精华内容
下载资源
问答
  • cisco防火墙配置实例
    万次阅读
    2018-05-11 18:00:32

    1、按照规划,先定义外网口、内网口,比如eth0/1为外网口,eth0/2为内网口:

    interface eth0/1

    nameif outside      //接口模式下配置nameif为outside,外网口

    security-level 0     //设备默认外网口的安全等级为0

    ip address 1.1.1.1 255.255.255.0  //配置外网口IP地址为1.1.1.1/24

    --------------------------------------------------------------------------

    interface GigabitEthernet0/2

    nameif inside     //配置内网口

    security-level 100 

    ip address 192.168.0.1 255.255.255.0 

    2、分别建立NAT-POOL和需要做NAT的地址组:

    global (outside) 2 interface    //global表示全局默认NAT地址池,2为编号

    nat (inside) 2 0.0.0.0 0.0.0.0   //建立一个内网需要映射的地址组,这里用的是0.0.0.0/0全网都可以映射,实际可以按照需要指定哪些地址为这个需要做NAT的地址组

    3、建立静态NAT规则:

    static (inside,outside) 1.1.1.1 192.168.0.100 netmask 255.255.255.255

    //将外网IP地址1.1.1.1 做静态映射到 内网IP地址 192.168.0.100

    4、创建允许访问的服务规则(是否允许访问ICMP、TCP端口等)

    这里采用创建一个服务组的方式:

    object-group service mainService tcp  //创建一个服务组对象,名字为mainService
     port-object eq ftp                    //允许的服务端口
     port-object eq https
     port-object eq www
     port-object eq ssh
     port-object eq 10001

     port-object eq 10002

    access-list mylist extended permit tcp any host 1.1.1.1 object-group mainService //创建访问列表,名字为mylist,对应的服务组为mainService

    5、将自定义的访问组应用到出接口上即可:

    access-group mylist in interface outside




    更多相关内容
  • CiscoASA防火墙详细图文配置实例解析.pdf
  • 由于网络防火墙默认禁止所有的通信,因为,只有对其进行适当配置后,才能实现正常的网络通信。 1.进入全局配置模式 ciscoasa# configure terminal 2.选择欲作为网络防火墙外部接口的网络接口 ciscoasa(config)# ...
  • 思科防火墙配置命令(详细命令总结归纳)

    万次阅读 多人点赞 2021-10-08 07:01:58
    防火墙的实施是每个网络基础设施必要且不可分割的组成部分,传统的防火墙功能已经从最初保护网络免于未授权外部访问的攻击得到了进一步的发展,现在的防火墙通常具备多种功能,下面介绍一下思科防火墙的详细配置...

    目录

    前言

    一、防火墙介绍

    二、防火墙配置

    1、防火墙的基本配置

    2、配置特权密码

    3、配置远程登录密码(在使用Telnet或SSH时需要输入的密码)

    4、配置接口名称和接口安全级别

    5、配置ACL

    (1)允许入站连接

    (2)控制出站连接的流量

    (3)ACL其他配置

    6、配置静态路由

    7、配置命令补充

    8、远程管理ASA

    (1)Telnet配置实例

    (2)配置SSH接入

    9、ASA防火墙配置NAT

    (1)动态PAT转换配置

    (2)静态NAT转换配置

    (3)静态PAT转换配置方法

    (4)NAT豁免配置方法

    结语


    前言


         防火墙的实施是每个网络基础设施必要且不可分割的组成部分,传统的防火墙功能已经从最初保护网络免于未授权外部访问的攻击得到了进一步的发展,现在的防火墙通常具备多种功能,下面介绍一下思科防火墙的详细配置方法


    一、防火墙介绍


         防火墙用于维护一个关于用户信息的连接表,称为Conn表,表中信息有:源ip地址、目的ip地址、ip协议(如http、ftp等)、ip协议信息(协议端口号等),防火墙能够基于特定的网络、主机和服务(TCP/UDP端口号)控制网络访问


    二、防火墙配置


    1、防火墙的基本配置

    ciscoasa> en
    Password:默认特权密码为空,直接回车即可
    ciscoasa# conf t
    ciscoasa(config)# hostname 防火墙名称

    2、配置特权密码

    asa(config)# enable password 密码

    3、配置远程登录密码(在使用Telnet或SSH时需要输入的密码)

    asa(config)# passwd 密码

    4、配置接口名称和接口安全级别

    asa(config)# in e0/0
    asa(config-if)# nameif 接口名称
    asa(config-if)# security-level 安全级别{0~100}
    如果ASA的型号是5505,则不支持在物理接口上直接进行以上配置,必须通过VLAN虚接口来配置
    asa(config)#int vlan 1
    asa(config-if)# nameif inside
    asa(config-if)# security-level 100
    asa(config-if)#ip add 10.1.1.254 255.255.255.0
    asa(config-if)# no shut
    查看conn表
    asa#show conn detail

    5、配置ACL

    (1)允许入站连接

    asa(config)# access-list out_to_in permit ip host 172.16.1.5 host 10.1.1.7允许外网主机172.16.1.5访问内网主机10.1.1.7,out_to_in为ACL组名
    asa(config)# access-group out_to_in in int outside将组名为out_to_in的ACL应用在outside接口

    (2)控制出站连接的流量

    asa(config)# access-list in_to_out deny ip 10.0.0.0 255.0.0.0 any拒绝内网10.0.0.0网段 访问外网所有网段
    asa(config)# access-list in_to_out permit ip any any允许其他所有流量通行,因为ACL有隐含的拒绝语句,所以配置ACL时,一般都需要允许所有流量
    asa(config)# access-group in_to_out in int inside应用在内网接口

    (3)ACL其他配置

    ICMP协议
    默认情况下,禁止ICMP报文穿越ASA是基于安全性的考虑,有时候为了方便调试,可以配置暂时允许ICMP应答报文穿越ASA

    ciscoasa(config)# access-list 111 permit icmp any any定义ACL
    ciscoasa(config)# access-group 111 in int outside应用到outside接口

    6、配置静态路由

    asa(config)# route outside 172.16.0.0 255.255.0.0 10.0.0.1去往外网172.16.0.0网段的流量下一跳为10.0.0.1
    asa(config)# route inside 192.168.1.0 255.255.255.0 192.168.2.1去往内网192.168.1.0网段的流量下一跳为192.168.2.1

    7、配置命令补充

    no在前面,当配置错一条命令后,可以在原先的配置命令前加no即可删除配置错的那条命令

    ciscoasa# write memory保存running configuration配置到startup configuration
    ciscoasa# copy running-config startup-config保存running configuration配置到startup configuration
    ciscoasa(config)# clear configure all清除running configuration的所有配置
    ciscoasa(config)# clear configure access-list清除所有acces-list命令的配置
    ciscoasa(config)# clear configure access-list in_to_out只清除access-list in_to_out 的配置
    ciscoasa# write erase删除startup-config配置文件

    8、远程管理ASA

    ASA支持三种主要的远程管理接入方式:Telnet 、ssh和ASDM

    (1)Telnet配置实例

    由于使用Telnet远程管理是不安全的,所以一般禁止从外部接口使用Telnet接入,而只允许在内网使用Telnet

    配置允许从inside区域内的192.168.0.0/24网段使用telnet接入
    ciscoasa(config-if)# telnet 192.168.0.0 255.255.255.0 inside(接口名字)
    或者允许单个主机Telnet防火墙(两者根据需要二选一即可)
    ciscoasa(config)# telnet 192.168.0.1 255.255.255.255 inside(接口名字)
    配置空闲超时时间为30分钟
    ciscoasa(config)# telnet timeout 30(1~1440min,默认5min)

    (2)配置SSH接入

    配置主机名和域名,因为在生成RSA密钥对的过程中需要用到主机名和域名
    ciscoasa(config-if)# host 主机名配置主机名
    aaa(config)# domain-name 域名{.com}配置域名
    aaa(config)# crypto key generate rsa modulus 1024指定modulus的大小为1024位,大小可以为512位,768位,1024位或2048位,表示生成的RSA密钥的长度
    aaa(config)# ssh 192.168.1.0 255.255.255.0 inside允许内网1.0的网段SSH接入
    aaa(config)# ssh 0 0 outside允许外网任何主机SSH接入
    aaa(config)# ssh timeout 30配置超时时间为30分钟
    aaa(config)# ssh version 2启用SSH的版本2,该命令为可选

    版本1和版本2,区别是安全机制不一样,配置SSH接入完成后,可以在outside区域内的主机上使用SecureCRT或putty等工具登录ASA的outside接口,注意ASA默认使用用户名为pix,密码为使用password命令设置的密码

    9、ASA防火墙配置NAT

    (1)动态PAT转换配置

    把内部全局地址10.1.1.2转换为30.1.1.100
    ASA(config)# nat (×××ide){名称,outside或inside} nat名称 10.1.1.0 255.255.255.0声明内部地址
    ASA(config)# global (outside) nat名称 30.1.1.100-30.1.1.200声明全局地址,nat名称与内部nat名称要相同
    ASA(config)# show xlate detai查看NAT地址转换表
    转换为outside接口的地址
    ASA(config)# nat (×××ide){名称,outside或inside} nat名称 10.1.1.0 255.255.255.0声明内部地址,nat-id为1
    ASA(config)# global (outside) 1 interface声明内部地址全部转换为outside区域接口地址

    (2)静态NAT转换配置

    dmz区域的20.1.1.2 映射成公网地址100.1.1.1访问
    ASA(config)# static (dmz,outside) 100.1.1.1 20.1.1.2第一个IP地址是公网IP地址,第二地址是dmz区域服务器的真实IP地址
    ASA(config)# access-list 100 permit ip host 30.1.1.2 host 100.1.1.1
    ASA(config)# access-group 100 in int outside设置ACL允许outside区域访问dmz区域,但是访问的是映射后的地址

    (3)静态PAT转换配置方法

    将内部的服务器映射到公网同一个IP,不同端口号
    ASA(config)# static (dmz,outside) tcp 100.1.1.1 http 20.1.1.2 http
    ASA(config)# static (dmz,outside) tcp 100.1.1.1 smtp 20.1.1.3 smtp将内部服务器地址映射到同一个公网地址不同端口号
    ASA(config)# access-list out_to_dmz permit ip host 30.1.1.2 host 100.1.1.1
    ASA(config)# access-group out_to_dmz in int outside设置ACL允许outside区域访问dmz区域,但是访问的是映射后的地址

    (4)NAT豁免配置方法

    ASA(config)# nat-control表示通过ASA防火墙的数据包都必须使用NAT地址转换技术
    ASA(config)# access-list ACL组名 extended permit ip 10.1.1.0 255.255.255.0 30.1.1.0 255.255.255.0
    ASA(config)# nat (×××ide) 0 access-list ACL组名×××ide接口应用ACL,注意nat名称为0 表示使用NAT豁免,优先级最高,就是ACL中的地址经过ASA防火墙时,不需要进行地址转换

    结语


         在互联网上防火墙是一种非常有效的网络安全防范设备,通过它可以隔离风险区域 (即Internet或有一定风险的网络)与安全区域 (局域网)的连接 ,所以它一般连接在核心交换机与外网之间,在内部网络与外网之间起到一个把关的作用

    展开全文
  • CiscoPix防火墙配置实例推荐.pdf
  • CISCO 5520防火墙配置实例.docx
  • Cisco防火墙基础介绍及配置

    万次阅读 多人点赞 2019-05-22 17:39:11
    Cisco硬件防火墙技术应用领域: PIX 500 系列安全设备。 ASA 5500系列自适应安全设备。 Catalyst 6500 系列交换机和Cisco 7600 系列路由器的防火墙服务模块。 Cisco ASA 5500 系列自适应安全设备提供了整合防火墙、...

    一、ASA(状态化防火墙)安全设备介绍:

    Cisco硬件防火墙技术应用领域:

    PIX 500 系列安全设备。
    ASA 5500系列自适应安全设备。
    Catalyst 6500 系列交换机和Cisco 7600 系列路由器的防火墙服务模块。

    Cisco ASA 5500 系列自适应安全设备提供了整合防火墙、入 侵保护系统(IPS)、高级自适应威胁防御服务,其中包括应用安全和简化网络安全解决方案的V P N服务。
    在这里插入图片描述
    二、ASA状态化防火墙的安全算法:

    状态化防火墙维护一个关于用户信息的连接表,称为Conn表
    Conn表中的关键信息如下:
    在这里插入图片描述
    源IP地址
    目的IP地址
    IP协议(例如TCP或UDP)
    IP协议信息(例如TCP/UDP端口号,TCP序列号,TCP控制位)在这里插入图片描述

    在上图中,当PC访问web服务器时,状态化防火墙处理的过程如下:

    1、 PC发起一个HTTP请求给web服务器;

    2、HTTP请求到达防火墙,防火墙将链接信息(如源IP地址和目的IP地址、使用的TCP协议、源IP地址和目的IP地址的TCP端口号)添加到conn表;

    3、 防火墙将HTTP请求转发给web服务器;

    流量返回时,状态化防火墙处理的过程如下:

    1、web服务器相应HTTP请求,返回相应的数据流量;

    2、防火墙拦截该流量,检查其连接信息;

    如果在conn表中查找到匹配的连接信息,则流量被允许。
    如果在conn表中找不到匹配的连接信息,则流量被丢弃。
    ASA使用安全算法执行以下三项基本操作:

    1、访问控制列表:基于特定的网络、主机和服务(TCP/UDP端口号)控制网络访问。

    2、连接表:维护每个连接的状态信息。安全算法使用此信息在已建立的连接中有效的转发流量。(个人理解为:ASA允许内网客户端主动向外网建立连接,但外网不允许主动向内网建立连接,也就是说,要实现流量通信,必须是内网用户主动发起连接的。)

    3、检测引擎:执行状态检测和应用层检测。检测规则集是预先定义的,来验证应用是否遵从每个RFC和其他标准。

    数据报文穿越ASA的过程如下所示:
    在这里插入图片描述

    1、一个新来的TCP SYN报文到达ASA,试图建立一个新的连接;

    2、ASA检查访问控制列表,确定是否允许连接;

    3、ASA执行路由查询,如果路由正确,ASA使用必要的会话信息在连接表(XLATE和CONN)中创建一个新条目;

    4、ASA在检测引擎中检查预定义的一套规则,如果是已知应用,则进一步执行应用层检测;

    5、ASA根据检测引擎确定是否转发或丢弃报文,如果允许转发,则将报文转发到目的主机;

    6、目的主机相响应该报文;

    7、ASA接收返回报文并进行检测,在连接数据库中查询连接,确定会话信息与现有连接是否匹配;

    8、ASA转发属于已建立的现有会话的报文;

    ASA的应用层检测通过检查报文的IP包头和有效载荷的内容,对应用层协议流量执行深层检测,检查应用层协议是否遵守RFC标准,从而检查出应用层数据中的恶意行为。

    三、ASA接口的概念:

    1、ASA的一个接口通常有两种名称:

    ①物理名称:与路由器接口的名称类似,如Ethernet0/0可以简写成E0/0,通常用来配置接口的速率、双工和IP地址等。

    ②、逻辑名称:用于大多数的配置命令,如配置ACL、路由器等使用的命令中都用到逻辑名称。逻辑名称用来描述安全区域,如通常用inside表示ASA连接的内部区域(安全级别高),用outside表示ASA连接的外部区域(安全级别低)。

    2、接口的安全级别:

    每个接口都有一个安全级别,范围是0~100,数值越大,安全级别越高。一般配置接口为inside(内网接口)时,将其安全级别设置为100,为outside(外网接口)时,将其安全级别设置为0,为DMZ(隔离区)时,安全级别介于inside和outside之间即可。

    不同安全级别的接口之间相互访问时,遵从以下默认规则:

    ①允许出站连接:就是允许从高安全级别接口到低安全级别的流量通过。比如说从inside访问outside是允许的。

    ②禁止入站连接:就是禁止从低安全级别接口到高安全级别接口的流量通过。比如说从outside访问inside是禁止的。

    ③禁止相同安全级别的接口之间通信。

    四、DMZ的概念和作用:

    DMZ称为隔离区,是位于企业内部网络和外部网络之间的一个网络区域。在这个网络区域内可以放置一些必须公开的服务器、如web服务器、FTP服务器和论坛等。示意图如下:
    在这里插入图片描述
    DMZ中放置一些不含机密信息的共用服务器,这样来自外网的访问者也可以访问DMZ中的服务,但不能访问内网的公司机密信息。即使DMZ中的服务器收到攻 击,也不会对内网的机密信息造成影响,所以,可以通过DMZ区域有效的保护内网环境。

    当存在DMZ区域时,默认的访问规则如下:
    在这里插入图片描述
    上图中默认遵循的访问规则如下:

    inside可以访问DMZ和outside;
    DMZ可以访问outside但不允许访问inside;
    outside不能访问DMZ和inside,不过通常会配置ACL,让outside可以访问DMZ,若不然,DMZ就没有存在的意义了。
    五、ASA的基本配置:

    配置主机名:

    ciscoasa> en
    Password: #默认特权密码为空,直接回车即可。
    ciscoasa# conf t
    ciscoasa(config)# hostname asa
    配置特权密码:
    asa(config)# enable password 123.com #将特权密码配置为123.com

    配置远程登录密码(在使用Telnet或SSH时需要输入的密码):

    asa(config)# passwd 2019.com #将远程连接时的密码设置为2019.com

    配置接口名称和接口安全级别:

    asa(config)# in e0/0 #进入e0接口
    asa(config-if)# nameif inside #将e0接口定义为inside

    INFO: Security level for “inside” set to 100 by default. #系统提示,请
    将inside接口的安全级别配置为100

    asa(config-if)# security-level 100 #将inside接口的安全级别配置为100
    如果ASA的型号是5505,则不支持在物理接口上直接进行以上配置,必须通过VLAN虚接口来配置,具体如下:

    asa(config)#int vlan 1
    asa(config-if)# nameif inside
    asa(config-if)# security-level 100
    asa(config-if)#ip add 10.1.1.254 255.255.255.0
    asa(config-if)# no shut
    查看conn表:

    asa#show conn detail

    配置ACL:
    在ASA上配置ACL有两个作用,一是允许入站连接,二是控制出站连接的流量。
    需要注意的是,路由器上的ACL使用反码,而ASA上的ACL使用正常的掩码,另外,标准ACL过滤流量时不能应用到接口,它应用在其他场合,如远程访问V P N中分离隧道的配置。

    允许入站连接的实例:

    asa(config)# access-list out_to_in permit ip host 172.16.1.1 host 10.1.1.1
    #允许外网主机172.16.1.1访问内网主机10.1.1.1,out_to_in为ACL组名。

    asa(config)# access-group out_to_in in int outside
    #将组名为out_to_in的ACL应用在outside接口
    控制出站连接的流量:

    asa(config)# access-list in_to_out deny ip 10.0.0.0 255.0.0.0 any #拒绝
    内网10.0.0.0网段 访问外网所有网段。
    asa(config)# access-list in_to_out permit ip any any #并允许其他所有
    流量通行,因为ACL有隐含的拒绝语句,所以配置ACL时,一般都需要允许所有流量
    asa(config)# access-group in_to_out in int inside #应用在内网接口
    配置静态路由:

    asa(config)# route outside 172.16.0.0 255.255.0.0 10.0.0.1 #去往外网
    172.16.0.0网段的流量下一跳为10.0.0.1

    asa(config)# route inside 192.168.1.0 255.255.255.0 192.168.2.1 #去往内网
    192.168.1.0网段的流量下一跳为192.168.2.1
    其他配置

    1、ICMP协议:
    默认情况下,禁止ICMP报文穿越ASA是基于安全性的考虑。有时候为了方便调试,可以配置暂时允许ICMP应答报文穿越ASA。

    ciscoasa(config)# access-list 111 permit icmp any any #定义ACL
    ciscoasa(config)# access-group 111 in int outside #应用到outside接口
    2、其他配置命令:
    写在前面,一切皆可no,也就是说当配置错一条命令后,可以在原先的配置命令前加no即可删除配置错的那条命令

    ciscoasa# write memory #保存running configuration配置
    到startup configuration

    或者
    ciscoasa# copy running-config startup-config #保存running configuration
    配置到startup configuration

    ciscoasa(config)# clear configure all #清除running configuration的所有配置

    ciscoasa(config)# clear configure access-list #清除所有acces-list命令的配置

    ciscoasa(config)# clear configure access-list in_to_out #只清除access-list
    in_to_out 的配置

    ciscoasa# write erase #删除startup-config配置文件
    六、远程管理ASA:

    ASA支持三种主要的远程管理接入方式:Telnet 、ssh和ASDM。

    1、Telnet配置实例:

    由于使用Telnet远程管理是不安全的,所以一般禁止从外部接口使用Telnet接入,而只允许在内网使用Telnet。
    在这里插入图片描述
    1)、配置允许从inside区域内的192.168.0.0/24网段使用telnet接入,命令如下:

    ciscoasa(config-if)# telnet 192.168.0.0 255.255.255.0 inside

    或者允许单个主机Telnet防火墙(两者根据需要二选一即可):

    ciscoasa(config)# telnet 192.168.0.1 255.255.255.255 inside

    2)、配置空闲超时时间为30分钟,命令如下:

    ciscoasa(config)# telnet timeout 30

    至此,即可实现Telnet远程管理。

    2、配置SSH接入:

    1)、配置主机名和域名,因为在生成RSA密钥对的过程中需要用到主机名和域名,(主机名的配置可省略)

    ciscoasa(config-if)# host aaa #配置主机名

    aaa(config)# domain-name abc.com #配置域名

    aaa(config)# crypto key generate rsa modulus 1024 #指定modulus的大小
    为1024位,大小可以为512位、768位、1024位或2048位,
    表示生成的RSA密钥的长度

    aaa(config)# ssh 192.168.1.0 255.255.255.0 inside #允许内网1.0的网段
    SSH接入

    aaa(config)# ssh 0 0 outside #允许外网任何主机SSH接入

    aaa(config)# ssh timeout 30 #配置超时时间为30分钟

    aaa(config)# ssh version 2 #启用SSH的版本2,该命令为可选,
    有版本1和版本2,至于区别…不过是安全机制不一样
    配置SSH接入完成后,可以在outside区域内的主机上使用SecureCRT或putty等工具登录ASA的outside接口,注意ASA默认使用用户名为pix,密码为使用password命令设置的密码。

    展开全文
  • Cisco_ASA5505防火墙详细配置教程及实际配置案例.pdf 内容为PDF格式书籍文件,内容高清 ,有问题欢迎随时站内私信联系,拒绝差评,谢谢!
  • Cisco_ASA防火墙图文配置实例 peiz
  • Cisco防火墙pix515配置实例 一、引言  硬件防火墙的应用,现在是越来越多,产品也很丰富。一般国产的防火墙多带有中文的说明和一些相应的配置实例,但国外的产品几乎都没有中文的说明书。
  • Cisco ASA Series Firewall CLI Configuration Guide, 9.14 思科2019年4月最新发布文档,用于思科ASA 9.14防火墙特性命令行配置,共464页。
  • 思科SNMP配置实例

    2018-10-10 00:32:38
    本文档介绍了如何在 Cisco交换机或路由器上配置SNMP。本文档的目标不是涵盖所有的 SNMP功能,而是对主要的命令加以介绍并提供一些示例和指南。
  • Cisco_ASA防火墙ASDM图文配置实例
  • Cisco路由器防火墙配置命令及实例.pdf
  • 通过一些相关的实例,详细的介绍了思科防火墙的各种配置指令配置方法。
  • 企业办公网络中,因对安全性要求较高,防火墙也就成了大部分企业网络中的一个非常重要的网络设备了,防火墙这个词猛一听一种很高大上的感觉,其实配置起来也比较简单,相比较路由器来说,防火墙更侧重于一个防字,对...

    企业办公网络中,因对安全性要求较高,防火墙也就成了大部分企业网络中的一个非常重要的网络设备了,防火墙这个词猛一听一种很高大上的感觉,其实配置起来也比较简单,相比较路由器来说,防火墙更侧重于一个防字,对网络中的数据进行各种控制为主。

    上一篇介绍了企业网络办公网络中的普通路由器和专业路由器的基本配置,分web和命令行进行了注解,现在来看看防火墙的基本配置

    52b82f6ad6f683a54f0aa62aaf3b84f3.png

    带防火墙的企业办公网络

    防火墙的基本配置也还是分为web和命令行两种

    防火墙的web配置举例(Juniper,如今已经演化成了hillstone):

    登录一般用lan口(这里叫trust口)IP进行web登录

    第一步:配置外网接口,这里被称为untrust口

    2824115483a5fa3c4b22afd9b8123a19.png

    wan口配置

    db6d6152ed3b51c818eb7a9603037239.png

    untrust口配置

    设置完后 点 apply完成

    第二步:配置内网接口

    c5159a28dd3ef09e1daf16cf1344e666.png

    lan口配置

    034b0d551e4256f81c21c2bb1f319e06.png

    trust口配置

    设置完后 点 apply完成

    第三步: 路由配置

    41caab02bbfcc4cadf143106f2327145.png

    进入路由配置

    079e54faebf036a1a66ee6fff9f3b586.png

    网关配置

    上述步骤完成后内网电脑已经可以上网了,当然这里只是最基本的网络配置,更多的高级配置后面再讲。其它防火墙的web配置类似,每个厂家可能对接口什么的描述不同,原理还是一样的。

    防火墙的命令行配置举例(ASA为例,思科的比较老的产品):

    登录用控制线或者SSH来登录

    第一步:外网口配置

    e4372b321318e54eeb5453b77325a982.png

    进入外网口

    ddd52b4e0fb1039c30280ee26a3e082f.png

    外网物理口配置

    该物理接口放在vlan 2上

    3816dbda2b235fd9cf43eb69e358f6e3.png

    外网口IP配置

    注意这里 outside就是定义外网口 安全级别低

    第二步:内网口配置

    50cf9a03ee908b1799ce71eee6173292.png

    内网口配置

    inside就是定义内网口,安全级别高,连接内网交换机的网口默认属于vlan 1的,这里就不用配置物理口了

    第三步:配置路由

    2e76da860d17e54b056e7f3f62b789a6.png

    配置默认网关

    第四步:NAT配置

    dcb6c7d8c412e283c54336037a9fe2e6.png

    内网需要上网的地址定义,这里指所有内网

    12311ff68a00a61a57c60bfc3caed397.png

    定义转换成的IP地址池

    这里可以是一个或者多个,开始到结尾即可。

    b35e8e3c40b19e2fb98fccf6d76d2c88.png

    nat转换

    上述步骤后,内网电脑即可以上网了,不同厂商的设备命令行不同。

    展开全文
  • Cisco防火墙pix515配置实例.pdf
  • 非常实用,没有接触过的的可以一看,试用于Cisco ASA防火墙
  • 思科防火墙nat 命令配置

    千次阅读 2019-08-19 19:47:59
    1.ASA一对一的NAT配置 分析现在内网不能PING外网有两方面原因 1:在路由层面(内网的设备没有外网的路由,外网的设备没有内网路由) 2:ASA防火策略层面(当外网的OUTSIDE去访问INSIDE接口时候会拒绝访问。 1...
  • cisco 防火墙配置详解

    2011-07-01 09:15:47
    PIX 525 配置详解 很好的 非常详细的配置文档
  • Cisco 路由器防火墙配置命令及实例
  • 转载Cisco PIX防火墙的实际应用配置实例
  • Cisco_ASA防火墙图文配置实例.pdf
  • 思科防火墙ASA5520 外观网络拓扑图如下内网 网段 192.168.2.0/24公网IP地址 118.25.235.100公网IP地址网关:118.25.235.1.1防火墙内网IP:192.168.2.1/24配置步骤:1、基本配置配置内外网接口 conf t hostname ASAFW...
  • cisco asa 5505 防火墙配置实例.
  • Cisco防火墙HA实例

    2021-05-15 17:56:29
    实验环境:2台ASA5508防火墙,组建HA使得一台作为主防火墙Active,另外一台平时作为standby作为备用防火墙防火墙有3个端口,gi 1/1 端口为outside出口 gi1/2 端口为inside进口 gi 1/3 端口为两台防火墙互连接口...
  • 思科ASA 5505防火墙是通过创建vlan,将端口加入vlan,对vlan的安全等级进行设置的方式创建安全区域,通过ACL对vlan之间的流量进行控制; 0x01 ,搭建实验拓扑如下: 实验要求及目的:配置安全区域,安全规则,实现...
  • ciscoASA防火墙vlan子接口互相通讯配置实例 包括ASA防火墙vlan间互相通讯配置示例等。

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 3,785
精华内容 1,514
关键字:

cisco防火墙配置实例