cisco asa5520 基本配置
一般網絡機構來理解asa5520
外網-----asa5520----分別是內網和dmz
asa配置都在全局模式下配置,很多跟cisco路由交換的一樣(大同小異)
第一次連接防火牆時有個初始化配置
主要有配置密碼,時間,內部ip,和管理ip
1、配置主機名、域名、和密碼
主機名:ciscoasa5520(config)#hostname 5520
域名: 5520(config)#domain—name 123.com
密碼:5520(config)#enable password asa5520 (特權密碼)
5520(config)#password cisco (telnet密碼)
2、配置接口名字、安全級別
5520(config)#int f0/1
5520(config)#nameif inside (內網,dmz,outside)
5520(config)#security-level 100 (安全級別爲100,dmz:50,outside:0)
5520(config)#ip add 192.168.1.1 255.255.255.0 (配置ip地址)
5520(config)#no shut
5520(config)#exit
查看接口 show interface ipbrief
show interface f/0
3、配置路由
5520(config)#route 接口名 目標網段 掩碼 下一跳
例 上網的缺省路由
5520(config)#route outside 0.0.0.0 0.0.0.0 61.232.14.81
5520(config)#route inside 192.168.0.0 0.0.255.255 192.168.1.254
查看路由 show route
4、管理(啓用telnet或者ssh)
5520(config)#telnet ip或網段 掩碼 接口
例:5520(config)#telnet 192.168.2.20 255.255.255.0 inside(表示只允許這個ip地址telnet asa)
5520(config)#telnet 192.168.2.0 255.255.255.0 inside (表示允許這個ip段telnet asa)
設置telnet超時 5520(config)#telnet timeout 30 單位爲分
ssh爲密文傳送(RSA密鑰對)
5520(config)#cryto key generate rsa modulus 1024
連接 5520(config)#ssh 192.168.2.0 255.255.255.0 inside
5520(config)#ssh 0 0 outside 允許外網任意ip連接
配置空閒超時 ssh timeout 30
ssh version 2
5、遠程接入ASDM(cisco的自適應安全管理器)
客戶端可以用cisco自帶的軟件也可以裝jre走https
啓用https服務器功能
5520(config)#http server enable 端口號(越大越好)
設置允許接入網段
5520(config)#http 網段|ip 掩碼 接口名 (http 0 0 outside 外網任何ip接入)
指定ASDM的映像位置
5520(config)#asdm p_w_picpath disk0:/asdmfilse(這個一般用show version產看版本號)
配置客戶端登錄使用的用戶名和密碼
5520(config)# username 用戶名 password 密碼 privilege 15
6、nat的配置(這個好像與pix類似)
5520(config)# nat (interface-名) nat-id 本地ip 掩碼
5520(config)#global (接口名) nat-id 全局ip、網段或接口
例:5520(config)#nat-control (啓用nat)
5520(config)#nat(inside)1 0 0 (可以指定一個網段或者全部)
5520(config)#global (outside)1 interface (這就稱了pat,當然也可以寫一個ip段或者一個ip)
5520(config)# global(dmz)1 172.16.1.100-172.16.1.110 意思與上差不多
這裏要注意:內網到dmz區域都應是nat
如果內網到dmz用路由的話,這樣可能導致***先***dmz,然後長區直入到內網。
7、acl 跟路由差不多
標準(只限定原地址)
asa5520(config)#access-list acl-name standed {premit|deny}ip-add mask
擴展
5520(config)#access-list acl-name extended {permit | deny}protocol 源ip 源掩碼 目標ip 目標掩碼 端口號
應用到接口
5520(config)#access-group acl-name {in | out}interface 接口名
例:5520(config)#access-list in-to-out deny ip 192.168.0.100 255.255.255.0 any
5520(config)#access-list in-to-out permit ip any any
5520(config)#access-group in-to-out in interface inside
例:5520(config)#access-list test1 deny 192.168.2.2 255.255.255.255 (標準)
5520(config)#access-list test1 permit ip any any
例:擴展
5520(config)#access-list test2 extended deny ip host 192.168.2.2 any
5520(config)# access-list test2 extended permit ip any any
應用到接口
5520(config)#access-group test2 out interface outside
5520(config)#access-group test1 out interface outside(注意方向)
8、靜態nat(主要用來做服務器映射)
5520(config)#static (real-interface,mapped-interface)mapped-ip real-ip(當然就他一條是不行的,要與acl綁在一起)
例:5520(config)#static (dmz,outside)61.232.14.82 172.16.1.30 映射
5520(config)#access-list out-to-dmz extended permit tcp any host 61.232.14.82 eq www acl
5520(config)#access-group out-to-dmz in interface outside 綁定
清除配置 clear configure all
清除部分配置 clear configure command 【level 2 command】
外網-----asa5520----分別是內網和dmz
asa配置都在全局模式下配置,很多跟cisco路由交換的一樣(大同小異)
第一次連接防火牆時有個初始化配置
主要有配置密碼,時間,內部ip,和管理ip
1、配置主機名、域名、和密碼
主機名:ciscoasa5520(config)#hostname 5520
域名: 5520(config)#domain—name 123.com
密碼:5520(config)#enable password asa5520 (特權密碼)
5520(config)#password cisco (telnet密碼)
2、配置接口名字、安全級別
5520(config)#int f0/1
5520(config)#nameif inside (內網,dmz,outside)
5520(config)#security-level 100 (安全級別爲100,dmz:50,outside:0)
5520(config)#ip add 192.168.1.1 255.255.255.0 (配置ip地址)
5520(config)#no shut
5520(config)#exit
查看接口 show interface ipbrief
show interface f/0
3、配置路由
5520(config)#route 接口名 目標網段 掩碼 下一跳
例 上網的缺省路由
5520(config)#route outside 0.0.0.0 0.0.0.0 61.232.14.81
5520(config)#route inside 192.168.0.0 0.0.255.255 192.168.1.254
查看路由 show route
4、管理(啓用telnet或者ssh)
5520(config)#telnet ip或網段 掩碼 接口
例:5520(config)#telnet 192.168.2.20 255.255.255.0 inside(表示只允許這個ip地址telnet asa)
5520(config)#telnet 192.168.2.0 255.255.255.0 inside (表示允許這個ip段telnet asa)
設置telnet超時 5520(config)#telnet timeout 30 單位爲分
ssh爲密文傳送(RSA密鑰對)
5520(config)#cryto key generate rsa modulus 1024
連接 5520(config)#ssh 192.168.2.0 255.255.255.0 inside
5520(config)#ssh 0 0 outside 允許外網任意ip連接
配置空閒超時 ssh timeout 30
ssh version 2
5、遠程接入ASDM(cisco的自適應安全管理器)
客戶端可以用cisco自帶的軟件也可以裝jre走https
啓用https服務器功能
5520(config)#http server enable 端口號(越大越好)
設置允許接入網段
5520(config)#http 網段|ip 掩碼 接口名 (http 0 0 outside 外網任何ip接入)
指定ASDM的映像位置
5520(config)#asdm p_w_picpath disk0:/asdmfilse(這個一般用show version產看版本號)
配置客戶端登錄使用的用戶名和密碼
5520(config)# username 用戶名 password 密碼 privilege 15
6、nat的配置(這個好像與pix類似)
5520(config)# nat (interface-名) nat-id 本地ip 掩碼
5520(config)#global (接口名) nat-id 全局ip、網段或接口
例:5520(config)#nat-control (啓用nat)
5520(config)#nat(inside)1 0 0 (可以指定一個網段或者全部)
5520(config)#global (outside)1 interface (這就稱了pat,當然也可以寫一個ip段或者一個ip)
5520(config)# global(dmz)1 172.16.1.100-172.16.1.110 意思與上差不多
這裏要注意:內網到dmz區域都應是nat
如果內網到dmz用路由的話,這樣可能導致***先***dmz,然後長區直入到內網。
7、acl 跟路由差不多
標準(只限定原地址)
asa5520(config)#access-list acl-name standed {premit|deny}ip-add mask
擴展
5520(config)#access-list acl-name extended {permit | deny}protocol 源ip 源掩碼 目標ip 目標掩碼 端口號
應用到接口
5520(config)#access-group acl-name {in | out}interface 接口名
例:5520(config)#access-list in-to-out deny ip 192.168.0.100 255.255.255.0 any
5520(config)#access-list in-to-out permit ip any any
5520(config)#access-group in-to-out in interface inside
例:5520(config)#access-list test1 deny 192.168.2.2 255.255.255.255 (標準)
5520(config)#access-list test1 permit ip any any
例:擴展
5520(config)#access-list test2 extended deny ip host 192.168.2.2 any
5520(config)# access-list test2 extended permit ip any any
應用到接口
5520(config)#access-group test2 out interface outside
5520(config)#access-group test1 out interface outside(注意方向)
8、靜態nat(主要用來做服務器映射)
5520(config)#static (real-interface,mapped-interface)mapped-ip real-ip(當然就他一條是不行的,要與acl綁在一起)
例:5520(config)#static (dmz,outside)61.232.14.82 172.16.1.30 映射
5520(config)#access-list out-to-dmz extended permit tcp any host 61.232.14.82 eq www acl
5520(config)#access-group out-to-dmz in interface outside 綁定
清除配置 clear configure all
清除部分配置 clear configure command 【level 2 command】