置命令注释
name 172.16.0.0 Client description neibujisuanji//把ip地址进行文字命名,可以在acl里调用的时候用命名来代替地址。
name 172.16.136.11 a-136.11// 例如将172.16.136.11 用命名“a-136.11”来替代,a代表接入层。
name 172.16.101.30 a-101.30name 172.16.101.0 jisuanjishi description jisuanjishiname 172.16.153.161 a-153.161name 172.16.153.162 a-153.162name 172.16.153.163 a-153.163name 172.16.147.78 a-147.78name 172.16.101.54 a-101.54name 172.16.153.160 a-153.160name 172.16.153.164 a-153.164name 172.16.153.26 a-153.26name 172.16.101.12 a-101.12name 202.106.73.101 pat_testname 172.16.143.55 guke-caixuname 172.16.101.32 specialusename 172.16.133.40 yaopinbuliangname 172.16.146.189 a-146.189name 172.16.101.50 tempname 172.16.130.68 sunkainame 211.103.242.13 pla-libaryname 172.16.103.213 zjpname 172.16.134.187 zzjname 172.16.185.21 guojihuiyi description chengpengdns-guard!interface Ethernet0/0nameif outsidesecurity-level 0//设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。
CISCO ASA防火墙 ASDM 安装和配置
CISCO ASA防火墙ASDM安装和配置准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口,通过开始——>程序——> 附件——>通讯——>超级终端输入一个连接名,比如“ASA”,单击确定。
选择连接时使用的COM口,单击确定。
点击还原为默认值。
点击确定以后就可能用串口来配置防火墙了。
在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。
在串口下输入以下命令:CiscoASA>CiscoASA> enPassword:CiscoASA# conf t 进入全局模式CiscoASA(config)# username cisco password cisco 新建一个用户和密码CiscoASA(config)# interface e0 进入接口CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 添加IP地址CiscoASA(config-if)# nameif inside 给接口设个名字CiscoASA(config-if)# no shutdown 激活接口CiscoASA(config)#q 退出接口CiscoASA(config)# http server enable 开启HTTP服务CiscoASA(config)# http 192.168.1.0 255.255.255.0 inside 在接口设置可管理的IP地址CiscoASA(config)# show run 查看一下配置CiscoASA(config)# wr m 保存经过以上配置就可以用ASDM配置防火墙了。
首先用交叉线把电脑和防火墙的管理口相连,把电脑设成和管理口段的IP地址,本例中设为192.168.1.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.1.1/admin弹出一下安全证书对话框,单击“是”输入用户名和密码,然后点击“确定”。
ciscoASA虚拟防火墙配置
ciscoASA虚拟防火墙配置
cisco ASA虚拟防火墙配置
可以把物理的一个防火墙配置出多个虚拟的防火墙,每个防火墙称为context,这样一个防火墙就支持两种工作模式:single-context 和multiple-context,处于后者工作模式的防火墙被分为三个功能模块:system execution space(虽然没有context的功能,但是是所有的基础),administrative context(被用来管理物理的防火墙) 和user contexts(虚拟出来的防火墙,所有配置防火墙的命令都适用)配置:
首先使用show activation-key来验证是否有multiple-context 的许可,然后通过mode multiple和mode single命令在这两个模式之间进行切换,当然也可以用show mode来验证现在工作在什么模式下。
在不同context下进行切换使用Firewall# changeto {system | context name[/i]},
总结配置如下几条:
1、进入多模工作模式 mode multiple
2、创建主防火墙 admin_context___(命名)
3、进入主防火墙:admin_context
(1)、命名:context admin
4、添加端口allocate-interface (物理端口)
5、创建存储文件 config-url disk0 :// admin.cfg 文件名
6、要创建虚拟的防护墙 context 名称
其他步骤同上!
7、各个防火墙之间切换:changto context xxxx,各个防火墙之间独立工作。
彼此不影响!。
思科ASA防火墙命令
ASA配置命令(config)#hostname asa802 配置主机名(config)#domain-name 配置域名(config)#enable password asa802 配置特权密码(config)#passwd cisco 配置远程登录密码(TELNET,SSH)(config-if)#nameif inside 配置接口名字(config-if)#security-level 100 安全级别(0-100)(config)#route接口名目标网段和掩码下一跳配置路由#show route 查看路由表配置TELNET接入(config)#telnet(network|ip-address) mask interface-name例: (config)#telnet 192.168.0.0 255.255.255.0 inside 允许192.168.0.0/24 telnet (config)#telnet timeout minutes(1~1440分钟默认5分钟)配置空闲超时时间配置SSH接入(1)为防火墙分配一个主机名和域名,因为生成RSA密匙对需要用到主机名和域名(2)生成RSA密匙对(config)#crypto key generate rsa modulus (512 | 768 | 1024 | 2048)(3)配置防火墙允许SSH接入(config)#ssh 192.168.0.0 255.255.255.0 inside (config)#ssh version(1|2)SSH版本(config)#ssh timeout 30 配置SSH超时(config)#show ssh session查看SSH会话配置ASDM接入(自适应安全设备管理器)(1)启用防火墙HTTPS服务器功能(config)#http server enable (port) 默认使用443端口(2)配置防火墙允许HTTPS接入(config)#http {network|ip-address} mask interface-name(3)指定ASDM映像的位置(config)#asdm image disk0:/asdmfile(4)配置客户端登录使用的用户名和密码(config)#username user password password privilege 15客户端使用ASDM步骤(1)从网站下载安装jiava runtime environment (JRE),这里下载的是jre-6u10-windows-i586-p.exe(2) 在主机PC1上启动IE浏览器,输入ASA的IP地址NA T网络地址转换(config)#nat (interface_name) id local_ip mask(启用nat-control,可以使用nat0 指定不需要被转换的流量)如:(config)#nat(inside)1 192.168.0.0 255.255.255.0GLOBAL命令(config)#global (interface-name) nat-id (global-ip 【-global-ip】)如: (config)#global (outside) 1 200.1.1.100-200.1.1.150(config)#global (outside)1 Internet查看地址转换条目show xlate配置ACL(config)#access-list in_to_out deny ip 192.168.0.0 255.255.255.0 any应用到接口(config)#access-group in_to_out in interface inside启用nat-control后从低安全级别访问高安全级别要配置NA T规则Static NAT (config)#static (dmz,outside) 200.1.1.253 192.168.1.1如要让外网的主机访问DMZ的WEB站点(config)#static (dmz,outside) 200.1.1.253 192.168.1.1(config)#access-list out_to_dmz permit tcp any host 200.1.1.253 eq www(config)#access-group out_to_dmz in interface outsideICMP协议(config)#access-list 100 permit icmp any any echo-reply(config)#access-list 100 permit icmp any any echo-unreachable(config)#access-list 100 permit icmp any any time-exceeded(config)#access-group 100 in interface outsideURL过滤1)配置ACL(config)#access-list tcp_filter permit tcp 192.168.0.0 255.255.255.0 any eq www2)定义类关联到ACL(config)#class-map tcp_filter_class(config-cmap)#match access-list tcp_filter(config-cmap)#exit3)正则表达式(config)#regex url1 “\.out\.com”定义名为url1的正则表达式URL后缀是 4)类,关联正则表达式(config)#class-map type regex match-any url_class(config-camp)#match regex url1(config-camp)#exit5)类检查(config)#class-map type inspect http http_url_class(config-camp)#match not request header host regex class url_class(config-camp)#exit6)创建策略检查项(config)#policy-map type inspect http http_url_policy(config-pmap)#class http_url_class(config-pmap-c)#drop-connection log drop数据包并关闭连接,并发送系统日志(config-pmap-c)#exit(config-pmap)#exit7)策略关联类(config)#policy-map inside_http_url_policy(config-pmap)#class tcp_filter_class(config-pmap-c)#inspect http http_url_policy(config-pmap-c)#exit(config-pmap)#exit8)应用到接口(config)#service-policy inside_http_url_policy interface inside保存配置#write memory#copy running-config startup-config清除所有配置(config)#clear configure all清除access-list(config)#clear configure access-list配置日志Log buffer (config)#l ogging enable(config)#logging buffered informational (级别)清除(config)#clear logging bufferASDM日志(config)#logging enable(config)#logging asdm informational清除(config)#clear longing asdm配置日志服务器(config)#logging enable(config)#logging trap information(config)#logging host inside 192.168.1.1ASA基本威胁检测(config)#threat-detection basic-threat禁止IP分片通过(config)#fragment chain 1启用IDS功能(config)#ip audit name name (info|attack) {action [alarm] [drop] [reset] } Alarm对info和attack消息进行警告,信息会出现在syslog服务器上Reset 丢弃数据包并关闭连接Action定义策略采取的动作如:(config)#ip audit name inside_ids_info info action alarm (config)#ip audit name inside_ids_attack attack action alarm(config)#ip audit interface inside inside_ids_info(config)#ip audit interface inside inside_ids_info关闭ID为2000的签名(config)#ip audit signature 2000 disable启用ID为2000的签名(config)#no ip audit signature 2000 disableIPSec VPNISAKMP/IKE阶段1的配置命令建立ISAKMP管理连接策略Router(config))#crypto isakmp policy {1-10000}指定管理连接建立的最后两个数据报文采用何种加密方式Router (config-isakmp)#crypto {des | 3des | aea}HASH命令指定验证过程采用HMAC的功能Router (config-isakmp)#hash {sha|md5}指定设备身份验证的方式Router (config-isakmp)#euthentication {pre-share | rea-encr | rsa-sig}指定DH密匙组,默认使用DH1Router (config-isakmp)#group {1 | 2 | 5}指定管理连接的生存周期,默认为86400s(24小时)(Router config-isakmp)#lifetime seconds查看上述配置#show crypto isakmp policy配置预共享密钥Router(config))#crypto isakmp key {0 | 6} keystrin g address peer-address {subnet_mask}➢0表示密钥为明文,6表示密钥被加密➢Keystring表示密钥的具体内容➢Peer-address表示对端与之共享密钥的对等体设备地址➢Subnet_mask在这里为可选命令,如没有指定,默认使用255.255.255.255作为掩码显示密钥是明文还是密文#Show crypto isakmp key加密预共享密钥Router(config))#key config-key password-encryptNew key: (最少为8为字母)Confirm key:Router(config))#password encryption aes使用show run可以看到加密后的效果ISAKMP/IKE阶段2的配置命令(1) 配置crypto ACL (通常两端对端设备上的crypto ACL互为镜像) Router(config))#access-list access-list-number { deny | permit } protocol source source-wildcard destination destination-wildcard(2) 配置阶段2的传输集Router(config))#crypto ipsec transform-set transform_set_name transform1[transform2 [transform3]Router (cfg-crypto-tran)#mode { tunnel | transport }➢Transform_set_name为传输集的名称,该名称具有唯一性,不能与其他任何传输集相同查看路由器上的传输集,show crypto ipsec transform-set清除连接的生存周期Clear crypto sa 或clear crypto ipsec sa(3) 配置crypto mapRouter(config))# crypto map map_name seq_num ipsec-isakmpMap-name:crypto map的名称Seq_num:crypto map的序列号,其范围是1-65535,数值越小,优先级越高调用crypto ACL的名字或编号Router(config)-crypto-m)# match address ACL_name_or_num指定IPsec的对等体设备,即配置的设备应该与谁建立连接Router(config)-crypto-m)# set peer { hostname | IP_address }指定传输集的名称,这里最多可以列出6个传输集的名称Router(config)-crypto-m)# set transform-set transform_set_name1PFS(perfect forward secrecy)完美转发保密,保证两个阶段中的密钥只能使用一次启用PFS并指定使用哪个DH密钥组(可选命令)Router(config)-crypto-m)# set pfs [ group1 | group2 | group5 ]指定SA的生存周期,默认数据连接的生存周期为3600s或4608000KBRouter(config)-crypto-m)#set security-association lifetime {seconds seconds | kilobytes kilobytes} 设定空闲超时计时器,范围60~86400s (默认关闭)Router(config)-crypto-m)# set security-association idle-time seconds查看管理连接所处的状态show crypto isakmp policyshow crypto isakmp sashow crypto ipsec transform-setshow crypto ipsec security-association lifetimeshow crypto ipsec sashow crypto map在ASA上配置实现IPSec VPN分公司网关ASA1的配置基本配置ASA1(config)#route outside 0 0 100.0.0.2ASA1(config)#nat-controlASA1(config)#nat (inside) 1 0 0ASA1(config)#global (outside) 1 int配置NAT豁免ASA1(config)#access-list nonat extended permit ip 172.16.10.0 255.255.255.0 10.10.33.0 255.255.255.0ASA1(config)#nat (inside) 0 access-list nonat启用ISAKMPASA1(config)#crypto isakmp enable outside配置ISAKMP策略ASA1(config)#crypto isakmp policy 1ASA1(config-isakmp-policy)#encryption aesASA1(config-isakmp-policy)#hash shaASA1(config-isakmp-policy)#authentication pre-shareASA1(config-isakmp-policy)#group 1配置预共享密钥ASA1(config)#isakmp key benet address 200.0.0.1ASA从7.0版本开始一般使用隧道组来配置ASA1(config)#tunnel-group 200.0.0.1 type ipsec-l2lASA1(config)#tunnel-group 200.0.0.1 ipsec-attributesASA1(config-ipsec)#pre-shared-key benet配置crypto ACLASA1(config)#access-list yfvpn extended permit ip 172.16.10.0 255.255.255.0 10.10.33.0 255.255.255.0配置数据连接的传输集ASA1(config)#crypto ipsec transform-set benet-set esp-aes esp-sha-hmac配置crypto map并应用到outside接口上ASA1(config)#crypto map benet-map 1 match address yfvpnASA1(config)#crypto map benet-map 1 set peer 200.0.0.1ASA1(config)#crypto map benet-map 1 set transform-set benet-setASA1(config)#crypto map benet-map interface outside接口安全级别对于IPSec流量的影响流量无法通过具有相同安全级别的两个不同的接口流量无法从同一接口进入后再流出ASA(config)#same-security-traffic permit {intra-interface | inter-interface}路由器实现NAT-TRouter(config)#ip nat inside source list access-list-number interface f0/1 overloadRouter(config)#ip nat inside source static udp local-ip 500 interface f0/1 500Router(config)#ip nat inside source static udp local-ip 4500 interface f0/1 4500管理连接的状态状态说明MM_NO_STATE ISAKMP SA建立的初始状态;管理连接建立失败也会处于该状态。
ciscoASA防火墙配置
ciscoASA防火墙配置思科cisco依靠自身的技术和对网络经济模式的深刻理解,成为了网络应用的成功实践者之一,那么你知道cisco ASA防火墙配置吗?下面是店铺整理的一些关于cisco ASA防火墙配置的相关资料,供你参考。
cisco ASA防火墙配置的方法:常用命令有:nameif、interface、ip address、nat、global、route、static等。
global指定公网地址范围:定义地址池。
Global命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]其中:(if_name):表示外网接口名称,一般为outside。
nat_id:建立的地址池标识(nat要引用)。
ip_address-ip_address:表示一段ip地址范围。
[netmark global_mask]:表示全局ip地址的网络掩码。
nat地址转换命令,将内网的私有ip转换为外网公网ip。
nat命令配置语法:nat (if_name) nat_id local_ip [netmark]其中:(if_name):表示接口名称,一般为inside.nat_id:表示地址池,由global命令定义。
local_ip:表示内网的ip地址。
对于0.0.0.0表示内网所有主机。
[netmark]:表示内网ip地址的子网掩码。
routeroute命令定义静态路由。
语法:route (if_name) 0 0 gateway_ip [metric]其中:(if_name):表示接口名称。
0 0 :表示所有主机Gateway_ip:表示网关路由器的ip地址或下一跳。
[metric]:路由花费。
缺省值是1。
static配置静态IP地址翻译,使内部地址与外部地址一一对应。
语法:static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address其中:internal_if_name表示内部网络接口,安全级别较高,如inside。
ASA防火墙配置
ASA防火墙配置ASA防火墙初始配置1.模式介绍“>”用户模式firewall>enable 由用户模式进入到特权模式password:“#”特权模式firewall#config t 由特权模式进入全局配置模式“(config)#”全局配置模式防火墙的配置只要在全局模式下完成就可以了。
2.接口配置(以5510以及更高型号为例,5505接口是基于VLAN 的):interface Ethernet0/0nameif inside (接口的命名,必须!)security-level 100(接口的安全级别)ip address 10.0.0.10 255.255.255.0no shutinterface Ethernet0/1nameif outsidesecurity-level 0ip address 202.100.1.10 255.255.255.0no shut3.路由配置:默认路由:route outside 0 0 202.100.1.1 (0 0 为0.0.0.0 0.0.0.0)静态路由:route inside 192.168.1.0 255.255.255.0 10.0.0.15505接口配置:interface Ethernet0/0!interface Ethernet0/1switchport access vlan 2interface Vlan1nameif insidesecurity-level 100ip address 192.168.6.1 255.255.255.0!interface Vlan2nameif outsidesecurity-level 0ip address 202.100.1.10ASA防火墙NAT配置内网用户要上网,我们必须对其进行地址转换,将其转换为在公网上可以路由的注册地址,防火墙的nat和global是同时工作的,nat定义了我们要进行转换的地址,而global定义了要被转换为的地址,这些配置都要在全局配置模式下完成,Nat配置:firewall(config)# nat (inside) 1 0 0上面inside代表是要被转换得地址,1要和global 后面的号对应,类似于访问控制列表号,也是从上往下执行,0 0 代表全部匹配(第一个0代表地址,第二个0代表掩码),内部所有地址都回进行转换。
asa防火墙命令
一、基本配置#hostname name //名字的设置#interface gigabitethernet0/0 //进入接口0/0#nameif outside //配置接口名为outside#security-level 0 //设置安全级别。
级别从0--100,级别越高安全级别越高#ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址#no shutdown#interface ethernet0/1 //进入接口0/1#nameif inside //配置接口名为inside#security-level 100 //设置安全级别。
级别从0--100,级别越高安全级别越高#ip address 192.168.10.1 255.255.255.0 //设置ip地址#duplex full //全双工#speed 100 //速率#no shutdown#interface ethernet0/2 //进入接口0/2#nameif dmz //配置接口名为dmz#security-level 50 //设置安全级别。
级别从0--100,级别越高安全级别越高#ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址#no shutdown#interface Management0/0 //进入管理接口# nameif guanli //接口名# security-level 100 //安全级别#ip address 192.168.1.1 255.255.255.0 //IP地址注意:security-level 配置安全级别。
默认外网接口为0/0 安全级别默认为0内网接口为0/1 安全级别默认为100dmz 接口为0/2 安全级别默认为50默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令:#same-security-traffic permit interface //允许相同安全级别接口之间互相通信。
ASA型号及配置命令
ASA复习笔记一、 Cisco防火墙1. 软件防火墙用在基于IOS软件的设备上,一般客户机上具有应用层智能的状态检测防火墙引擎占CPU、内存资源(可以定期升值)2. 硬件防火墙(更有优势)应用在一般企业外部网络:PIX 500系列安全设备、ASA 5500系列自适应安全设备、Catalyst 6500系列交换机和Cisco 7600 系列路由器的防火墙服务模块(不可以定期升值)二、 Cisco ASA1常见型号:2.基本配置配置主机名:ciscoasa>enciscoasa#cinf tciscoasa(config)#hostname asa802域名:asa802(config)#domain-name 特权密码:asa802(config)#enable password 123Telnet或SSH密码:asa802(config)#passwd ciscoASA接口名字和安全级别asa802(config-if)#nameif inside(不起名,ping不通)asa802(config-if)#security-level 100(取值0—100 ,值越大,安全级越高)//默认情况下,outside口安全级别为0,inside口安全级别为100,防火墙允许数据从高安全级别流向低安全级别的接口,但不允许流量从低安全级别流向高安全级别的接口,若要放行,必须做策略,ACL 放行;若接口的安全级别相同,那么它们之间不允许通信,绝对不允许,但有时有这个需要,故意把它们设成一样。
#show interface inside接口地址:asa802(config-if)#ip address 10.0.0.0.1 255.255.255.0asa802(config-if)#no shut查看接口地址:asa802(config)#show ip address(备注:在5505中不支持在物理接口上直接进行配置,必须将将接口加入vlan,进vlan配置,在vlan没no shu时,接口也不可以no shu)配置路由:asa802(config)#route outside(端口名称) 0.0.0.0 0.0.0.0 (目的网段)20.0.0.1(下一跳)可简写asa802(config)#route outside(端口名称)0 0(目的网段) 20.0.0.1(下一跳)asa802#show route 查看路由表3. ASA支持3种主要的远程管理接入方式:Telnet、SSH和ASDM。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ASA防火墙配置命令(v1.0)版本说明目录1. 常用技巧 (3)2. 故障倒换 (3)3. 配置telnet、ssh及http管理 (5)4. vpn常用管理命令 (5)5. 配置访问权限 (6)6. 配置sitetosite之VPN (6)7. webvpn配置(ssl vpn) (7)8. 远程拨入VPN (8)9. 日志服务器配置 (10)10. Snmp网管配置 (11)11. ACS配置 (11)12. AAA配置 (11)13. 升级IOS (12)14. 疑难杂症 (12)1. 常用技巧Sh ru ntp查看与ntp有关的Sh ru crypto 查看与vpn有关的Sh ru | inc crypto 只是关健字过滤而已2. 故障倒换failoverfailover lan unit primaryfailover lan interface testint Ethernet0/3failover link testint Ethernet0/3failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001 failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001 failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001 failover mac address Management0/0 0018.1900.7000 0018.1900.7001 failover interface ip testint 10.3.3.1 255.255.255.0 standby 10.3.3.2 注:最好配置虚拟MAC地址sh failover显示配置信息write standby写入到备用的防火墙中failover命令集如下:configure mode commands/options:interface Configure the IP address and mask to be used for failover and/or stateful update informationinterface-policy Set the policy for failover due to interface failureskey Configure the failover shared secret or keylan Specify the unit as primary or secondary or configure the interface and vlan to be used for failover communication link Configure the interface and vlan to be used as a link for stateful update informationmac Specify the virtual mac address for a physical interface polltime Configure failover poll intervalreplication Enable HTTP (port 80) connection replicationtimeout Specify the failover reconnect timeout value forasymmetrically routed sessionssh failover 命令集如下:history Show failover switching historyinterface Show failover command interface informationstate Show failover internal state informationstatistics Show failover command interface statistics information| Output modifiers<cr>3. 配置telnet、ssh及http管理username jiang password Csmep3VzvPQPCbkx encrypted privilege 15aaa authentication enable console LOCALaaa authentication telnet console LOCALaaa authentication ssh console LOCALaaa authorization command LOCALhttp 192.168.40.0 255.255.255.0 managementssh 192.168.40.0 255.255.255.0 inside4. vpn常用管理命令sh vpn-sessiondb full l2l 显示site to site 之vpn通道情况sh ipsec stats 显示ipsec通道情况sh vpn-sessiondb summary 显示vpn汇总信息sh vpn-sessiondb detail l2l 显示ipsec详细信息sh vpn-sessiondb detail svc 查看ssl client信息sh vpn-sessiondb detail webvpn 查看webvpn信息sh vpn-sessiondb detail full l2l 相当于linux下的ipsec whack –status 如果没有建立连接,则表示ipsec通道还没有建立起来。
5. 配置访问权限可以建立对象组,设定不同的权限,如:object-group network testgroupdescription testnetwork-object 192.168.100.34 255.255.255.255access-list inside_access_in line 2 extended permit ip object-group all any access-group inside_access_in in interface inside6. 配置sitetosite之VPNcrypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmaccrypto map outside_map 20 match address outside_cryptomap_20_1crypto map outside_map 20 set pfscrypto map outside_map 20 set peer 218.16.105.48crypto map outside_map 20 set transform-set ESP-3DES-SHAcrypto map outside_map interface outsideisakmp identity addressisakmp enable outsideisakmp policy 10 authentication pre-shareisakmp policy 10 encryption 3desisakmp policy 10 hash shaisakmp policy 10 group 2isakmp policy 10 lifetime 86400tunnel-group 218.16.105.48 type ipsec-l2ltunnel-group 218.16.105.48 ipsec-attributespre-shared-key *peer-id-validate nochecktunnel-group-map enable rules注:打打PFS并设定以IP地址作为peer名,一个接口只能有一个加密图7. webvpn配置(ssl vpn)webvpnenable outsidecharacter-encoding gb2312csd image disk0:/securedesktop-asa-3.1.1.16.pkgsvc image disk0:/sslclient-win-1.1.0.154.pkg 1svc enablecustomization customization1title text TEST WebVPN systemtitle style background-color:white;color: rgb(51,153,0);border-bottom:5px groove#669999;font-size:larger;vertical-align:middle;text-align:left;font-weight:bold tunnel-group-list enable注:也可通过ASDM图形界面进行配置登录后,可访问内部资源,如下例:(客户端首先要安装Java插件jre-1_5_0-windows-i586.exe,并打开浏览器的ActiveX)1) https:// 输入用户名和密码2) 出现工具条3) 在Enter Web Address内输入192.168.40.8即可访问内部网站4)在browse network输入192.168.40.8即可访问共享文件5)点击application access,即可查看端口转发设置,如使用putty访问本机的2023端口,则即可通过ssh登录192.168.40.88. 远程拨入VPN相关的ASA配置命令如下:access-list inside_access_in extended permit ip object-group remotegroup any access-list inside_access_in extended permit icmp object-group remotegroup any access-list remotevpn_splitTunnelAcl standard permit 192.168.100.0 255.255.255.0access-list vpnclient_splitTunnelAcl standard permit 192.168.100.0 255.255.255.0 ip local pool dialuserIP 192.168.101.1-192.168.101.254 mask 255.255.255.0group-policy remotevpn attributesdns-server value 202.96.128.68 192.168.40.16default-domain value username jiang password Csmep3VzvPQPCbkx encrypted privilege 15crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmaccrypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmaccrypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmaccrypto dynamic-map outside_dyn_map 20 set pfscrypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHAcrypto dynamic-map outside_dyn_map 20 set reverse-routecrypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outsidetunnel-group remotevpn type ipsec-ratunnel-group remotevpn general-attributesaddress-pool dialuserIPdefault-group-policy remotevpntunnel-group remotevpn ipsec-attributespre-shared-key *客户端设置如下:9. 日志服务器配置logging enablelogging timestamplogging emblemlogging trap informationallogging asdm warningslogging host inside 192.168.40.115 format emblemlogging permit-hostdownvpn-simultaneous-logins 310. Snmp网管配置snmp-server host inside 192.168.40.47 community testsnmpsnmp-server location DG-GTESTsnmp-server contact jiangdaoyou:6162snmp-server community testsnmpsnmp-server enable traps snmp authentication linkup linkdown coldstart 注:指定主机后,192.168.40.47才可能进行管理11. ACS配置安装后管理:http://ip:2002 通过ACS可以进行授权、认证等等很多功能因内容太多,暂省略12. AAA配置Aaa服务器配置:aaa-server radius_dg host key dfdfdfdf146**Uauthentication-port 1812accounting-port 1813radius-common-pw dfdfdfdf146**U对于拨入vpn的配置tunnel-group vg_testerp general-attributesaddress-pool ciscovpnuserauthentication-server-group radius_dgdefault-group-policy vg_testerp13. 升级IOScopy tftp://192.168.40.180/asa/asa721-k8.bin disk0:/asa721-k8.binboot system disk0:/asa721-k8.bin (多个Image时使用)14. 疑难杂症1) 在远程子网不能ping通过对方的网关,如在无锡格兰不能ping 192.168.40.251 输入命令:management-access inside (通过ASDM不能设置这一项)2) NAT有时不能快速启作用使用命令:clear xlate即可。