您的位置:360文档中心› Cisco-ASA-防火墙基础培训

Cisco-ASA-防火墙基础培训

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

台州职业技术学院计算机系
台州职业技术学院计算机系
• asa#conf t asa(config)# hostname asa //设置主机名 asa(config)#enable password cisco //设置密码 配置外网的接口,名字是outside,安全级别0,输入
ISP给您提供的地址就行了。 asa(config)#interface GigabitEthernet0/0 asa(config-if)#nameif outside //名字是outside asa(config-if)#securit-level 0 //安全级别0 asa(config-if)#ip address *.*.*.* 255.255.255.0 //配置
Cisco ASA 防火墙基础
台州职业技术学院计算机系
台州职业技术学院计算机系
Hale Waihona Puke Baidu
2
台州职业技术学院计算机系
☺ASA的基本配置一般包括:
配置主机名、域名和密码 配置接口 配置路由 配置远程管理接入 为出站流量配置网络地址转换
台州职业技术学院计算机系
台州职业技术学院计算机系
配置接口
台州职业技术学院计算机系
台州职业技术学院计算机系
• 配置静态路由 asa(config)#route outside 0 0 133.0.0.2
– //设置默认路由 133.0.0.2为下一跳
– 如果内部网段不是直接接在防火墙内口,则需 要配置到内部的路由。 asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
台州职业技术学院计算机系
• 地址转换 asa(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ;静态NAT
• asa(config)#static (dmz,outside) 133.1.0.2 10.65.1.102 ;静态NAT
• asa(config)#static (inside,dmz) 10.66.1.200 10.66.1.200 ;静态NAT • 如果内部有服务器需要映射到公网地址(外网访问内网)则需要static • asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240 • asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240
台州职业技术学院计算机系
口 当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。 当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部 主机将会映射成地址池的IP,到外部去找。 当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101,static是双 向的。 PIX的所有端口默认是关闭的,进入PIX要经过acl入口过滤。 静态路由指示内部的主机和dmz的数据包从outside口出去。
公网IP地址 asa(config-if)#duplex full asa(config-if)# asa(config-if)#no shutdown
台州职业技术学院计算机系
• 配置内网的接口,名字是inside,安全级别100 asa(config)#interface GigabitEthernet0/1 asa(config-if)#nameif inside asa(config-if)#securit-level 100 asa(config-if)#duplex full asa(config-if)#speed 100 asa(config-if)#no shutdown
台州职业技术学院计算机系
• 配置DMZ的接口,名字是dmz,安全级别50 asa(config)#interface GigabitEthernet0/2 asa(config-if)#nameif dmz asa(config-if)#securit-level 50 asa(config-if)#duplex full asa(config-if)# asa(config)#no shutdown
台州职业技术学院计算机系
• 网络部分设置 asa(config)#nat(inside) 1 192.168.1.1 255.255.255.0 asa(config)#global(outside) 1 222.240.254.193 255.255.255.248 asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255 //表示192.168.1.1这个地址不需要转换。直接转发出去。 asa(config)#global (outside) 1 133.1.0.1-133.1.0.14 //定 义的地址池 asa(config)#nat (inside) 1 0 0 //0 0表示转换网段中的所有 地址。定义内部网络地址将要翻译成的全局地址或地址范 围
10000 10 • //后面的10000为限制连接数,10为限制的半开连接数
台州职业技术学院计算机系
• ACL实现策略访问 • asa(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置ACL • asa(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;设置ACL • asa(config)#access-list 101 deny ip any any ;设置ACL • asa(config)#access-group 101 in interface outside ;将ACL应用在outside端
配置接口
台州职业技术学院计算机系
台州职业技术学院计算机系
台州职业技术学院计算机系
台州职业技术学院计算机系
台州职业技术学院计算机系
台州职业技术学院计算机系
台州职业技术学院计算机系
为出站流量配置网络地址转换
台州职业技术学院计算机系
台州职业技术学院计算机系
台州职业技术学院计算机系
台州职业技术学院计算机系
相关文档
最新文档