防火牆

防火牆（基礎）：

一：6個基本命令： nameif、 interface、 ip address 、nat、 global、 route。

二：基本配置步驟：

step1: 命名接口名字
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50

7版本的配置是先進入接口再命名。

step2：配置接口速率

interface ethernet0 10full auto
interface ethernet1 10full auto
interface ethernet2 10full

step3：配置接口地址

ip address outside 218.106.185.82
ip address inside 192.168.100.1 255.255.255.0
ip address dmz 192.168.200.1 255.255.255.0

step4：地址轉換

* 安全高的區域訪問安全低的區域（即內部到外部）需NAT和global;
nat(inside) 1 192.168.1.1 255.255.255.0
global(outside) 1 222.240.254.193 255.255.255.248

 nat (inside) 0 192.168.1.1 255.255.255.255 表示192.168.1.1這個地址不需要轉換。直接轉發出去。

* 如果內部有服務器需要映射到公網地址(外網訪問內網)則需要static和conduit或者acl.
static (inside, outside) 222.240.254.194 192.168.1.240
static (inside, outside) 222.240.254.194 192.168.1.240 10000 10

後面的10000爲限制連接數，10爲限制的半開連接數。

conduit permit tcp host 222.240.254.194 eq www any
conduit permit icmp any any (這個命令在做測試期間可以配置，測試完之後要關掉，防止不必要的漏洞)

ACL的功能實現
Access-list 101 permit tcp any host 222.240.254.194 eq www
Access-group 101 in interface outside (綁定到接口)

允許任何地址到主機地址爲222.240.254.194的www的tcp訪問。

Step5：路由定義：
Route outside 0 0 222.240.254.193 1
Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1

如果內部網段不是直接接在防火牆內口，則需要配置到內部的路由。

Step6：基礎配置完成，保存配置。
Write memory write erase 清空配置
reload