ASA基本配置与实验环境搭建

1、ASA基本配置静态路由：route outside 192.168.100.0 255.255.255.0 192.168.1.99配置允许telnet：telnet 192.168.10.0 255.255.255.0 inside配置telnet超时时间：telnet timeout 5配置本地认证telnet与console：aaa authentication telnet console LOCAL配置SSH生成密钥对：aaa authentication ssh console LOCALciscoasa(config)# crypto key generate rsaINFO: The name for the keys will be: <Default-RSA-Key>Keypair generation process begin. Please wait...ciscoasa(config)#配置允许SSH：ssh 192.168.10.0 255.255.255.0 inside配置允许ASDM管理：http server enablehttp 192.168.10.0 255.255.255.0 insideasdm image disk0:/asdm-602.binusername cisco password cisco privilege 15配置PAT：nat (inside) 1 192.168.10.0 255.255.255.0global (outside) 1 interface配置端口映射：access-list to_server extended permit tcp any host 192.168.1.99 eq wwwaccess-group to_server in interface outsidestatic (inside,outside) tcp interface www 192.168.10.98 www netmask 255.255.255.255配置ACL：access-list to_server extended permit tcp any host 192.168.1.99 eq wwwaccess-group to_server in interface outside配置允许ICMP穿越：policy-map global_policyclass inspection_defaultinspect icmp配置URL过滤：url-server (outside) vendor websense host 192.168.1.100 timeout 30 protocol TCP version 1 connections 5filter url http 192.168.10.0 255.255.255.0 0.0.0.0 0.0.0.0 allow日志管理：开启logging：logging enable开启console日志：logging console 7将日志发送到日志服务器：logging trap 7logging host inside 192.168.10.98配置IPS：ip audit name zxd info action alarmip audit name cisco attack action alarmip audit interface outside zxdip audit interface outside cisco2、VPN配置ASA IPSec L2L配置：access-list nonat extended permit ip 192.168.10.0 255.255.255.0 192.168.100.0 255.255.255.0 nat (inside) 0 access-list nonatcrypto ipsec transform-set cisco esp-des esp-nonecrypto map cisco 10 match address nonatcrypto map cisco 10 set peer 192.168.1.96crypto map cisco 10 set transform-set ciscocrypto map cisco interface outsidecrypto isakmp enable outsidecrypto isakmp policy 1authentication pre-shareencryption deshash shagroup 1tunnel-group 192.168.1.96 type ipsec-l2ltunnel-group 192.168.1.96 ipsec-attributespre-shared-key ciscoASA Remote VPN Server配置：ip local pool vpnpool 192.168.2.250-192.168.2.254group-policy vpntest internalgroup-policy vpntest attributesvpn-tunnel-protocol IPSecusername zhong password xiaodongtunnel-group vpntest type remote-accesstunnel-group vpntest general-attributesaddress-pool vpnpooldefault-group-policy vpntesttunnel-group vpntest ipsec-attributespre-shared-key ciscocrypto ipsec transform-set cisco esp-des esp-md5-hmac crypto dynamic-map vpntest 1 set transform-set cisco crypto dynamic-map vpntest 1 set reverse-route crypto map cisco 1 ipsec-isakmp dynamic vpntest crypto map cisco interface outsidecrypto isakmp enable outsidecrypto isakmp policy 10authentication pre-shareencryption aeshash shagroup 2RADIUS认证用户：aaa-server vpntest protocol radiusaaa-server vpntest (outside) host 192.168.1.100key ciscotunnel-group vpntest general-attributes authentication-server-group (outside) vpntestASA SSL VPN配置ip local pool vpnpool 192.168.2.200-192.168.2.210 username zhong password xiaodongwebvpnenable outsidesvc image disk0:/sslclient-win-1.1.3.173.pkgsvc enabletunnel-group-list enablegroup-policy webvpn internalgroup-policy webvpn attributesvpn-tunnel-protocol svc webvpnwebvpnsvc ask enabletunnel-group webvpn type remote-accesstunnel-group webvpn general-attributesaddress-pool vpnpooldefault-group-policy webvpntunnel-group webvpn webvpn-attributesgroup-alias hnebony enableIOS SSL VPN配置aaa new-modelaaa authentication login vpnauthen localusername zhong password xiaodongip local pool vpnpool 192.168.20.200 192.168.20.254interface loopback 0ip address 192.168.20.1 255.255.255.0exitwebvpn install svc disk0:/webvpn/svc.pkgwebvpn gateway outip address 192.168.1.99inservicewebvpn context vpntestpolicy group vpntestfunctions svc-enabledsvc address-pool vpnpoolsvc split include 192.168.0.0 255.255.0.0exitdefault-group-policy vpntestaaa authentication list vpnauthengateway outinserviceIOS Easy VPN Server配置:aaa new-modelaaa authentication login vpnauthen localaaa authorization network vpnauthor localusername zhong password xiaodongip local pool vpnpool 192.168.20.200 192.168.20.254ip access-list extended splitpermit ip 192.168.0.0 0.0.255.255 192.168.20.0 0.0.0.255 crypto isakmp policy 1authentication pre-sharehash md5group 2crypto isakmp client configuration group vpntestkey ciscopool vpnpoolacl splitcrypto ipsec transform-set cisco esp-aes esp-sha-hmac crypto dynamic-map vpndymap 1set transform-set ciscoreverse-routecrypto map vpntest client authentication list vpnauthen crypto map vpntest client configuration address respond crypto map vpntest isakmp authorization list vpnauthor crypto map vpntest 10 ipsec-isakmp dynamic vpndymap inter f0/0crypto map vpntest使用ACS认证与授权：aaa authentication login vpnauthen group radiusaaa authorization network vpnauthor group radiusradius-server host 192.168.1.100 auth-port 1645 acct-port 1646 key ciscoRADIUS (IETF)选中6、64、65、69、81.建立用户：vpntest（vpn组路由器配置crypto isakmp client configuration group vpntest可以取消）然后建立用户IOS Easy VPN Client配置:crypto ipsec client ezvpn vpntestmode clientconnect autopeer 192.168.10.1group vpntest key ciscousername zhong password xiaodonginterface f0/0crypto ipsec client ezvpn vpntestinterface f1/0crypto ipsec client ezvpn vpntest inside R1#crypto ipsec client ezvpn xauthUsername: zhongPassword:3、802.1X认证aaa new-modelaaa authentication dot1x default group radius aaa authorization network default group radius radius-server host 192.168.1.100 key cisco dot1x system-auth-controlinterface f0/1dot1x port-control auto指定VLAN：4、RSTPAlternate port—Offers an alternate path toward the root switch to that provided by the current root port.Backup port—Acts as a backup for the path provided by a designated port toward the leaves of the spanning tree. A backup port can exist only when two ports are connected in a loopback by a point-to-point link or when a switch has two or more connections to a shared LAN segment.Edge ports—If you configure a port as an edge port on an RSTP switch by using the spanning-tree portfast interface configuration command, the edge port immediately transitions to the forwarding state. An edge port is the same as a Port Fast-enabled port, and you should enable it only on ports that connect to a single end station.Root ports—If the RSTP selects a new root port, it blocks the old root port and immediately transitions the new root port to the forwarding state.Point-to-point links—If you connect a port to another port through a point-to-point link and the local port becomes a designated port, it negotiates a rapid transition with the other port by using the proposal-agreement handshake to ensure a loop-free topology. As shown in Figure 18-4, Switch A is connected to Switch B through a point-to-point link, and all of the ports are in the blocking state. Assume that the priority of Switch A is a smaller numerical value than the priority of Switch B. Switch A sends a proposal message (a configuration BPDU with the proposal flag set) to Switch B, proposing itself as the designated switch. After receiving theproposal message, Switch B selects as its new root port the port from which the proposalmessage was received, forces all nonedge ports to the blocking state, and sends an agreement message (a BPDU with the agreement flag set) through its new root port. After receiving Switch B’s agreement message, Switch A also immediately transitions its designated port to the forwarding state. No loops in the network are formed because Switch B blocked all of its nonedge ports and because there is a point-to-point link between Switches A and B. When Switch C is connected to Switch B, a similar set of handshaking messages are exchanged.Switch C selects the port connected to Switch B as its root port, and both ends immediately transition to the forwarding state. With each iteration of this handshaking process, one more switch joins the active topology. As the network converges, this proposal-agreement handshaking progresses from the root toward the leaves of the spanning tree. The switch learns the link type from the port duplex mode: a full-duplex port is considered to have a point-to-point connection; a half-duplex port is considered to have a shared connection. You can override the default setting that is controlled by the duplex setting by using the spanning-tree link-type interface configuration command.5、时间访问列表time-range zxdabsolute start 08:30 24 August 2009 end 18:00 01 September 2009time-range ciscoperiodic daily 8:00 to 18:00access-list 110 permit ip any any time-range cisco6、QOSCAR：rate-limit input access-group 101 1000000 3000 4000 conform-action transmit exceed-action dropGTS：class-map match-all ciscomatch access-group 101!!policy-map ciscoclass ciscopolice cir 500000 bc 10000 pir 1000000 be 10000conform-action transmitexceed-action set-prec-transmit 2violate-action dropinterface f1/0service-policy output ciscoCBWFQ:class-map match-all cbwfqmatch access-group 101policy-map cbwfqclass cbwfqpriority percent 60interface f1/0service-policy output cbwfq7、NA T-T8、标准化产品特色：1定位准确，以就业为导向。

印象网络--工作室群号：300309792实验名称： 配置ASA（三个区域） 实验人：lun0yellow（ylxl） 实验目的： Inside、outside、dmz：R1、R2和R3用来模拟PC：实验拓扑：实验环境： GNS3实验器材： GNS3实验步骤：//配置路由器和ASA的接口、路由、实现网络互通：ciscoasa(config)# int e0/1ciscoasa(config-if)# nameif insideINFO: Security level for "inside" set to 100 by default.ciscoasa(config-if)# ip add 10.1.1.254 255.255.255.0ciscoasa(config-if)# no shciscoasa(config-if)# int e0/0ciscoasa(config-if)# nameif outsideINFO: Security level for "outside" set to 0 by default.ciscoasa(config-if)# ip add 172.16.1.254 255.255.255.0ciscoasa(config-if)# no shciscoasa(config-if)# int e0/2ciscoasa(config-if)# nameif dmzINFO: Security level for "dmz" set to 0 by default.ciscoasa(config-if)# security-level 50ciscoasa(config-if)# ip add 192.168.1.254 255.255.255.0ciscoasa(config-if)# no shciscoasa(config-if)# exitciscoasa(config)# route outside 172.16.2.0 255.255.255.0 172.16.1.1//在R1、R2、R3、R4上配置：R1(config)#int f0/0R1(config-if)#ip add 10.1.1.1 255.255.255.0R1(config-if)#no shR1(config-if)#exitR1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.254R1(config)#do wrR2(config)#int f0/0R2(config-if)#ip add 172.16.1.1 255.255.255.0R2(config-if)#no shR2(config-if)#int f0/1R2(config-if)#int f0/1R2(config-if)#ip add 172.16.2.2 255.255.255.0R2(config-if)#no shR2(config-if)#exitR2(config)#ip route 10.1.1.0 255.255.255.0 172.16.1.254R2(config)#ip route 192.168.1.0 255.255.255.0 172.16.1.254 R2(config)#do wrR3(config)#int f0/0R3(config-if)#ip add 172.16.2.1 255.255.255.0R3(config-if)#no shR3(config-if)#exitR3(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.2R3(config)#do wrR4(config)#int f0/0R4(config-if)#ip add 192.168.1.1 255.255.255.0R4(config-if)#no shR4(config-if)#exitR4(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254R4(config)#do wr//配置R1/R2/R3/R4的vty密码。

第二章ASA防火墙实验案例一ASA防火墙基本配置一、实验目的：熟悉ASA基本配置二、实验环境和需求在WEB上建立站点.，在Out上建立站点，并配置DNS服务，负责解析(202.0.0.253/29)和（IP为202.2.2.1）,PC1的DNS 指向200.2.2.1只能从PC1通过SSH访问ASA从PC1可以访问outside和dmz区的网站，从Out主机可以访问DMZ区的Web站点从PC1可以ping通Out主三、实验拓扑图四、配置步骤（一）路由器配置int f1/0ip add 200.0.0.1 255.255.255.252no shint f0/0ip add 200.2.2.254 255.255.255.0no shexitip route 0.0.0.0 0.0.0.0 200.0.0.2end(二) ASA基本属性配置1、接口配置Interface E 0/0Ip address 192.168.0.254 255.255.255.0Nameif inside //设置内接口名字Security-level 100 //设置内接口安全级别No shutdownInterface E 0/1Ip add 192.168.1.254 255.255.255.0Nameif dmz //设置接口为DMZSecurity-level 50 //设置DMZ接口的安全级别No shutdownInterface E 0/2Ip address 200.0.0.2 255.255.255.252Nameif outside //设置外接口名字Security-level 0 //设置外接口安全级别No shutdown2、ASA路由配置：静态路由方式(config)#Route outside 0.0.0.0 0.0.0.0 200.0.0.13、从PC1上可以PING通OUT主机默认情况下不允许ICMP流量穿过，从内Ping外网是不通的，因为ICMP应答的报文返回时不能穿越防火墙，可以配置允许几种报文通过，(Config)# Access-list 111 permit icmp any any(config)# Access-group 111 in interface outside此时在PC1上就可台PING通OUT主机了。

ASA FirePOWER防火墙基本配置指南目录1．目的 (1)2．系统策略 (1)3．健康监控策略 (4)4．对象管理 (6)5．网络主机发现策略 (8)6．访问控制策略 (10)7．基本IPS策略 (16)8．联动策略 (20)9．用户帐号管理 (22)1．目的在进行下面实验步骤前，先确认已经完成了ASA FirePOWER模块和Defense Center的安装，并将FirePOWER模块成功地添加到Defense Center的管理设备中。

本文档介绍了ASA FirePOWER防火墙的基本配置，以及如何验证配置是否生效。

2．系统策略本实验描述了如何通过创建系统策略（System Policy），并将其应用给Defense Center和FirePOWER模块。

通过以下配置步骤，将二者的时间保持同步，如果时间不同步，可能会造成日志无法显示，或显示不正常的问题。

2.1.修改时区Time Zone步骤1：在GUI管理界面，进入Admin > User Preferences，选择Time Zone Preference标签。

步骤2：将显示时区设置为Asia/Shanghai（如下图），然后点击Save：步骤3：修改FSMC的时间为本地的时间，通过SSH登陆到FSMC的CLI界面，通过命令date修改FSMC的时间。

假定当前时间为2015年11月17日21时04分，由于在FSMC上采用的是UTC时间，而Asia/Shanghai所在时区为UTC+8，那么在FSMC的时间应该是当前时间减去8小时，即UTC时间为2015年11月17日13时04分。

配置命令如下：admin@Sourcefire3D:~$ sudo date -s "20151117 13:04:30"Password: <此处输入admin账号的密码>最后输入命令date，验证时间已经修改成功：admin@Sourcefire3D:~$ dateTue Nov 17 13:04:31 UTC 2015注意：在实际环境中，如果配置了NTP服务器，可以跳过本步骤的设置。

基本思路如图所示1、配置DNS外网那个服务器注意网关是为了实验方便，实际不会设置防火墙outside口的IP地址的2、DMZ区的web服务器IP地址192.168.202.2 网关为192.168.202.13、inside 区则放了一台PC机，pc机的IP：192.168.201.2网关为192.168.201.1DNS就用拓扑图中的DNS地址4、首先要将防火墙的主机名域名路由配置好这样才可以PC机ping通192.168.201.1通过三个配置你会发现DNS PC DMZ去ping自己所在的网关都是通的但是如果想pc 想pingDmz会发现无法ping通的这个是时候要做一个ACL 让他们两两ping通其中111是一个扩展访问ACL 但因为后面接了一个permit 所以不写extend也可以这个时候你用netstat -an 你会发现在outside的DNS 可以看到内网的IP 这个就不符合要求了。

也就是防火墙现在单单是一个路由器的功能所以这个时候要做的是1、将DNS服务器的网关去掉因为实际就这样不可能配置好网关的。

2、为内网的出站做一个网络地址转换----NAT 做一个PAT 其中命令中的1表示一个标记这个时候你会发现PC机又可以重新ping通外网了。

用netstat –an 可以看到地址已转换3、新问题：这时你会发现内网访问DMZ区不行也就是说如果要访问DMZ区要做一个针对DMZ区的地址转换这个时候你去DMZ区用netstat –an 可以看到地址已转换。

3、以上就是NAT的DMZ与outside的做好了要求：外网的DNS 可以访问到内网的DMZ区:这个时候做一个静态NAT 将DMZ区的服务器发布出去这个时候要考虑与前面的111extended想对应这个时候最好show run 看看。

做一个远程管理接入：开启telnet ssh 等SSH这里弄了一个钥匙对。

实验（一）：实验拓扑图：实验要求：1.按照拓扑图信息分别给路由器命名和配置IP地址；2.按照拓扑图中的信息给防火墙的接口命名和配置IP地址，inside安全级别为100，outside接口的安全级别为0；3.在防火墙上做连通性测试：在防火墙上分别ping 10.1.1.1和30.1.1.1；4.Inside-R1上配置一条静态路由，目的为30.1.1.0/24，下一跳为10.1.1.254；5.Outside-R3上配置一条静态路由，目的为10.1.1.0/24，下一跳为30.1.1.254；6.在防火墙上开启ICMP监控，使得Inside-R1去ping 30.1.1.1可以正常的ping通。

7.在Inside-R1上进行ping的测试。

配置步骤：1.给路由器命名和配置接口IP地址R1#configure terminalR1(config)#hostname Inside-R1Inside-R1(config)#interface f0/0Inside-R1(config-if)#ip address 10.1.1.1 255.255.255.0Inside-R1(config-if)#no shutdownR3#configure terminalR3(config)#hostname Outside-R3Outside-R1(config)#interface f0/0Outside-R1 (config-if)#ip address 30.1.1.1 255.255.255.0Outside-R1 (config-if)#no shutdown2.给防火墙命名和配置接口名称以及IP地址：ciscoasa(config)# hostname ASA-1ASA-1(config)# interface e0/0ASA-1(config-if)# nameif inside ---------------------- 给接口命名ASA-1(config-if)# security-level 100 ------------------ 给接口配置安全等级ASA-1(config-if)# ip address 10.1.1.254 255.255.255.0ASA-1(config-if)# no shutdownASA-1(config)# interface e0/2ASA-1(config-if)# nameif outside ---------------------- 给接口命名ASA-1(config-if)# security-level 0 -------------------- 给接口配置安全等级ASA-1(config-if)# ip address 30.1.1.254 255.255.255.0ASA-1(config-if)# no shutdown3.在ASA-1上做连通性测试：ASA-1# ping 10.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5)ASA-1# ping 30.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 30.1.1.1, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5)4.在Inside-R1上配置去往30.1.1.0/24网段的静态路由：Inside-R1(config)#ip route 30.1.1.0 255.255.255.0 10.1.1.2545.在Outside-R3上配置去往10.1.1.0/24网段的静态路由：Outside-R3(config)#ip route 10.1.1.0 255.255.255.0 30.1.1.2546.在防火墙的全局策略里面添加ICMP的监控策略：ASA-1(config)# policy-map global_policyASA-1(config-pmap)# class inspection_defaultASA-1(config-pmap-c)# inspect icmp7.在Inside-R1上进行测试：Inside-R1#ping 30.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 30.1.1.1, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5)。

实验1：ASA的基本设置
1．实验目的：
1. 掌握手工对ASA防火墙进行初始配置的步骤和方法
2．实验要点：
1. 通过运行vmware中，利用超级终端软件对ASA防火墙进行手工初始配置。

3．实验设备：
1. vmware工具
2. 虚拟ASA防火墙一台
4．实验环境
5．实验步骤：
1启动vmware中的ASA1.4。

2启动piped。

3启动putty。

连接成功后显示如下界面
在这里面输入yes后然后回车。

接下来要配置日期时间，IP地址，子网掩码。

Host name处填写你自己的学号，比如你的学号为123456789001,就填写123456789001。

Domain name处随意填写即可
注意最下面的要输入yes后，单击回车键
当前进入的是用户模式
进入特权模式
进入全局配置模式
命令输入
练习35页2.3.1 命令输入的内容
最后修改防火墙的名称，命令为：
Ciscoasa（config）#hostname 123456789001（此处填写你自己的学号，比如你的学号为123456789001,就填写123456789001。

）如下图
将这个界面截图填入到实验报告中。

一、网络拓扑二、实验环境ASA防火墙eth0接口定义为outside区,Security-Level:0,接RouterF0/0；ASA防火墙eth1接口定义为insdie区,Security-Level:100,接Switch的上联口；ASA防火墙Eth2接口定义为DMZ 区,Security-Level:60,接MailServer;三、实验目的Server能够ping通Router的F0/0；outside能够访问insdie区的WebServer的http端口80和dmz区的MailServer的pop3端口110、smtp端口25.四、详细配置步骤1、端口配置CiscoASAconfiginterfaceethernet0CiscoASAconfignameifousideCiscoASAconfig-ifsecurity-level0CiscoASAconfig-ifipaddressCiscoASAconfig-ifnoshutCiscoASAconfiginterfaceethernet1CiscoASAconfignameifinsideCiscoASAconfig-ifsecurity-level100CiscoASAconfig-ifipaddressCiscoASAconfig-ifnoshutCiscoASAconfiginterfaceethernet2CiscoASAconfignameifdmzCiscoASAconfig-ifsecurity-level50CiscoASAconfig-ifCiscoASAconfig-ifnoshut2、路由配置CiscoASAconfigrouteoutside1默认路由CiscoASAconfigrouteinside1外网访问内网服务器的路由3、定义高安全接口区域需要进行地址转换的IP范围CiscoASAconfignatinside100CiscoASAconfignatdmz1004、定义低安全接口区域用于高安全接口区域进行IP转换的地址范围CiscoASAconfigglobaloutside1interfaceCiscoASAconfigglobaldmz1interface5、定义静态IP映射也称一对一映射CiscoASAconfigstaticinside,outsidetcpnetmaskCiscoASAconfigstaticdmz,outsidetcppop3pop3netmask2:110CiscoASAconfigstaticdmz,outsidetcpsmtpsmtpnetmask6、定义access-listCiscoASAconfigaccess-list101extendedpermitipanyanyCiscoASAconfigaccess-list101extendedpermiticmpanyanyCiscoASAconfigaccess-list102extendedpermittcpanyhosteqCiscoASAconfigaccess-list102extendedpermiticmpanyanyCiscoASAconfigaccess-list103extendedpermittcpanyhosteqpop3CiscoASAconfigaccess-list103extendedpermittcpanyhosteqsmtp7、在接口上应用access-listCiscoASAconfigaccess-group101ininterfaceoutsideCiscoASAconfigaccess-group102ininterfaceinsideCiscoASAconfigaccess-group103ininterfacedmz五、实验总结1、当流量从高权限区域流向低权限区域时1、只要路由配通了,无须配置nat/global,也无须配置access-list,就可以直接telnet低权限区域主机;2、只要路由配通了,同时配置了access-list,无须配置nat/global,就可以直接ping通低权限区域主机；3、只要路由配通了,同时配置了nat/global/access-list,此时telnet/ping均会执行地址转换2、当流量从低权限区域流向高权限区域时1、即使路由已经配通了,也不能成功访问；2、路由已经配通了,同时必须正确配置了staticIP地址映射及access-list,才能成功访问；3、调通路由是基础,同时只跟static/access-list有关,而跟nat/global毫无关系;。

ASA命令介绍:一、基本配置1、显示ASA版本信息ciscoasa# show version2、配置主机名ciscoasa(config)# hostname asa8023、配置域名asa802(config)# domain-name 4、配置密码a、配置特权密码asa802(config)# enable password asa802b、配置远程登陆(telnet、SSH）密码asa802(config)# passwd cisco5、配置接口a、配置接口IP地址asa802(config-if)# ip address 192.168.1.1 255.255.255.0b、配置接口名字asa802(config-if)# nameif namec、配置接口安级级别asa802(config-if)# security-level number6、查看接口信息asa802(config-if)# show run interface(不必要在特权下)7、查看IP信息asa802(config-if)# show ip address(show ip)8、配置静态路由asa802(config)# route interface-name network mask next-hop-address 9、查看路由表asa802# show route10、配置远程管理接入a、配置Telnet接入----明文传输asa802(config)# telnet {network|ip-address} mask interface-name 注：ASA不允许telnet流量从安全级别为0的接口进入b、配置SSH(安全的telnet加密传输)接入(3个步骤)步骤1：配置主机名和域名步骤2：生成RSA密钥对(公钥和私钥)asa802(config)# crypto key generate rsa modulus 1024步骤3：配置防火墙允许SSH接入asa802(config)# ssh 192.168.0.0 255.255.255.0 insideasa802(config)# ssh 0 0 outside配置空闲超时时间与版本(可选)asa802(config)# ssh timeout 30asa802(config)# ssh version 2c、配置ASDM(ASA安全设备管理器)接入asa802(config)# http server enableasa802(config)# http 192.168.0.0 255.255.255.0 insideasa802(config)# asdm image disk0:/asdm-602.binasa802(config)# username benet password cisco privilege 1511、配置网络地址转换(NAT)a、配置PAT(2个步骤）---把多个私网地址转换成1个公网地址,多对少的转换步骤1：定义什么流量需要被转换asa802(config)# nat （interface_name） nat-id local-ip mask 步骤2:定义全局地址池(也可转到外部接口)asa802(config)# global （interface_name） nat-id {global-ip [-global-ip] |interface}b、配置Staticasa802(config)# static (real_interface,mapped_interface) mapped_ip real_ip注:从低到高需要通过ACL放行相应的流量c、查看NAT的转换条目asa802(config)#show xlate12、配置ACLa、标准ACLasa802(config)#access-list acl_name standard {permit | deny}ip_addr maskb、扩展ACLasa802(config)# access-list acl_name extended {permit | deny}protocol src_ip_addr src_mask dst_ip_addr dst_mask [operator port]c、将ACL应用到接口asa802(config)# access-group acl_name {in | out} interface interface_name12、清空当前ASA相关协议配置asa802(config)#clear config route|static|nat|global13、清空当前ASA所有配置asa802(config)#clear config all--------------------------------------------------------二、ASA的高级应用1、配置URL(统一资源定位符）过滤(4个步骤)步骤1：定义Regex(正则表达式)-定义URL匹配的字符串asa802(config)# regex url1 "\.sohu\.com"---""步骤2：创建class-map(类映射)-识别传输流量，分类流量asa802(config)# access-list tcp_filter permit tcp 192.168.10.0255.255.255.0 any eq wwwasa802(config)# class-map tcp_filter_classasa 802(config-cmap)# match access-list tcp_filter-------------------------------------------------------------------------------------------------asa802(config)# class-map type inspect http http_class--------把字符串划分类asa802(config-cmap)# match request header host regex url1 步骤3：创建policy-map(策略映射)-针对不同的类执行不同的操作 asa802(config)# policy-map type inspect http http_url_policy-----带http 检测类型的策略映射asa802(config-pmap)# class http_classasa802(config-pmap-c)# drop-connection log ---同时产生日志信息-----------------------------------------------------------------------------------------------------asa802(config)# policy-map inside_http_url_policy ---标准的策略映射asa802(config-pmap)# class tcp_filter_classasa802(config-pmap-c)# inspect http http_url_policy步骤4：应用policy-map应用接口上asa802(config)# service-policy inside_http_url_policy interface inside2、配置日志管理服务器(三种方式）第一种：本地Buffer保存日志asa802(config)# logging enableasa802(config)# logging buffered informational 第二种：配置ASDM日志asa802(config)# logging enableasa802(config)# logging asdm informational 第三种：配置日志服务器asa802(config)# logging enableasa802(config)# logging trap informationalasa802(config)# logging host inside 192.168.10.13、配置ASA安全特性a、基本威胁检测asa802(config)# threat-detection basic-threatb、防范IP分攻击asa802(config)# fragment chain 1c、启用IDS(入侵检测系统)功能(可选)。

ASA_8.3基本配置1.ASDM图形界面基本配置步骤：1）在asa上面开启hhtps服务，命令如下：ciscoasa(config)# http server enable（开启http服务）ciscoasa(config)# http 10.10.0.0 255.255.0.0 inside（指定可网管的地址，必须配置，不然无法网管）ciscoasa(config)# aaa authentication http console LOCAL(为asdm网管启用AAA认证，LOCAL为内建的AAA服务器的名字，采用本地认证，名字区分大小写；console只是一个关键字不是console口) 2）给asa配置管理地址，命令如下：ciscoasa(config)# interface e 0/1ciscoasa(config-if)# nameif insideciscoasa(config-if)# ip add 10.10.10.10 255.255.255.0ciscoasa(config-if)# no shutdown3）配置管理asa的用户名密码，命令如下：ciscoasa(config)#username admin password admin privilege 15 4）使用火狐浏览器在地址栏输入asa的管理地址，如下：https://10.10.10.10根据提示安装java，进入asdm管理界面。

注意：java安装完后，重新输入上面地址，运行asdm可能会提示java安全阻止该程序运行的问题。

解决办法是到java安全设置里面把上述地址加入可信任站点里面。

步骤：控制面板→程序→java→安全→编辑站点列表→输入https://10.10.10.10→添加。

2.ASA初始化配置1）配置SSH远程登录命令：ciscoasa(config)#crypto key generate rsa modulus 1024 //指定rsa系数的大小,这个值越大,产生rsa的时间越长,cisco推荐使用1024.ciscoasa(config)#write mem //保存刚刚产生的密钥ciscoasa(config)#ssh 0.0.0.0 0.0.0.0 outside //0.0.0.0 0.0.0.0 表示任何外部主机都能通过SSH访问outside接口ciscoasa(config)username admin password admin privilege 15 //为SSH登录配置账密ciscoasa(config)#aaa authentication ssh console LOCAL //为ssh登录启用aaa认证采用本地数据库认证2）给接口命名并指定ip地址和安全级别说明：①安全级别相同接口之间的流量默认不通，可配置放行，命令如下：ciscoasa(config)# same-security-traffic permit inter-interface（放行安全级别相同接口之间的流量）ciscoasa(config)# same-security-traffic permit intra-interface （放行从一个接口先进然后又从同一个接口出的流量）②从安全级别高的到低的流量为outbound流量，默认放行；从低安全级别到高安全级别的流量为inbound流量，默认阻塞。

Cisco ASA硬件防火墙实验【实验目的】ASA防火墙的基本配置和高级的URL过滤等【实验拓扑】【实验步骤】一、Cisco ASA防火墙的基本配置:1、配置主机名、域名、密码EnableConf tHostname ASA5520 配置主机名为ASA5520Domaln-name 配置域名为Enable password ASA5520 配置特权密码Password cisco 配置远程登录密码2、配置接口Conf tInterface e0/0Nameif inside 配置接口的名字为insideSecurity-level 100 配置接口的安全级别为100Ip address 192.168.0.1 255.255.255.0 配置接口IP地址No shutdown 开启端口ExitInterface e0/1Nameif outside 配置接口的名字为outsideSecurity-level 0 配置接口的安全级别为0Ip address 202.140.11.2 255.255.255.0 配置接口IP地址No shutdown 开启端口ExitInterface e0/0Nameif DMZ 配置接口的名字为DMZSecurity-level 50 配置接口的安全级别为50Ip address 192.168.1.1 255.255.255.0 配置接口IP地址No shutdown 开启端口Exit3、配置路由Conf tRoute outside 0.0.0.0 0.0.0.0 202.140.11.1 配置缺省路由是任意到达出口的地址的下一条是202.140.11.1(因为防火墙有可能不是直接W AN所以要设置默认路由)4、配置远程管理接入配置telnet接入Conf ttelnet 192.168.0.0 255.255.255.0 inside 配置telnet管理接入地址为inside的192.168.0.0/24这个网段的地址telnet 192.168.0.3 255.255.255.255 inside 也可以配置只允许一台主机的接入telnet timeout 30 配置telnet超时为30分钟配置ssh接入Conf tCrypto key generate rsa modulus 1024 生成RSA密钥对Ssh 192.168.0.0 255.255.255.0 inside 配置ssh接入地址为inside的192.168.0.0/24这个网段的地址Ssh 0 0 outside 配置ssh接入地址为outside的任意网段的地址Ssh timeout 30 配置超时为30分钟Ssh version 2 配置版本号为2配置ASDM(自适应安全设备管理器)接入Conf tHttp server enable 65123 打开防火墙HTTPS服务功能http 0 0 outside 配置防火墙允许HTTPS接入的地址为任意asdm image disk0:/asdmfile 指定ASDM映像位置username zhangsan password zhangsan privilege 15 配置客户端登录使用的用户名和密码为zhangsan特权为最高的15级5、为出站流量配置网络地址转换Conf tNat control 启用NAT功能Nat (inside) 1 0 0 指定需要被转换的地址为全内网Global (outside) 1 interface 定义一个全局地址池Global (dmz) 1 192.168.1.100-192.168.1.110 定义一个到达dmz的地址池6、配置ACLConf tAccess-list test1 standard permit 192.168.0.0 255.255.255.0 配置允许192.168.0.0/24这个网段的地址Access-list test2 extended permit tcp any any eq www 配置允许任意的地址访问任意网站Access-group test1 in interface dmz 把test1应用到接口上7、过滤URL配置例子：IP地址范围在192.168.0.2-192.168.0.15中的主机只能访问，不能访问其它任何网站。

印象网络--工作室群号：300309792实验名称： ASA防火墙应用技术：配置PAT 实验人：lun0yellow（ylxl） 实验目的： （重点 ：静态、动态PAT，远程SSH）实验拓扑：实验环境： Windows 7（64）+GNs3+VM虚拟机实验器材： GNS3+VM虚拟机实验步骤：//配置IPS的接口，注意，IPS接口不要配置指向内网（局域网）的静态路由。

ISP(config)#int f0/0ISP(config-if)#ip add 202.106.20.1 255.255.255.248ISP(config-if)#no shISP(config-if)#int fISP(config-if)#int f0/1ISP(config-if)#ip add 150.149.30.1 255.255.255.0ISP(config-if)#no shISP(config-if)#exitISP(config)#enable secret isp //特权模式密码ISP(config)#line vty 0 4ISP(config-line)#password isp //telnet密码ISP(config-line)#loginISP(config-line)#do wr阶段一：配置ASA1防火墙的接口名称和地址ciscoasa# conf tciscoasa(config)# hostname ASA1ASA1(config)# int e0/0ASA1(config-if)# nameif insideINFO: Security level for "inside" set to 100 by default.ASA1(config-if)# ip add 192.168.1.1 255.255.255.0ASA1(config-if)# no shASA1(config-if)# int e0/1ASA1(config-if)# nameif outsideINFO: Security level for "outside" set to 0 by default.ASA1(config-if)# ip add 202.106.20.2 255.255.255.248ASA1(config-if)# no shASA1(config-if)# int e0/2ASA1(config-if)# nameif dmzINFO: Security level for "dmz" set to 0 by default.ASA1(config-if)# sec 50ASA1(config-if)# ip add 192.168.2.1 255.255.255.0ASA1(config-if)# no sh阶段二：为边界防火墙配置到外网的默认路由ASA1(config-if)# exitASA1(config)# route outside 0 0 202.106.20.1阶段三：配置NAT//启用NAT控制，NAT规则是必须的，如果不匹配任何NAT规则，则流量不允许通过ASA1(config)# nat-controlASA1(config)# nat (inside) 1 192.168.1.0 255.255.255.0//配置动态PAT，提供内网接入互联网。

使用QEMU与VMware虚拟机进行ASA防火墙实验环境配置路由器是用来实现数据包的正确转发——路由功能；防火墙是基于网络的安全防御设计的。

通俗来讲，路由器关注如何实现“通”，而防火墙关注如何保证所有正常流量与合法流量“通”的前提，所有非法的不安全的流量“不通”。

很多人说路由器可以通过ACL等配置实现很多防火墙的功能，但是他们忽略了重要的问题，路由器是三层设备，只是基于ACL的简单包过滤，防火墙则是四层设备（很多防火墙都具有应用层的功能，实现基于内容的过滤）。

在源和目的端互相访问的过程中，路由器只是一个“过客”；而防火墙无论与源或目的都建立了端到端的通信，也就是说，外网的主机如果希望访问内网的资源，必须先与防火墙建立连接，在此过程中防火墙可以对连接建立实施监测，充分保障内网的安全，而路由器很难做到这一点。

2005年以后CISCO公司更是将旗下著名的防火墙PIX系列升级到ASA，同样在企业应用中具有安全防护的中坚作用。

CiscoASA防火墙优势：对于VPN的全面兼容Anti-X服务入侵防御专业的监控管理但这些硬件设备价格都不低，如果有与cisco的路由器模拟器dynamips类似的产品该多好，许多大牛早都为我们考虑好了。

现在ASA防火墙我们可以通过qemu来模拟，只是在通过ASDM管理起来更加麻烦，但有时ASDM管理起来又比命令行方便很多。

我已经将必要的软件打包，放到下列位置：/d/3395dd7d03c7d126846ad872fb71afac5458a0e400f81b06下面我们了解如何进行对防火墙做初始配置，通过各种管理方式来管理该设备。

步骤一：解压缩ISO镜像，进入tools文件夹目录安装winpcap_4_0.exe.步骤二：将asa的网络接口与真机的网卡进行桥接。

进入获信取网卡参数文件夹目录，运行xp_获取gen-eth.bat获取网卡参数信息，如下息：图中红色圈起的是绿线网卡的参数信息，拷贝网卡参数如: \Device\NPF_{7B5FEBF0-5347-4272-A8E9-1A7095D5DC43}，然后进入asa模拟器目录中修改asa_PCAP.bat文件，更改对应的网卡信息：这样防火墙的e0/0接口与ms loopback adapter2网卡桥接，e0/1接口与ms loopback adapter网卡桥接，e0/2接口与计算机的8169网卡桥接。

Ubuntu搭建ASA模拟器环境一、安装vmware for linux虚拟机到官网下载.bundle文件，chmod –x vmware.bundle加权限，然后直接./vmware.bundle执行安装，安装过程几乎和XP上一样二、安装VMwareASA。

下载ASA：/file/t47ddff3ea，解压。

点击vmware 按钮：通过指向下载的ASA硬盘镜像创建虚拟机ASA。

三、配置Vmware的Serial Port在XP环境下，指定Serial Port的格式为//./pipe/name，而在linux 下，格式为/tmp/name，这里我们指定为/tmp/ASA在XP环境下，可以使用Named Pipe软件来将Serial Port的数据重定向到TCP的某个端口。

但在linux下，需要使用socat工具来完成相同的工作。

安装socat：apt-get install socat重定向到4444端口：root@2008pj:~/socat /tmp/ASAtcp-listen:4444 &四、Ubuntu上添加环回口（可以参考本站《Ubuntu使用小记》）root@2008pj:~# apt-get install uml-utilitiesroot@2008pj:~# modprobe tunroot@2008pj:~#tunctl //创建第1个名称为tap0的环回口root@2008pj:~#ifconfig tap0 1.0.0.254 netmask255.255.255.0 up //对网卡tap0进行配置五、Wmware桥接到tap0首先让vmnet0桥接到Ubuntu tap0：Vmware Edite–>Virtual Network Editor，按下图配置：然后，将ASA的网卡桥接到vmnet0：点击ASA—>Edit virturl maching settings,按下图配置。

ASA实验环境搭建1、准备防火墙（虚拟机），导入
2、调整其硬件配置
1）更改网卡的网络及MAC地址
2）添加串行端口
在命名管道程序（nptp）中 创建一个新的命名管道
3、验收设备
4、配合GNS3搭建如下实验环境
5、设备优化
ASA1#enable 特权模式
ASA1#configure terminal 全局配置模式
ASA1(config)#no ip domain lookup 禁用域名解析（可以防止命令输错，造成长时间等待）ASA1(config)#line console 0 控制台模式
ASA1(config-line)#logging synchronous 消息同步（防止弹出的消息，打断输入的命令）ASA1(config-line)#exec-timeout 0 0 使控制台永远不超时
ASA1(config-line)#exit 退出
ASA1(config)# username xinhua password 1234 privilege 15 新建账户
ASA1# write 保存配置
ASA1(config)# erase flash: 清空配置。