您的位置:360文档中心› CISCO ASA防火墙 ASDM 安装和配置

CISCO ASA防火墙 ASDM 安装和配置

合集下载

CISCO ASA防火墙ASDM安装和配置

CISCO ASA防火墙ASDM安装和配置

CISCO ASA防火墙ASDM安装和配置准备工作:准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口,通过开始——>程序——> 附件——>通讯——>超级终端输入一个连接名,比如“ASA”,单击确定。

选择连接时使用的COM口,单击确定。

点击还原为默认值。

点击确定以后就可能用串口来配置防火墙了。

在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。

在串口下输入以下命令:ciscoasa>ciscoasa> enPassword:ciscoasa# conf t 进入全局模式ciscoasa(config)# webvpn 进入WEBVPN模式ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字ciscoasa(config-if)# no shutdown 激活接口ciscoasa(config)#q 退出管理接口ciscoasa(config)# http server enable 开启HTTP服务ciscoasa(config)# http 192.168.1.0 255.255.255.0 guanli 在管理口设置可管理的IP地址ciscoasa(config)# show run 查看一下配置ciscoasa(config)# wr m 保存经过以上配置就可以用ASDM配置防火墙了。

首先用交叉线把电脑和防火墙的管理口相连,把电脑设成和管理口段的IP 地址,本例中设为192.168.1.0 段的IP打开浏览器在地址栏中输入管理口的IP地址:[url]https://192.168.1.1/admin[/url]弹出一下安全证书对话框,单击“是”输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“确定”。

CISCO ASA配置说明

CISCO ASA配置说明
static (dmz,outside) tcp interface 30010 192.168.2.2 30010 netmask 255.255.255.255
static (dmz,outside) tcp interface 3389 192.168.2.2 3389 netmask 255.255.255.255
access-group outside_permit in interface outside
//把outside_permit控制列表运用在外部接口的入口方向。
route outside 0.0.0.0 0.0.0.0 202.98.131.126 1 //定义一个默认路由。
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
vpn-idle-timeout none //终止连接时间设为默认值
vpn-session-timeout none //会话超时采用默认值
vpn-tunnel-protocol IPSec //定义通道使用协议为IPSEC。
//定义一个命名为vpnclient的IP地址池,为remote用户分配IP地址
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
//端口映射 可以解决内部要公布的服务太多,而申请公网IP少问题。
static (dmz,outside) tcp interface 30001 192.168.2.2 30001 netmask 255.255.255.255

Asa配置大全

Asa配置大全

1、ASA基本配置静态路由:route outside 192.168.100.0 255.255.255.0 192.168.1.99配置允许telnet:telnet 192.168.10.0 255.255.255.0 inside配置telnet超时时间:telnet timeout 5配置本地认证telnet与console:aaa authentication telnet console LOCAL配置SSH生成密钥对:aaa authentication ssh console LOCALciscoasa(config)# crypto key generate rsaINFO: The name for the keys will be: <Default-RSA-Key>Keypair generation process begin. Please wait...ciscoasa(config)#配置允许SSH:ssh 192.168.10.0 255.255.255.0 inside配置允许ASDM管理:http server enablehttp 192.168.10.0 255.255.255.0 insideasdm image disk0:/asdm-602.binusername cisco password cisco privilege 15配置PAT:nat (inside) 1 192.168.10.0 255.255.255.0global (outside) 1 interface配置端口映射:access-list to_server extended permit tcp any host 192.168.1.99 eq wwwaccess-group to_server in interface outsidestatic (inside,outside) tcp interface www 192.168.10.98 www netmask 255.255.255.255配置ACL:access-list to_server extended permit tcp any host 192.168.1.99 eq wwwaccess-group to_server in interface outside配置允许ICMP穿越:policy-map global_policyclass inspection_defaultinspect icmp配置URL过滤:url-server (outside) vendor websense host 192.168.1.100 timeout 30 protocol TCP version 1 connections 5filter url http 192.168.10.0 255.255.255.0 0.0.0.0 0.0.0.0 allow日志管理:开启logging:logging enable开启console日志:logging console 7将日志发送到日志服务器:logging trap 7logging host inside 192.168.10.98配置IPS:ip audit name zxd info action alarmip audit name cisco attack action alarmip audit interface outside zxdip audit interface outside cisco2、VPN配置ASA IPSec L2L配置:access-list nonat extended permit ip 192.168.10.0 255.255.255.0 192.168.100.0 255.255.255.0 nat (inside) 0 access-list nonatcrypto ipsec transform-set cisco esp-des esp-nonecrypto map cisco 10 match address nonatcrypto map cisco 10 set peer 192.168.1.96crypto map cisco 10 set transform-set ciscocrypto map cisco interface outsidecrypto isakmp enable outsidecrypto isakmp policy 1authentication pre-shareencryption deshash shagroup 1tunnel-group 192.168.1.96 type ipsec-l2ltunnel-group 192.168.1.96 ipsec-attributespre-shared-key ciscoASA Remote VPN Server配置:ip local pool vpnpool 192.168.2.250-192.168.2.254group-policy vpntest internalgroup-policy vpntest attributesvpn-tunnel-protocol IPSecusername zhong password xiaodongtunnel-group vpntest type remote-accesstunnel-group vpntest general-attributesaddress-pool vpnpooldefault-group-policy vpntesttunnel-group vpntest ipsec-attributespre-shared-key ciscocrypto ipsec transform-set cisco esp-des esp-md5-hmac crypto dynamic-map vpntest 1 set transform-set cisco crypto dynamic-map vpntest 1 set reverse-route crypto map cisco 1 ipsec-isakmp dynamic vpntest crypto map cisco interface outsidecrypto isakmp enable outsidecrypto isakmp policy 10authentication pre-shareencryption aeshash shagroup 2RADIUS认证用户:aaa-server vpntest protocol radiusaaa-server vpntest (outside) host 192.168.1.100key ciscotunnel-group vpntest general-attributes authentication-server-group (outside) vpntestASA SSL VPN配置ip local pool vpnpool 192.168.2.200-192.168.2.210 username zhong password xiaodongwebvpnenable outsidesvc image disk0:/sslclient-win-1.1.3.173.pkgsvc enabletunnel-group-list enablegroup-policy webvpn internalgroup-policy webvpn attributesvpn-tunnel-protocol svc webvpnwebvpnsvc ask enabletunnel-group webvpn type remote-accesstunnel-group webvpn general-attributesaddress-pool vpnpooldefault-group-policy webvpntunnel-group webvpn webvpn-attributesgroup-alias hnebony enableIOS SSL VPN配置aaa new-modelaaa authentication login vpnauthen localusername zhong password xiaodongip local pool vpnpool 192.168.20.200 192.168.20.254interface loopback 0ip address 192.168.20.1 255.255.255.0exitwebvpn install svc disk0:/webvpn/svc.pkgwebvpn gateway outip address 192.168.1.99inservicewebvpn context vpntestpolicy group vpntestfunctions svc-enabledsvc address-pool vpnpoolsvc split include 192.168.0.0 255.255.0.0exitdefault-group-policy vpntestaaa authentication list vpnauthengateway outinserviceIOS Easy VPN Server配置:aaa new-modelaaa authentication login vpnauthen localaaa authorization network vpnauthor localusername zhong password xiaodongip local pool vpnpool 192.168.20.200 192.168.20.254ip access-list extended splitpermit ip 192.168.0.0 0.0.255.255 192.168.20.0 0.0.0.255 crypto isakmp policy 1authentication pre-sharehash md5group 2crypto isakmp client configuration group vpntestkey ciscopool vpnpoolacl splitcrypto ipsec transform-set cisco esp-aes esp-sha-hmac crypto dynamic-map vpndymap 1set transform-set ciscoreverse-routecrypto map vpntest client authentication list vpnauthen crypto map vpntest client configuration address respond crypto map vpntest isakmp authorization list vpnauthor crypto map vpntest 10 ipsec-isakmp dynamic vpndymap inter f0/0crypto map vpntest使用ACS认证与授权:aaa authentication login vpnauthen group radiusaaa authorization network vpnauthor group radiusradius-server host 192.168.1.100 auth-port 1645 acct-port 1646 key ciscoRADIUS (IETF)选中6、64、65、69、81.建立用户:vpntest(vpn组路由器配置crypto isakmp client configuration group vpntest可以取消)然后建立用户IOS Easy VPN Client配置:crypto ipsec client ezvpn vpntestmode clientconnect autopeer 192.168.10.1group vpntest key ciscousername zhong password xiaodonginterface f0/0crypto ipsec client ezvpn vpntestinterface f1/0crypto ipsec client ezvpn vpntest inside R1#crypto ipsec client ezvpn xauthUsername: zhongPassword:3、802.1X认证aaa new-modelaaa authentication dot1x default group radius aaa authorization network default group radius radius-server host 192.168.1.100 key cisco dot1x system-auth-controlinterface f0/1dot1x port-control auto指定VLAN:4、RSTPAlternate port—Offers an alternate path toward the root switch to that provided by the current root port.Backup port—Acts as a backup for the path provided by a designated port toward the leaves of the spanning tree. A backup port can exist only when two ports are connected in a loopback by a point-to-point link or when a switch has two or more connections to a shared LAN segment.Edge ports—If you configure a port as an edge port on an RSTP switch by using the spanning-tree portfast interface configuration command, the edge port immediately transitions to the forwarding state. An edge port is the same as a Port Fast-enabled port, and you should enable it only on ports that connect to a single end station.Root ports—If the RSTP selects a new root port, it blocks the old root port and immediately transitions the new root port to the forwarding state.Point-to-point links—If you connect a port to another port through a point-to-point link and the local port becomes a designated port, it negotiates a rapid transition with the other port by using the proposal-agreement handshake to ensure a loop-free topology. As shown in Figure 18-4, Switch A is connected to Switch B through a point-to-point link, and all of the ports are in the blocking state. Assume that the priority of Switch A is a smaller numerical value than the priority of Switch B. Switch A sends a proposal message (a configuration BPDU with the proposal flag set) to Switch B, proposing itself as the designated switch. After receiving theproposal message, Switch B selects as its new root port the port from which the proposalmessage was received, forces all nonedge ports to the blocking state, and sends an agreement message (a BPDU with the agreement flag set) through its new root port. After receiving Switch B’s agreement message, Switch A also immediately transitions its designated port to the forwarding state. No loops in the network are formed because Switch B blocked all of its nonedge ports and because there is a point-to-point link between Switches A and B. When Switch C is connected to Switch B, a similar set of handshaking messages are exchanged.Switch C selects the port connected to Switch B as its root port, and both ends immediately transition to the forwarding state. With each iteration of this handshaking process, one more switch joins the active topology. As the network converges, this proposal-agreement handshaking progresses from the root toward the leaves of the spanning tree. The switch learns the link type from the port duplex mode: a full-duplex port is considered to have a point-to-point connection; a half-duplex port is considered to have a shared connection. You can override the default setting that is controlled by the duplex setting by using the spanning-tree link-type interface configuration command.5、时间访问列表time-range zxdabsolute start 08:30 24 August 2009 end 18:00 01 September 2009time-range ciscoperiodic daily 8:00 to 18:00access-list 110 permit ip any any time-range cisco6、QOSCAR:rate-limit input access-group 101 1000000 3000 4000 conform-action transmit exceed-action dropGTS:class-map match-all ciscomatch access-group 101!!policy-map ciscoclass ciscopolice cir 500000 bc 10000 pir 1000000 be 10000conform-action transmitexceed-action set-prec-transmit 2violate-action dropinterface f1/0service-policy output ciscoCBWFQ:class-map match-all cbwfqmatch access-group 101policy-map cbwfqclass cbwfqpriority percent 60interface f1/0service-policy output cbwfq7、NA T-T8、标准化产品特色:1定位准确,以就业为导向。

Cisco_ASA防火墙ASDM图文配置实例

Cisco_ASA防火墙ASDM图文配置实例

。示显常正法无将 setyB02 过超度长 IRU 时此
证验 ILC 过通
moc.yrotcaffdp.www noisrev lairt orP yrotcaFfdp htiw detaerc FDP
速限行进用应对 SOQ 过通 3.01
moc.yrotcaffdp.www noisrev lairt orP yrotcaFfdp htiw detaerc FDP
moc.yrotcaffdp.www noisrev lairt orP yrotcaFfdp htiw detaerc FDP
A txetnoc 陆登
。样一法方置配的 B txetnoc�毕完置配经已 A txetnoc 时此
moc.yrotcaffdp.www noisrev lairt orP yrotcaFfdp htiw detaerc FDP
eluR TAN cimanyD ddA 择选 换转 TAN 态动立建 、72
钮按 ddA 击单�TAP 择选�edistuO 择选 ecafretnI
池址地个一加增�dda 击单
换转 TAN 态动加添了成完
KO 击 单
对�后文本在接联置配的用常分部中档文该将并�文本成完来档文和 图截的》告报试测 0.6MDSA/0.8ASA《考参好只�墙火防 ASA 有没 又位单新�做有没图截的置配些有�位单原了开离年 9002 者笔于由 换转 TAN 态静 、8 2
PI 理管置设
口接义定 式模换转
式模明透置设 1.9 。的样一是式模 elgnis 置配和置配他其的 txetnoc 于对 式模明透 9
moc.yrotcaffdp.www noisrev lairt orP yrotcaFfdp htiw detaerc FDP

ciscoasa5510升级ios和asdm

ciscoasa5510升级ios和asdm

cisco asa5510升级ios和asdmcisco思科是全球领先的大品牌,相信很多人也不陌生,那么你知道cisco asa 5510升级ios和asdm吗?下面是店铺整理的一些关于cisco asa 5510升级ios和asdm的相关资料,供你参考。

cisco asa 5510升级ios和asdm:show version 查看当前运行的系统信息,包括启动文件(即IOS)等show boot 查看当前的IOS信息show asdm image 查看当前运行的ASDM信息copy nvram:/filename tftp://ip/filename 用tftp协议进行文件传输boot system file 设置IOS启动文件asdm image file 设置asdm启动文件(用no是取消)erase / format 删除所有文件文件传输可以使用ftp,http,tftp等协议,建议使用tftp协议,简单易用。

可以使用一般的路由器连接模式,也可以用console 登陆,使用management口连接都行。

1、telnet上asaCISCOASA>ena 进入特权模式CISCOASA#conf t 进入配置模式CISCOASA(config)# dir 查看asa上的文件Directory of disk0:/ 没有单独购买flash,所以文件位置在disk0 4879 -rw- 8202240 19:18:10 Nov 16 2011 asa721-k8.bin2391 -rw- 5539756 00:43:38 Nov 05 2007 asdm521.bin4842 drw- 0 18:51:24 Nov 16 2011 log4843 drw- 0 18:51:36 Nov 16 2011 crypto_archive255426560 bytes total (215465984 bytes free)2、找台PC,运行tftp,设置目录,传输文件CISCOASA(config)# show ver 命令解释看前面Cisco Adaptive Security Appliance Software Version 7.2(1)Device Manager Version 5.2(1)。

ciscoASA防火墙详细配置

ciscoASA防火墙详细配置

access-list 102 extended permit icmp any any
------------------ 设 置
ACL 列表(允许 ICMP 全部通过)
access-list 102 extended permit ip any any 列表(允许所有 IP 全部通过) pager lines 24 mtu outside 1500 mtu inside 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable
address
218.16.37.222
255.255.255.192
------------------vlan2 配置 IP
asa5505(config)#show ip address vlan2 ------------------验证配置
5.端口加入 vlan
asa5505(config)# interface e0/3 ------------------进入接口 e0/3
cisco-asa-5505 基本配置
interface Vlan2nameif outside ----------------------------------------对端口命名外端口
security-level 0 ----------------------------------------设置端口等级
有地址)0 无最大会话数限制
access-group 102 in interface outside
------------------―――设置 ACL
列表绑定到外端口 端口绑定
route outside 0.0.0.0 0.0.0.0 x.x.x.x 1 路由

CiscoASA防火墙详细图文配置实例

CiscoASA防火墙详细图文配置实例

Cisco ASA 防火墙图文配置实例本文是基于ASA5540 和ASA5520 的配置截图所做的一篇配置文档,从最初始的配置开始:1、连接防火墙登陆与其他的Cisco 设备一样,用Console 线连接到防火墙,初始特权密码为空。

2、配置内部接口和IP 地址进入到接口配置模式,配置接口的IP 地址,并指定为inside。

防火墙的地址配置好后,进行测试,确认可以和防火墙通讯。

3、用dir 命令查看当前的Image 文件版本。

4、更新Image 文件。

准备好TFTP 服务器和新的Image 文件,开始更新。

5、更新ASDM。

6、更新完成后,再用dir 命令查看8、存盘,重启9、用sh version 命令验证启动文件,可以发现当前的Image 文件就是更新后的10、设置允许用图形界面来管理ASA 防火墙表示内部接口的任意地址都可以通过http 的方式来管理防火墙。

11、打开浏览器,在地址栏输入防火墙内部接口的IP 地址选择“是”按钮。

12、出现安装ASDM 的画面选择“Install ASDM Launcher and Run ASDM”按钮,开始安装过程。

13、安装完成后会在程序菜单中添加一个程序组14、运行ASDM Launcher,出现登陆画面15、验证证书单击“是”按钮后,开始登陆过程16、登陆进去后,出现防火墙的配置画面,就可以在图形界面下完成ASA 防火墙的配置17、选择工具栏的“Configuration”按钮18、选择“Interface”,对防火墙的接口进行配置,这里配置g0/3接口选择g0/3 接口,并单击右边的“Edit”按钮19、配置接口的IP 地址,并将该接口指定为outside单击OK 后,弹出“Security Level Change”对话框,单击OK 20、编辑g0/1 接口,并定义为DMZ 区域21、接口配置完成后,要单击apply 按钮,以应用刚才的改变,这一步一定不能忘22、设置静态路由单击Routing->Static Route->Add23、设置enable 密码24、允许ssh 方式登录防火墙25、增加用户定义ssh 用本地数据库验证26、用ssh 登录测试登录成功27、建立动态NAT 转换选择Add Dynamic NAT RuleInterface 选择inside,Source 处输入any 单击Manage 按钮单击add,增加一个地址池Interface 选择Outside,选择PAT,单击Add 按钮单击OK完成了添加动态NAT 转换28、静态NAT 转换由于笔者2009 年离开了原单位,有些配置的截图没有做,新单位又没有ASA 防火墙,只好参考《ASA8.0/ASDM6.0 测试报告》的截图和文档来完成本文,并将该文档中部分常用的配置联接在本文后,对该文的作者表示感谢。

cisco asdm 7.13(x) 版本说明说明书

cisco asdm 7.13(x) 版本说明说明书

思科ASDM 7.13(x)版本说明思科ASDM 7.13(x)版本说明本文档包含用于思科ASA 系列的思科ASDM 7.13(x)的版本信息。

重要说明•对于ASA 5512-X 、ASA 5515-X 、ASA 5585-X 和ASASM-ASA 9.13(1)及更高版本中不支持,9.12(x)是最新支持的版本。

对于ASA 5515-X 和ASA 5585-X FirePOWER 模块,最新支持的版本为6.4。

•9.13(1)及更高版本中ASAv 需要2GB 内存-从9.13(1)开始,ASAv 的最低内存要求为2GB 。

如果当前ASAv 的内存少于2GB ,您将无法在不增加ASAv VM 内存的情况下,从早期版本升级到9.13(1)。

在升级之前,您必须调整内存大小。

有关9.13(1)版本中支持的资源分配(vCPU 和内存)的信息,请参阅ASAv 入门指南。

•将适用于ASA 5506-X 、5508和5516-X 的ROMMON 升级到版本1.1.15—对于这些ASA 型号有一个新的ROMMON 版本(2019年5月15日);我们强烈建议您升级到最新版本。

要进行升级,请参阅《ASA 配置指南》https:///c/en/us/td/docs/security/asa/asa912/configuration/general/asa-912-general-config/admin-swconfig.html#task_90917D0EBAC2427487F6F51D21ABC235中的说明。

ROMMON 升级到1.1.15所花费的时间是升级到ROMMON 上一版本的两倍,大约15分钟。

升级流程中请勿重启设备。

如果升级未在30分钟内完成或升级失败,请联系思科技术支持;请勿重启或重置设备。

注意•ASDM 升级向导—由于内部更改,该向导仅支持使用ASDM 7.10(1)及更高版本;此外,由于映像命名更改,您必须使用ASDM 7.12(1)或更高版本以升级到ASA 9.10(1)及更高版本。

cisco asdm5.0防火墙

cisco asdm5.0防火墙

Home:首页General:一般的license:授权interface status:接口状态interfaces 接口vpn status:vpn状态ipaddress/mask:ip地址line:行link:环节currentkbps:目前网速1.configuration 配置1.interface 接口2.security policy 安全政策access rules访问规则filter rules 过滤规则service policy rules服务策略规则show rules for interface显示接口规则source host/network 源主机/网络action 行动ANY 任何destination host/network目标主机/网络incoming传入show summary显示摘要show detail显示细节advanced先进1.NAT净值enable traffic through the firewall without address translation 没有地址转换的流量通过防火墙启用translation rules翻译规则translation Exemption rules 翻译豁免规则outside 外address地址tatic NAT 静态NAT dynamic nat动态NAT static policy nat静态的政策NAT Dyanamic policy nat动态策略NAT manage pools管理池3:VPN1.1 General 一般VPN system options VPN系统选项Enable inbound ipsec sessions to bypass interface access lists.Group policy and per-user authorization access lists still to the traffic启用入站IPSec会话绕过接口访问lists.Group政策和每个用户的授权访问列表仍然交通permit communication between vpn peers connected to the same interface允许VPN端点之间的通信连接到相同的接口limit the maximum number of active vpn sessions. the range is from 1 to sessions限制活动VPN会话的最大数量。

思科ASA和PIX防火墙配置手册

思科ASA和PIX防火墙配置手册
10.1内置syslogd的配置29
10.2配置基于linux的syslog-ng服务器29
10.3配置基于Windows的syslog服务器30
10.4路由器下syslog支持的配置30
10.5交换机下syslog支持的配置31
10.6 PIX防火墙下syslog支持的配置32
10.7 VPN Concentrator下syslog支持的配置33
PIX 7.x
Firewall(config)# interface hardware_id[.subinterface]
Firewall(config-if)# nameif if_name
Firewall(config-if)# security-level level
注:Pix 7.x和FWSM 2.x开始支持不同接口有相同的security level,前提是全局配置模式下使用same-security-traffic permit inter-interface命令。
宣告该接口为缺省路由Firewall(config)# rip if_name default version [1 | 2 [authentication [text | md5 key key_id]]
配置OSPF
定义OSPF进程Firewall(config)# router ospf pid
启用PRF防止地址欺骗Firewall(config)# ip verify reverse-path interface if_name
配置静态路由Firewall(config)# route if_name ip_address netmask gateway_ip [metric]
配置RIP

Cisco ASA硬件防火墙

Cisco ASA硬件防火墙

Cisco ASA硬件防火墙实验【实验目的】ASA防火墙的基本配置和高级的URL过滤等【实验拓扑】【实验步骤】一、Cisco ASA防火墙的基本配置:1、配置主机名、域名、密码EnableConf tHostname ASA5520 配置主机名为ASA5520Domaln-name 配置域名为Enable password ASA5520 配置特权密码Password cisco 配置远程登录密码2、配置接口Conf tInterface e0/0Nameif inside 配置接口的名字为insideSecurity-level 100 配置接口的安全级别为100Ip address 192.168.0.1 255.255.255.0 配置接口IP地址No shutdown 开启端口ExitInterface e0/1Nameif outside 配置接口的名字为outsideSecurity-level 0 配置接口的安全级别为0Ip address 202.140.11.2 255.255.255.0 配置接口IP地址No shutdown 开启端口ExitInterface e0/0Nameif DMZ 配置接口的名字为DMZSecurity-level 50 配置接口的安全级别为50Ip address 192.168.1.1 255.255.255.0 配置接口IP地址No shutdown 开启端口Exit3、配置路由Conf tRoute outside 0.0.0.0 0.0.0.0 202.140.11.1 配置缺省路由是任意到达出口的地址的下一条是202.140.11.1(因为防火墙有可能不是直接W AN所以要设置默认路由)4、配置远程管理接入配置telnet接入Conf ttelnet 192.168.0.0 255.255.255.0 inside 配置telnet管理接入地址为inside的192.168.0.0/24这个网段的地址telnet 192.168.0.3 255.255.255.255 inside 也可以配置只允许一台主机的接入telnet timeout 30 配置telnet超时为30分钟配置ssh接入Conf tCrypto key generate rsa modulus 1024 生成RSA密钥对Ssh 192.168.0.0 255.255.255.0 inside 配置ssh接入地址为inside的192.168.0.0/24这个网段的地址Ssh 0 0 outside 配置ssh接入地址为outside的任意网段的地址Ssh timeout 30 配置超时为30分钟Ssh version 2 配置版本号为2配置ASDM(自适应安全设备管理器)接入Conf tHttp server enable 65123 打开防火墙HTTPS服务功能http 0 0 outside 配置防火墙允许HTTPS接入的地址为任意asdm image disk0:/asdmfile 指定ASDM映像位置username zhangsan password zhangsan privilege 15 配置客户端登录使用的用户名和密码为zhangsan特权为最高的15级5、为出站流量配置网络地址转换Conf tNat control 启用NAT功能Nat (inside) 1 0 0 指定需要被转换的地址为全内网Global (outside) 1 interface 定义一个全局地址池Global (dmz) 1 192.168.1.100-192.168.1.110 定义一个到达dmz的地址池6、配置ACLConf tAccess-list test1 standard permit 192.168.0.0 255.255.255.0 配置允许192.168.0.0/24这个网段的地址Access-list test2 extended permit tcp any any eq www 配置允许任意的地址访问任意网站Access-group test1 in interface dmz 把test1应用到接口上7、过滤URL配置例子:IP地址范围在192.168.0.2-192.168.0.15中的主机只能访问,不能访问其它任何网站。

Cisco ASA FirePOWER模块与Active Directory集成配置指南说明书

Cisco ASA FirePOWER模块与Active Directory集成配置指南说明书

配置与ASDM的Active Directory集成,以实现单点登录和强制网络门户身份验证(机上管理)目录简介先决条件要求使用的组件背景信息配置步骤1.为单点登录配置Firepower用户代理。

步骤2.将Firepower模块(ASDM)与用户代理集成。

步骤3.将Firepower与Active Directory集成。

第3.1步创建领域。

第3.2步添加目录服务器IP地址/主机名。

第3.3步修改领域配置。

第3.4步下载用户数据库。

步骤4.配置身份策略。

步骤5.配置访问控制策略。

步骤6.部署访问控制策略。

步骤7.监控用户事件。

验证Firepower模块与用户代理之间的连接(被动身份验证)FMC和Active Directory之间的连接ASA和终端系统之间的连接(主动身份验证)策略配置和策略部署故障排除相关信息简介本文档介绍使用ASDM(自适应安全设备管理器)在Firepower模块上配置强制网络门户身份验证(主动身份验证)和单点登录(被动身份验证)。

先决条件要求Cisco 建议您了解以下主题:ASA(自适应安全设备)防火墙和ASDM知识qFirePOWER模块知识q轻量级目录服务(LDAP)qFirepower用户代理q使用的组件本文档中的信息基于以下软件和硬件版本:运行软件版本5.4.1及更高版本的ASA FirePOWER模块(ASA 5506X/5506H-X/5506W-X、ASA q5508-X、ASA 5516-X)。

运行软件版本6.0.0及更高版本的ASA FirePOWER模块(ASA 5515-X、ASA 5525-X、ASA q5545-X、ASA 5555-X)。

本文档中的信息都是基于特定实验室环境中的设备编写的。

本文档中使用的所有设备最初均采用原始(默认)配置。

如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

背景信息强制网络门户身份验证或主动身份验证提示登录页面和用户凭证是主机访问互联网所必需的。

思科ASDM 7.4(x)版本说明说明书

思科ASDM 7.4(x)版本说明说明书

思科 ASDM 7.4(x) 版本说明首次发布日期:2015 年 3 月 23 日最后更新日期:2015 年 7 月 16 日本文档包含思科 ASA 系列的思科 ASDM 7.4(x) 版本信息。

⏹重要说明(第 1 页)⏹系统要求(第 1 页)⏹新功能(第 7 页)⏹升级软件(第 15 页)⏹遗留的漏洞和已修复的漏洞(第 15 页)⏹最终用户许可协议(第 16 页)⏹相关文档(第 16 页)⏹获取文档和提交服务请求(第 16 页)重要说明⏹统一通信电话代理和公司间媒体引擎代理已弃用 — ASA 9.4 版本不再支持电话代理和 IME 代理。

系统要求⏹ASDM 客户端操作系统和浏览器要求(第 2 页)⏹Java 和浏览器兼容性(第 2 页)⏹为 ASDM 安装身份证书(第 6 页)⏹增加 ASDM 配置内存(第 6 页)⏹ASA 和 ASDM 兼容性(第 7 页)⏹VPN 兼容性(第 7 页)思科系统公司ASDM 客户端操作系统和浏览器要求下表列出支持的建议用于 ASDM 的客户端操作系统和 Java 。

Java 和浏览器兼容性下表列出了 Java 、ASDM 和浏览器兼容性的兼容性警告。

表1操作系统和浏览器要求操作系统浏览器Java SE 插件Internet ExplorerFirefoxSafariChromeMicrosoft Windows (英文版和日文版):⏹8⏹7⏹Server 2008⏹Server 2012是是不支持是7.0 或更高版本Apple OS X 10.4 及更高版本不支持是是是(仅限 64 位版本)7.0 或更高版本Red Hat Enterprise Linux 5(GNOME 或 KDE ):⏹桌面版⏹带工作站选项的桌面版不适用是不适用是7.0 或更高版本表2Java 与 ASDM 兼容性相关注意事项Java 版本条件备注7 Update 51ASDM Launcher 需要可信证书要继续使用 Launcher,请执行以下其中一项操作:⏹将 Java 升级到 Java 8 或降级到 Java 7 update 45 或更低版本。

应用ASDM简化防火墙管理

应用ASDM简化防火墙管理

应用ASDM简化防火墙管理嵊州广播电视总台吕秋亮关键字:ASDM、Cisco防火墙管理随着广播电视技术数字化、网络化的不断深入,无论制播还是日常办公都离不开计算机网络,对网络的依赖必然对网络环境的安全性提出更高的要求。

Cisco Asa5510是一款集应用安全、ANTI-X防御、网络印制和控制、VPN、智能网络服务于一体的功能强大的防火墙,具体的来说它能够:(1)过滤不安全的服务和非法用户,强化安全策略。

(2)有效记录internet上的活动,管理进出网络的访问行为。

(3)限制暴露用户,封堵禁止的访问行为。

(4)是一个安全策略的检查站,对网络攻击进行检测和告警。

笔者所在单位不久前装了Cisco Asa5510防火墙,显著提升了网络安全性。

熟练掌握思科自适应安全设备的管理操作对网络管理岗位的同志提出了新的要求。

但借助ASDM软件,即便对思科产品不是很熟悉,我们也能直观的对防火墙设备进行有效管理,保障网络稳定高效运作。

一、ASDM安装安装ASDM前我们需要安装jre-1_5_0-windows-i586 这个java环境,然后运行ASDM-install.msi,ASDM版本比较多,笔者这边采用的是6.02。

使用ASDM管理ASA防火墙前我们首先要对防火墙进行一些配置:Asa5510# conf t 进入全局模式Asa5510 (config)# webvpn 进入WEBVPN模式Asa5510 (config-webvpn)# username cisco password cisco 新建一个用户和密码asa5510 (config)# int m 0/0 进入管理口Asa5510 (config-if)# ip address 192.168.0.254 255.255.255.0 添加IP地址Asa5510 (config-if)# nameif manage 给管理口设个名字Asa5510(config-if)# no shutdown 激活接口Asa5510(config)#q 退出管理接口Asa5510(config)# http server enable 开启HTTP服务Asa5510(config)# http 192.168.0.0 255.255.255.0 manage 在管理口设置可管理的IP地址Asa5510(config)# show run 查看一下配置Asa5510(config)# wr m 保存配置完后,我们就可以在192.168.0.0这个网段内的主机上运行ASDM对asa防火墙进行管理。

思科ASA系列思科ASDM 7.5(x)版本说明说明书

思科ASA系列思科ASDM 7.5(x)版本说明说明书

Cisco ASDM 7.5 (x) 版本说明首次发布日期:2015 年 8 月 31 日最后更新日期:2016 年 1 月 28 日本文档包含思科 ASA 系列思科 ASDM 7.5 (x) 版本信息。

⏹重要说明(第 1 页)⏹新增功能(第 1 页)⏹系统要求(第 12 页)⏹升级软件(第 17 页)⏹遗留和已解决漏洞(第 18 页)⏹最终用户许可证协议(第 21 页)⏹相关文档(第 21 页)⏹获取文档和提交服务请求(第 21 页)重要说明⏹弃用电邮代理命令 ASA - 9.5 (2) 版本中已不再支持邮件代理命令(imap4s、pop3s、smtps)和子命令。

⏹弃用 Select AAA 命令 ASA - 9.5 (2) 版本中已不再支持 AAA 命令和子命令(override-account-disable、authentication crack)。

⏹弃用或迁移 CSD 命令 ASA - 9.5 (2) 版本中已不再支持 CSD 命令(csd image、show webvpn csd image、show webvpn csd、show webvpn csd hostscan、show webvpn csd hostscan image)。

以下 CSD 命令将迁移:csd enable迁移到hostscan enable;csd hostscan image迁移到hostscan image。

新增功能⏹ASA 9.5(2.200)/ASDM 7.5(2.153) 新增功能(第 2 页)⏹ASDM 7.5 (2.153) 新增功能(第 2 页)⏹ASA 9.5(2.1)/ASDM 7.5(2) 新增功能(第 3 页)⏹ASA 9.5(2)/ASDM 7.5(2) 新增功能(第 4 页)⏹ASA 9.4(2.145)/ASDM 7.5(1.112) 新增功能(第 7 页)⏹ASA 9.5(1.5)/ASDM 7.5(1.112) 新增功能(第 7 页)⏹ASDM 7.5 (1.90) 新增功能(第 7 页)⏹ASA 9.4(2)/ASDM 7.5(1) 新增功能(第 8 页)⏹ASA 9.4(1.225)/ASDM 7.5(1) 新增功能(第 8 页)⏹ASA 9.5(1.200)/ASDM 7.5(1) 新增功能(第 8 页)⏹ASA 9.5(1)/ASDM 7.5(1) 新增功能(第 9 页)思科系统公司ASA 9.5(2.200)/ASDM 7.5(2.153) 新增功能发布日期:2016 年 1 月 28 日下表列出了 ASA 9.5(2.200) 版本/ASDM 7.5(2.153) 版本新增功能。

CiscoASA5505防火墙详细配置教程及实际配置案例

CiscoASA5505防火墙详细配置教程及实际配置案例

CiscoASA5505防火墙详细配置教程及实际配置案例interfaceVlan2nameifoutside对端口命名外端口security-level0设置端口等级ipaddressX.X.X.X255.255.255.224调试外网地址!interfaceVlan3nameifinside对端口命名内端口security-level100调试外网地址ipaddress192.168.1.1255.255.255.0设置端口等级!interfaceEthernet0/0switchportaccessvlan2设置端口VLAN与VLAN绯定!interfaceEthernet0/1switchportaccessvlan3设置端口VLAN与VLAN3W定!interfaceEthernet0/2shutdown!interfaceEthernet0/3shutdown!interfaceEthernet0/4shutdowninterfaceEthernet0/5shutdown!interfaceEthernet0/6shutdown!interfaceEthernet0/7shutdown!passwd2KFQnbNIdI.2KYOUencryptedftpmodepassivednsdomain-lookupinsidednsserver-groupDefaultDNSname-server211.99.129.210name-server202.106.196.115access-list102extendedpermiticmpanyany设置ACL歹U表(允许ICMP全部通过)access-list102extendedpermitipanyany设置ACL列表(允许所有IP全部通过)pagerlines24mtuoutside1500mtuinside1500icmpunreachablerate-limit1burst-size1noasdmhistoryenablearptimeout14400global(outside)1interface设置NAT地址映射到外网口nat(inside)10.0.0.00.0.0.00NAT地址池(所有地址)0无最大会话数限制access-group102ininterfaceoutside设置ACL列表绑定到外端口routeoutside0.0.0.00.0.0.0x.x.x.x1设置到外网的默认路由timeoutxlate3:00:00timeoutconn1:00:00half-closed0:10:00udp0:02:00icmp0:00:02timeoutsunrpc0:10:00h3230:05:00h2251:00:00mgcp0:05:00mgcp-pat0:05:00timeoutsip0:30:00sip_media0:02:00sip-invite0:03:00sip-disconnect0:02:00timeoutuauth0:05:00absolutenosnmp-serverlocationnosnmp-servercontactsnmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstarttelnet0.0.0.00.0.0.0inside设置TELNETS有地址进入telnettimeout5ssh0.0.0.00.0.0.0outside设置SSH所有地址进入sshtimeout30sshversion2consoletimeout0dhcpdaddress192.168.1.100-192.168.1.199inside设置DHCP!艮务器地址池dhcpddns211.99.129.210202.106.196.115interfaceinside设置DNS服务器到内网端口dhcpdenableinside设置DHCPZ用到内网端口前几天去客户那调试CISCO-ASA-5505设备,第一次摸,跟PIX一样,呵呵.没有技术含量,都是最基本的.其他业务配置暂时没配,会及时更新的.CiscoASA5505配置cisco,config,telnet,防火墙,Cisco1.配置防火墙名ciscoasa>enableciscoasa#configureterminalciscoasa(config)#hostnameasa55052.配置telnetasa5505(config)#telnet192.168.1.0255.255.255.0insideT〃允许内部接口192.168.1.0网段telnet防火墙3.配置密码asa5505(config)#passwordcisco远程密码asa5505(config)#enablepasswordcisco特权模式密码4.配置IPasa5505(config)#interfacevlan2进入vlan2asa5505(config-if)#ipaddress218.16.37.222255.255.255.192vlan2配置IPasa5505(config)#showipaddressvlan2验证配置5.端口力口入vlanasa5505(config)#interfacee0/3进入接口e0/3asa5505(config-if)#switchportaccessvlan3接口e0/3力口入vlan3asa5505(config)#interfacevlan3进入vlan3asa5505(config-if)#ipaddress10.10.10.36255.255.255.224vlan3配置IPasa5505(config-if)#nameifdmzvlan3名asa5505(config-if)#noshutdown开启asa5505(config-if)#showswitchvlan验证配置6.最大传输单元MTUasa5505(config)#mtuinside1500inside最大传车^单元1500字节asa5505(config)#mtuoutside1500outside最大传输单元1500字节asa5505(config)#mtudmz1500dmz最大传输单元1500字节7.配置arp表的超时时间asa5505(config)#arptimeout14400arp表的超日^时间14400秒8.FTP模式asa5505(config)#ftpmodepassiveFTP被动模式9.配置域名asa5505(config)#10.启动日志asa5505(config)#loggingenable启动日志asa5505(config)#loggingasdminformational启动asdm报告日志asa5505(config)#Showlogging验证配置11.启用http服务asa5505(config)#httpserverenable启动HTTPserver便于ASDM连接。

思科ASA和PIX防火墙配置手册

思科ASA和PIX防火墙配置手册
配置RIP
被动听RIP更新(v1,v2)Firewall(config)# rip if_name[/i] passive [version 1]
(Firewall(config)# rip if_name[/i] passive version 2 [authentication [text | md5
用户模式:
Firewall>
为用户模式,输入enable进入特权模式Firewall#。特权模式下可以进入配置模式,在6.x所有的配置都在一个全局模式下进行,7.x以后改成和IOS类似的全局配置模式和相应的子模式。通过exit,ctrl-z退回上级模式。
配置特性:
在原有命令前加no可以取消该命令。Show running-config 或者 write terminal显示当前配置,7.x后可以对show run
100,200,300.
Switch(config)# firewall vlan-group 1 100,200,300[/i]
Switch(config)# firewall module 3[/i] vlan-group 1[/i]
Switch(config)# exit
Switch# session slot 3[/i] processor 1
key (key_id)[/i]]])
宣告该接口为缺省路由Firewall(config)# rip if_name[/i] default version [1 | 2
[authentication [text | md5 key key_id]]
配置OSPF
定义OSPF进程 Firewall(config)# router ospf pid
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

CISCO ASA防火墙ASDM安装和配置
准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口,通过开始——>程序——> 附件——>通讯——>超级终端
输入一个连接名,比如“ASA”,单击确定。

选择连接时使用的COM口,单击确定。

点击还原为默认值。

点击确定以后就可能用串口来配置防火墙了。

在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。

在串口下输入以下命令:
CiscoASA>
CiscoASA> en
Password:
CiscoASA# conf t 进入全局模式
CiscoASA(config)# username cisco password cisco 新建一个用户和密码
CiscoASA(config)# interface e0 进入接口
CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 添加IP地址
CiscoASA(config-if)# nameif inside 给接口设个名字
CiscoASA(config-if)# no shutdown 激活接口
CiscoASA(config)#q 退出接口
CiscoASA(config)# http server enable 开启HTTP服务
CiscoASA(config)# http 192.168.1.0 255.255.255.0 inside 在接口设置可管理的IP地址
CiscoASA(config)# show run 查看一下配置
CiscoASA(config)# wr m 保存
经过以上配置就可以用ASDM配置防火墙了。

首先用交叉线把电脑和防火墙的管理口相连,把电脑设成和管理口段的IP地址,本例中设为192.168.1.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.1.1/admin
弹出一下安全证书对话框,单击“是”
输入用户名和密码,然后点击“确定”。

出现以下对话框,点击“Download ASDM Launcher and Start ASDM”开始安装ASDM管理器,安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上 Java 版本),进入下载安装,安装完后点击下面的“Run ASDM as a Java Applet ”。

出现以下对话框,点击“是”。

出现以下对话框,输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“是”。

出现以下对话框,点击“是”。

这样就可以通过ASDM来配置防火墙了。

以后就可以直接使用ASDM来管理防火墙了。

安装ASDM
下面是我们需要发布的指令和让ASDM运行的步骤:
1.登录到PIX并且进入启用模式:“pix> enable”
2.进入启用模式之后,输入命令“copy tftp flash”,你现在可以看到弹出如下信息:
3.“Address or name of remote host [x.x.x.x]? ”。

你需要在这里输入托管ASDM 图像的TFTP服务器的IP地址。

按回车键继续操作。

4.“Source file name [cdisk]? ”。

输入ASDM图像的文件名,例如:asdm502.bin for ASDM version
5.0(2)。

按回车键继续操作。

5.“Destination file name [asdm502.bin]?”。

这里实际上没有任何事情可做,除非你要重新命名你正在传输的图像。

所以,这里按回车键。

6.我们需要告诉PIX软件ASDM在什么地方。

因此,我们要要以配置模式发出下列命令。

如果你喜欢这种长的方式,你可以在CLI输入“conf t”或者“configure terminal”。

一旦进入设置模式“pix(config)#”,然后输入“asdm image flash:asdm502.bin”,然后按回车键。

7.由于我们已经让我们的PIX知道了ASDM在什么地方,现在可以向PIX发出“write mem”或者“write memory”指令。

你将得到一个信息,说正在构建配置,然后将返回到
“pix(config)#”。

这个时候,我们就安装完了ASDM。

为了访问ASDM,我们需要做几件事情。

否则,这个PIX软件将拒绝通信并且切断连接。

为了允许这个连接,我们需要以config(配置)模式发布如下指令:
·http server enable:这个指令要首先发布并且启动http/https服务器。

·http 0 0 inside:这个指令能够启动来自PIX内部设置的任何主机/网络的通信。

如果你仅允许你的工作站通信,这个工作站的地址是 192.168.89.44,那么,这个指令就是“http 192.168.89.44 255.255.255.255 inside”。

你还可以允许一个子网或者多个子网连接。

如果你需要在任何时候撤销任何入口,简单地使用这个指令就可以了“no http x.x.x.x z.z.z.z inside”。

这里的x代表IP地址,z代表子网。

现在,你可以实验一下,使用https://x.x.x.x/admin连接ASDM。

在这里,x代表在PIX接口内部的IP地址。

请注意,从接口外部也可以访问ASDM。

你需要确认,当你添加“http x.x.x.x z.z.z.z ”指令的时候,你是在指定这个接口为外部接口,用一台安全的计算机可以访问那个接口。

然而,这种方法不推荐使用,由于ASDM的强大功能,把ASDM放在可以公开访问的网络上是不明智的。

ASDM应该安装完毕并且可以工作了。

使用你的PIX登录启用口令,这个软件就开始快速运行了。

相关文档
最新文档