進來新到了一個ASA5505的防火牆,研究瞭如何進行簡單的配置。主要分爲以下幾個部分。
分區
防火牆分爲幾個區,一般來說分爲inside,outside和dmz。inside表示內網,outside表示外網,dmz表示服務器區。在ASA上面這個可以通過vlan來進行區分,即我們可以分爲三個vlan。我們簡單一點就分爲兩個區。
創建內網分區
interface Vlan1
nameif inside
ip address 10.10.20.254 255.255.255.0
創建外網分區
interface Vlan2
nameif outside
ip address 192.168.54.40 255.255.255.0
分區的名字通過nameif指定,ip地址通過ip命令配置。
進行NAT操作
內網訪問外網要進行NAT的映射操作,這個通過下面的命令進行完成
nat (inside) 1 10.10.20.0 255.255.255.0
global (outside) 1 interface
access-list outsideacl extended permit icmp any any
最後一行主要是用於內網可以ping外網
配置SSH登錄
username admin password 123456
aaa authentication ssh console LOCAL
ssh host 0.0.0.0 0.0.0.0 inside
ssh host 0.0.0.0 0.0.0.0 outside
ssh version 2
內部地址映射
爲了見一個內部服務器映射到公網上面,可以採用static命令
static (inside,outside) 192.168.54.42 10.10.20.50
access-list outsideacl extended permit ip any host 192.168.54.42
這個表示公網地址192.168.54.42爲內網地址10.10.20.50
內部端口映射
可以將內部的一個端口映射到公網上面去
static (inside,outside) tcp 192.168.54.41 ssh 10.10.20.56 ssh
access-list outsideacl extended permit tcp any host 192.168.54.41 eq ssh
這個表示外面訪問54.41的ssh時候會映射到20.56的ssh端口
外部訪問規則的控制
前面通過access-list設置了訪問的規則,要映射到外網的入口上面去纔會生效
access-group outsideacl in interface outside