精华内容
下载资源
问答
  • 2019-09-13 17:57:43

     1.如果开启机器,命令行出现如下情况:

    rommon #0> 

    rommon 加载系统的小系统。常用来做镜像恢复,一些特殊参数设置等。就像pc的BIOS

    2.可用boot命令

    rommon #0> boot
    Launching BootLoader...
    Default configuration file contains 1 entry.
    
    Searching / for images to boot.

    3.如果开启机器,命令行是如下情况:(则跳过1,2)

    ciscoasa> 
    

    4.在命令行输入enable进入特权模式(就是对机器的最高权限配置模式)

    ciscoasa> enable

    5.在命令行输入config terminal进入全局配置模式

    ciscoasa>#config terminal

    6.根据需要配置接口(这里以 management0/0 为例)

    ciscoasa(config)#interface management 0/0
    
    ciscoasa(config-if)#ip address 192.168.1.100 255.255.255.0
    
    ciscoasa(config-if)#nameif inside(也可为outside)
    ciscoasa(config-if)#exit

    因为最新版的PIX采用ASA算法,对端口所连接的网络进行保护。当你输入nameif inside 命令时,PIX本身会运行ASA算法将此端口的保护级别设置为100

    7.SSH开启


    ciscoasa(config)# crypto key generate rsa  modulus 1024

    为路由器的SSH加密会话产生加密密钥。后面接数值,是key modulus size,单位为bit

    可能会出现:

    WARNING: You have a RSA keypair already defined named <Default-RSA-Key>.

    Do you really want to replace them? [yes/no]: y


    Keypair generation process begin. Please wait...

    8.允许ssh从inside接口登录  

    ciscoasa(config)# ssh 0.0.0.0 0.0.0.0 inside

    0.0.0.0 0.0.0.0 是放开所有IP,也可根据需要进行限制

    9.设置ssh会话的超时时间

    ciscoasa(config)# ssh timeout 60

    10.设置本地用户用户名及密码

    ciscoasa(config)# username root password root
    

    11ssh登录启用本地认证

    ciscoasa(config)# aaa authentication ssh console LOCAL

    12确定ssh的版本

    ciscoasa(config)# ssh version 2

     

    转载于:https://my.oschina.net/xinyuzhixing/blog/678786

    更多相关内容
  • 思科防火墙配置手册
  • 思科防火墙配置命令(详细命令总结归纳)

    千次阅读 多人点赞 2021-10-08 07:01:58
    防火墙的实施是每个网络基础设施必要且不可分割的组成部分,传统的防火墙功能已经从最初保护网络免于未授权外部访问的攻击得到了进一步的发展,现在的防火墙通常具备多种功能,下面介绍一下思科防火墙的详细配置...

    目录

    前言

    一、防火墙介绍

    二、防火墙配置

    1、防火墙的基本配置

    2、配置特权密码

    3、配置远程登录密码(在使用Telnet或SSH时需要输入的密码)

    4、配置接口名称和接口安全级别

    5、配置ACL

    (1)允许入站连接

    (2)控制出站连接的流量

    (3)ACL其他配置

    6、配置静态路由

    7、配置命令补充

    8、远程管理ASA

    (1)Telnet配置实例

    (2)配置SSH接入

    9、ASA防火墙配置NAT

    (1)动态PAT转换配置

    (2)静态NAT转换配置

    (3)静态PAT转换配置方法

    (4)NAT豁免配置方法

    结语


    前言


         防火墙的实施是每个网络基础设施必要且不可分割的组成部分,传统的防火墙功能已经从最初保护网络免于未授权外部访问的攻击得到了进一步的发展,现在的防火墙通常具备多种功能,下面介绍一下思科防火墙的详细配置方法


    一、防火墙介绍


         防火墙用于维护一个关于用户信息的连接表,称为Conn表,表中信息有:源ip地址、目的ip地址、ip协议(如http、ftp等)、ip协议信息(协议端口号等),防火墙能够基于特定的网络、主机和服务(TCP/UDP端口号)控制网络访问


    二、防火墙配置


    1、防火墙的基本配置

    ciscoasa> en
    Password:默认特权密码为空,直接回车即可
    ciscoasa# conf t
    ciscoasa(config)# hostname 防火墙名称

    2、配置特权密码

    asa(config)# enable password 密码

    3、配置远程登录密码(在使用Telnet或SSH时需要输入的密码)

    asa(config)# passwd 密码

    4、配置接口名称和接口安全级别

    asa(config)# in e0/0
    asa(config-if)# nameif 接口名称
    asa(config-if)# security-level 安全级别{0~100}
    如果ASA的型号是5505,则不支持在物理接口上直接进行以上配置,必须通过VLAN虚接口来配置
    asa(config)#int vlan 1
    asa(config-if)# nameif inside
    asa(config-if)# security-level 100
    asa(config-if)#ip add 10.1.1.254 255.255.255.0
    asa(config-if)# no shut
    查看conn表
    asa#show conn detail

    5、配置ACL

    (1)允许入站连接

    asa(config)# access-list out_to_in permit ip host 172.16.1.5 host 10.1.1.7允许外网主机172.16.1.5访问内网主机10.1.1.7,out_to_in为ACL组名
    asa(config)# access-group out_to_in in int outside将组名为out_to_in的ACL应用在outside接口

    (2)控制出站连接的流量

    asa(config)# access-list in_to_out deny ip 10.0.0.0 255.0.0.0 any拒绝内网10.0.0.0网段 访问外网所有网段
    asa(config)# access-list in_to_out permit ip any any允许其他所有流量通行,因为ACL有隐含的拒绝语句,所以配置ACL时,一般都需要允许所有流量
    asa(config)# access-group in_to_out in int inside应用在内网接口

    (3)ACL其他配置

    ICMP协议
    默认情况下,禁止ICMP报文穿越ASA是基于安全性的考虑,有时候为了方便调试,可以配置暂时允许ICMP应答报文穿越ASA

    ciscoasa(config)# access-list 111 permit icmp any any定义ACL
    ciscoasa(config)# access-group 111 in int outside应用到outside接口

    6、配置静态路由

    asa(config)# route outside 172.16.0.0 255.255.0.0 10.0.0.1去往外网172.16.0.0网段的流量下一跳为10.0.0.1
    asa(config)# route inside 192.168.1.0 255.255.255.0 192.168.2.1去往内网192.168.1.0网段的流量下一跳为192.168.2.1

    7、配置命令补充

    no在前面,当配置错一条命令后,可以在原先的配置命令前加no即可删除配置错的那条命令

    ciscoasa# write memory保存running configuration配置到startup configuration
    ciscoasa# copy running-config startup-config保存running configuration配置到startup configuration
    ciscoasa(config)# clear configure all清除running configuration的所有配置
    ciscoasa(config)# clear configure access-list清除所有acces-list命令的配置
    ciscoasa(config)# clear configure access-list in_to_out只清除access-list in_to_out 的配置
    ciscoasa# write erase删除startup-config配置文件

    8、远程管理ASA

    ASA支持三种主要的远程管理接入方式:Telnet 、ssh和ASDM

    (1)Telnet配置实例

    由于使用Telnet远程管理是不安全的,所以一般禁止从外部接口使用Telnet接入,而只允许在内网使用Telnet

    配置允许从inside区域内的192.168.0.0/24网段使用telnet接入
    ciscoasa(config-if)# telnet 192.168.0.0 255.255.255.0 inside(接口名字)
    或者允许单个主机Telnet防火墙(两者根据需要二选一即可)
    ciscoasa(config)# telnet 192.168.0.1 255.255.255.255 inside(接口名字)
    配置空闲超时时间为30分钟
    ciscoasa(config)# telnet timeout 30(1~1440min,默认5min)

    (2)配置SSH接入

    配置主机名和域名,因为在生成RSA密钥对的过程中需要用到主机名和域名
    ciscoasa(config-if)# host 主机名配置主机名
    aaa(config)# domain-name 域名{.com}配置域名
    aaa(config)# crypto key generate rsa modulus 1024指定modulus的大小为1024位,大小可以为512位,768位,1024位或2048位,表示生成的RSA密钥的长度
    aaa(config)# ssh 192.168.1.0 255.255.255.0 inside允许内网1.0的网段SSH接入
    aaa(config)# ssh 0 0 outside允许外网任何主机SSH接入
    aaa(config)# ssh timeout 30配置超时时间为30分钟
    aaa(config)# ssh version 2启用SSH的版本2,该命令为可选

    版本1和版本2,区别是安全机制不一样,配置SSH接入完成后,可以在outside区域内的主机上使用SecureCRT或putty等工具登录ASA的outside接口,注意ASA默认使用用户名为pix,密码为使用password命令设置的密码

    9、ASA防火墙配置NAT

    (1)动态PAT转换配置

    把内部全局地址10.1.1.2转换为30.1.1.100
    ASA(config)# nat (×××ide){名称,outside或inside} nat名称 10.1.1.0 255.255.255.0声明内部地址
    ASA(config)# global (outside) nat名称 30.1.1.100-30.1.1.200声明全局地址,nat名称与内部nat名称要相同
    ASA(config)# show xlate detai查看NAT地址转换表
    转换为outside接口的地址
    ASA(config)# nat (×××ide){名称,outside或inside} nat名称 10.1.1.0 255.255.255.0声明内部地址,nat-id为1
    ASA(config)# global (outside) 1 interface声明内部地址全部转换为outside区域接口地址

    (2)静态NAT转换配置

    dmz区域的20.1.1.2 映射成公网地址100.1.1.1访问
    ASA(config)# static (dmz,outside) 100.1.1.1 20.1.1.2第一个IP地址是公网IP地址,第二地址是dmz区域服务器的真实IP地址
    ASA(config)# access-list 100 permit ip host 30.1.1.2 host 100.1.1.1
    ASA(config)# access-group 100 in int outside设置ACL允许outside区域访问dmz区域,但是访问的是映射后的地址

    (3)静态PAT转换配置方法

    将内部的服务器映射到公网同一个IP,不同端口号
    ASA(config)# static (dmz,outside) tcp 100.1.1.1 http 20.1.1.2 http
    ASA(config)# static (dmz,outside) tcp 100.1.1.1 smtp 20.1.1.3 smtp将内部服务器地址映射到同一个公网地址不同端口号
    ASA(config)# access-list out_to_dmz permit ip host 30.1.1.2 host 100.1.1.1
    ASA(config)# access-group out_to_dmz in int outside设置ACL允许outside区域访问dmz区域,但是访问的是映射后的地址

    (4)NAT豁免配置方法

    ASA(config)# nat-control表示通过ASA防火墙的数据包都必须使用NAT地址转换技术
    ASA(config)# access-list ACL组名 extended permit ip 10.1.1.0 255.255.255.0 30.1.1.0 255.255.255.0
    ASA(config)# nat (×××ide) 0 access-list ACL组名×××ide接口应用ACL,注意nat名称为0 表示使用NAT豁免,优先级最高,就是ACL中的地址经过ASA防火墙时,不需要进行地址转换

    结语


         在互联网上防火墙是一种非常有效的网络安全防范设备,通过它可以隔离风险区域 (即Internet或有一定风险的网络)与安全区域 (局域网)的连接 ,所以它一般连接在核心交换机与外网之间,在内部网络与外网之间起到一个把关的作用

    展开全文
  • 思科防火墙配置指南,包括防火墙NAT匹配规则,静态NAT,动态NAT等。
  • cisco防火墙配置.docx

    2021-10-12 16:40:29
    cisco防火墙配置教程
  • 由于网络防火墙默认禁止所有的通信,因为,只有对其进行适当配置后,才能实现正常的网络通信。 1.进入全局配置模式 ciscoasa# configure terminal 2.选择欲作为网络防火墙外部接口的网络接口 ciscoasa(config)# ...
  • Cisco_ASA5505防火墙详细配置教程及实际配置案例.pdf 内容为PDF格式书籍文件,内容高清 ,有问题欢迎随时站内私信联系,拒绝差评,谢谢!
  • Cisco防火墙配置指南,里面都有,需要的自己下载吧
  • 思科Firepower 是集成的网络安全和流量管理产品套件,部署在专用平台上或作为软件解决方案。系 统旨在帮助您以符合组织的安全策略(网络保护准则)的方式处理网络流量。 在典型部署中,安装于各网段的多台流量感应受...
  • cisco防火墙配置.pdf

    2021-11-06 01:25:45
    cisco防火墙配置.pdf
  • Cisco防火墙基础介绍及配置

    万次阅读 多人点赞 2019-05-22 17:39:11
    Cisco硬件防火墙技术应用领域: PIX 500 系列安全设备。 ASA 5500系列自适应安全设备。 Catalyst 6500 系列交换机和Cisco 7600 系列路由器的防火墙服务模块。 Cisco ASA 5500 系列自适应安全设备提供了整合防火墙、...

    一、ASA(状态化防火墙)安全设备介绍:

    Cisco硬件防火墙技术应用领域:

    PIX 500 系列安全设备。
    ASA 5500系列自适应安全设备。
    Catalyst 6500 系列交换机和Cisco 7600 系列路由器的防火墙服务模块。

    Cisco ASA 5500 系列自适应安全设备提供了整合防火墙、入 侵保护系统(IPS)、高级自适应威胁防御服务,其中包括应用安全和简化网络安全解决方案的V P N服务。
    在这里插入图片描述
    二、ASA状态化防火墙的安全算法:

    状态化防火墙维护一个关于用户信息的连接表,称为Conn表
    Conn表中的关键信息如下:
    在这里插入图片描述
    源IP地址
    目的IP地址
    IP协议(例如TCP或UDP)
    IP协议信息(例如TCP/UDP端口号,TCP序列号,TCP控制位)在这里插入图片描述

    在上图中,当PC访问web服务器时,状态化防火墙处理的过程如下:

    1、 PC发起一个HTTP请求给web服务器;

    2、HTTP请求到达防火墙,防火墙将链接信息(如源IP地址和目的IP地址、使用的TCP协议、源IP地址和目的IP地址的TCP端口号)添加到conn表;

    3、 防火墙将HTTP请求转发给web服务器;

    流量返回时,状态化防火墙处理的过程如下:

    1、web服务器相应HTTP请求,返回相应的数据流量;

    2、防火墙拦截该流量,检查其连接信息;

    如果在conn表中查找到匹配的连接信息,则流量被允许。
    如果在conn表中找不到匹配的连接信息,则流量被丢弃。
    ASA使用安全算法执行以下三项基本操作:

    1、访问控制列表:基于特定的网络、主机和服务(TCP/UDP端口号)控制网络访问。

    2、连接表:维护每个连接的状态信息。安全算法使用此信息在已建立的连接中有效的转发流量。(个人理解为:ASA允许内网客户端主动向外网建立连接,但外网不允许主动向内网建立连接,也就是说,要实现流量通信,必须是内网用户主动发起连接的。)

    3、检测引擎:执行状态检测和应用层检测。检测规则集是预先定义的,来验证应用是否遵从每个RFC和其他标准。

    数据报文穿越ASA的过程如下所示:
    在这里插入图片描述

    1、一个新来的TCP SYN报文到达ASA,试图建立一个新的连接;

    2、ASA检查访问控制列表,确定是否允许连接;

    3、ASA执行路由查询,如果路由正确,ASA使用必要的会话信息在连接表(XLATE和CONN)中创建一个新条目;

    4、ASA在检测引擎中检查预定义的一套规则,如果是已知应用,则进一步执行应用层检测;

    5、ASA根据检测引擎确定是否转发或丢弃报文,如果允许转发,则将报文转发到目的主机;

    6、目的主机相响应该报文;

    7、ASA接收返回报文并进行检测,在连接数据库中查询连接,确定会话信息与现有连接是否匹配;

    8、ASA转发属于已建立的现有会话的报文;

    ASA的应用层检测通过检查报文的IP包头和有效载荷的内容,对应用层协议流量执行深层检测,检查应用层协议是否遵守RFC标准,从而检查出应用层数据中的恶意行为。

    三、ASA接口的概念:

    1、ASA的一个接口通常有两种名称:

    ①物理名称:与路由器接口的名称类似,如Ethernet0/0可以简写成E0/0,通常用来配置接口的速率、双工和IP地址等。

    ②、逻辑名称:用于大多数的配置命令,如配置ACL、路由器等使用的命令中都用到逻辑名称。逻辑名称用来描述安全区域,如通常用inside表示ASA连接的内部区域(安全级别高),用outside表示ASA连接的外部区域(安全级别低)。

    2、接口的安全级别:

    每个接口都有一个安全级别,范围是0~100,数值越大,安全级别越高。一般配置接口为inside(内网接口)时,将其安全级别设置为100,为outside(外网接口)时,将其安全级别设置为0,为DMZ(隔离区)时,安全级别介于inside和outside之间即可。

    不同安全级别的接口之间相互访问时,遵从以下默认规则:

    ①允许出站连接:就是允许从高安全级别接口到低安全级别的流量通过。比如说从inside访问outside是允许的。

    ②禁止入站连接:就是禁止从低安全级别接口到高安全级别接口的流量通过。比如说从outside访问inside是禁止的。

    ③禁止相同安全级别的接口之间通信。

    四、DMZ的概念和作用:

    DMZ称为隔离区,是位于企业内部网络和外部网络之间的一个网络区域。在这个网络区域内可以放置一些必须公开的服务器、如web服务器、FTP服务器和论坛等。示意图如下:
    在这里插入图片描述
    DMZ中放置一些不含机密信息的共用服务器,这样来自外网的访问者也可以访问DMZ中的服务,但不能访问内网的公司机密信息。即使DMZ中的服务器收到攻 击,也不会对内网的机密信息造成影响,所以,可以通过DMZ区域有效的保护内网环境。

    当存在DMZ区域时,默认的访问规则如下:
    在这里插入图片描述
    上图中默认遵循的访问规则如下:

    inside可以访问DMZ和outside;
    DMZ可以访问outside但不允许访问inside;
    outside不能访问DMZ和inside,不过通常会配置ACL,让outside可以访问DMZ,若不然,DMZ就没有存在的意义了。
    五、ASA的基本配置:

    配置主机名:

    ciscoasa> en
    Password: #默认特权密码为空,直接回车即可。
    ciscoasa# conf t
    ciscoasa(config)# hostname asa
    配置特权密码:
    asa(config)# enable password 123.com #将特权密码配置为123.com

    配置远程登录密码(在使用Telnet或SSH时需要输入的密码):

    asa(config)# passwd 2019.com #将远程连接时的密码设置为2019.com

    配置接口名称和接口安全级别:

    asa(config)# in e0/0 #进入e0接口
    asa(config-if)# nameif inside #将e0接口定义为inside

    INFO: Security level for “inside” set to 100 by default. #系统提示,请
    将inside接口的安全级别配置为100

    asa(config-if)# security-level 100 #将inside接口的安全级别配置为100
    如果ASA的型号是5505,则不支持在物理接口上直接进行以上配置,必须通过VLAN虚接口来配置,具体如下:

    asa(config)#int vlan 1
    asa(config-if)# nameif inside
    asa(config-if)# security-level 100
    asa(config-if)#ip add 10.1.1.254 255.255.255.0
    asa(config-if)# no shut
    查看conn表:

    asa#show conn detail

    配置ACL:
    在ASA上配置ACL有两个作用,一是允许入站连接,二是控制出站连接的流量。
    需要注意的是,路由器上的ACL使用反码,而ASA上的ACL使用正常的掩码,另外,标准ACL过滤流量时不能应用到接口,它应用在其他场合,如远程访问V P N中分离隧道的配置。

    允许入站连接的实例:

    asa(config)# access-list out_to_in permit ip host 172.16.1.1 host 10.1.1.1
    #允许外网主机172.16.1.1访问内网主机10.1.1.1,out_to_in为ACL组名。

    asa(config)# access-group out_to_in in int outside
    #将组名为out_to_in的ACL应用在outside接口
    控制出站连接的流量:

    asa(config)# access-list in_to_out deny ip 10.0.0.0 255.0.0.0 any #拒绝
    内网10.0.0.0网段 访问外网所有网段。
    asa(config)# access-list in_to_out permit ip any any #并允许其他所有
    流量通行,因为ACL有隐含的拒绝语句,所以配置ACL时,一般都需要允许所有流量
    asa(config)# access-group in_to_out in int inside #应用在内网接口
    配置静态路由:

    asa(config)# route outside 172.16.0.0 255.255.0.0 10.0.0.1 #去往外网
    172.16.0.0网段的流量下一跳为10.0.0.1

    asa(config)# route inside 192.168.1.0 255.255.255.0 192.168.2.1 #去往内网
    192.168.1.0网段的流量下一跳为192.168.2.1
    其他配置

    1、ICMP协议:
    默认情况下,禁止ICMP报文穿越ASA是基于安全性的考虑。有时候为了方便调试,可以配置暂时允许ICMP应答报文穿越ASA。

    ciscoasa(config)# access-list 111 permit icmp any any #定义ACL
    ciscoasa(config)# access-group 111 in int outside #应用到outside接口
    2、其他配置命令:
    写在前面,一切皆可no,也就是说当配置错一条命令后,可以在原先的配置命令前加no即可删除配置错的那条命令

    ciscoasa# write memory #保存running configuration配置
    到startup configuration

    或者
    ciscoasa# copy running-config startup-config #保存running configuration
    配置到startup configuration

    ciscoasa(config)# clear configure all #清除running configuration的所有配置

    ciscoasa(config)# clear configure access-list #清除所有acces-list命令的配置

    ciscoasa(config)# clear configure access-list in_to_out #只清除access-list
    in_to_out 的配置

    ciscoasa# write erase #删除startup-config配置文件
    六、远程管理ASA:

    ASA支持三种主要的远程管理接入方式:Telnet 、ssh和ASDM。

    1、Telnet配置实例:

    由于使用Telnet远程管理是不安全的,所以一般禁止从外部接口使用Telnet接入,而只允许在内网使用Telnet。
    在这里插入图片描述
    1)、配置允许从inside区域内的192.168.0.0/24网段使用telnet接入,命令如下:

    ciscoasa(config-if)# telnet 192.168.0.0 255.255.255.0 inside

    或者允许单个主机Telnet防火墙(两者根据需要二选一即可):

    ciscoasa(config)# telnet 192.168.0.1 255.255.255.255 inside

    2)、配置空闲超时时间为30分钟,命令如下:

    ciscoasa(config)# telnet timeout 30

    至此,即可实现Telnet远程管理。

    2、配置SSH接入:

    1)、配置主机名和域名,因为在生成RSA密钥对的过程中需要用到主机名和域名,(主机名的配置可省略)

    ciscoasa(config-if)# host aaa #配置主机名

    aaa(config)# domain-name abc.com #配置域名

    aaa(config)# crypto key generate rsa modulus 1024 #指定modulus的大小
    为1024位,大小可以为512位、768位、1024位或2048位,
    表示生成的RSA密钥的长度

    aaa(config)# ssh 192.168.1.0 255.255.255.0 inside #允许内网1.0的网段
    SSH接入

    aaa(config)# ssh 0 0 outside #允许外网任何主机SSH接入

    aaa(config)# ssh timeout 30 #配置超时时间为30分钟

    aaa(config)# ssh version 2 #启用SSH的版本2,该命令为可选,
    有版本1和版本2,至于区别…不过是安全机制不一样
    配置SSH接入完成后,可以在outside区域内的主机上使用SecureCRT或putty等工具登录ASA的outside接口,注意ASA默认使用用户名为pix,密码为使用password命令设置的密码。

    展开全文
  • cisco防火墙配置知识.pdf
  • cisco防火墙配置手册可用.pdf
  • cisco防火墙配置的基本配置借鉴.pdf
  • 思科防火墙配置

    2015-03-31 21:57:43
    思科防火墙配置技术。实际案例配置命令详解
  • cisco防火墙配置的基本配置终版.pdf
  • 思科防火墙命令详解

    2018-07-02 11:51:23
    本文介绍了PIX防火墙的所有常用配置命令,推荐大家学习.
  • cisco防火墙配置的基本配置[参照].pdf
  • cisco防火墙配置的基本配置[归类].pdf
  • ciscoASA防火墙vlan子接口互相通讯配置实例 包括ASA防火墙vlan间互相通讯配置示例等。
  • 包含防火墙介绍,访问控制,防卫控制列表,访问规则,身份防火墙
  • cisco防火墙配置

    2013-05-02 10:42:22
    cisco pix 525 防火墙配置全过程指导,其它型号思科产品同样参考。
  • 需求将内网主机10.24.11.216的80端口映射到外网19909端口 ASA5506X> en Password: ******** ASA5506X# conf t ASA5506X(config)# object network serverMES216_port80_map ASA5506X(config-network-object)# host ...
  • Cisco ASA Series Firewall CLI Configuration Guide, 9.14 思科2019年4月最新发布文档,用于思科ASA 9.14防火墙特性命令行配置,共464页。
  • 思科防火墙nat 命令配置

    千次阅读 2019-08-19 19:47:59
    1.ASA一对一的NAT配置 分析现在内网不能PING外网有两方面原因 1:在路由层面(内网的设备没有外网的路由,外网的设备没有内网路由) 2:ASA防火策略层面(当外网的OUTSIDE去访问INSIDE接口时候会拒绝访问。 1...
    • 1.ASA一对一的NAT配置
      • 分析现在内网不能PING外网有两方面原因
      • 1:在路由层面(内网的设备没有外网的路由,外网的设备没有内网路由)
      • 2:ASA防火策略层面(当外网的OUTSIDE去访问INSIDE接口时候会拒绝访问。
      • 1:ASA策略放行
        • ciscoasa(config)# access-list 100 permit  ip any any
        • ciscoasa(config)# access-group 100 in interface outside
      • 2:ASA配置静态一对一的转换
        • ciscoasa(config)# object network inside-to-outside-nat
        • ciscoasa(config-network-object)# host 2.2.2.2
        • ciscoasa(config-network-object)# nat (inside,outside) static192.168.3.100
      • 最后在内网的所有三层设备上要配置一个默认路由
      • R2
        • inside-router(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
    • 2.ASA动态NAT多对一(多个公网地址)
      • ciscoasa(config)# object network outside-nat-pol 公网地址
      • ciscoasa(config-network-object)# range 192.168.3.3 192.168.3.254
      • ciscoasa(config-network-object)# exit
      • ciscoasa(config)# object network inside-network  内网地址
      • ciscoasa(config-network-object)# host 2.2.2.2
      • ciscoasa(config-network-object)# nat (inside,outside) dynamic  outside-nat-pol 内到外做动态NAT转换。
    • 3.动态PAT(动态多对一)一个公网地址
      • ciscoasa(config)# object network outside-pat-address 公网地址
      • ciscoasa(config-network-object)# host 192.168.3.3
      • ciscoasa(config-network-object)# exit
      • ciscoasa(config)# object network inside-network  内网地址
      • ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
      • ciscoasa(config-network-object)# nat (inside,outside) source dynamicinside-network  outside-pat-address 内到外的动态PAT转换。
    • 4.端口映射
      • 1:asa上做端口映射不需要配置单独内到外的上网的NAT(与路由在NAT有所区别)
      • 2:在防火墙必须开放内网服务需要发布到公网的服务
      • 3:端口映射的命令:
      • ciscoasa(config)# object network public-address :被映射内网服务器的公网地址
      • ciscoasa(config-network-object)# host 192.168.3.100
      • ciscoasa(config-network-object)# exit
      • ciscoasa(config)# object network inside-pravite-server:内网服务器的地址
      • ciscoasa(config-network-object)# host 2.2.2.2
      • ciscoasa(config-network-object)# exit
      • ciscoasa(config)# object service open-telnet:定义内网要开放的服务
      • ciscoasa(config-service-object)# service tcp source eq 23
      • ciscoasa(config)#nat(inside,outside) source static inside-pravite-server(内网服务器的地址) public-address(被映射内网服务器的公网地址)serviceopen-telnet(内网服务器的地址所开放端口号)open-telnet(被映射内网服务器的公网地址所开放端口号)
      • 以后外网用户只要访问(被映射内网服务器的公网地址)这个地址的(被映射内网服务器的公网地址所开放端口号)ASA会自动转换成((内网服务器的地址)所对应的(内网服务器的地址所开放端口号)。
    • 5.防火墙的企业布署
      • 1:这种模式保护内网和外网的安全
      • 2.防火墙保护内网访问内网安全
      • 3:防火墙的综合应用布署
      • 路由模式布署:容易打乱现有的网络环境
      • 透明模式布署:不会打乱现有的网络环境
      • failover的条件:
      • 1、硬件型号必须相同
      • 2、系统版本必须一致
      • 3、模式必须一致
      • 4、相同的许可和许可的数量
      • ciscoasa(config)#firewall transparent
    • 6.查看命令:
      • ciscoasa# show xlate
      • ciscoasa# show nat translated interface outside
      • ciscoasa# show nat
    展开全文
  • cisco 防火墙配置

    2012-09-05 09:52:02
    cisco 防火墙配置手册
  • CiscoASA防火墙详细图文配置实例解析.pdf
  • cisco ASA5500-X配置指南,涉及CDA的安装和配置,以及CX策略,功能认证等,有拓扑

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 15,075
精华内容 6,030
关键字:

cisco防火墙配置

友情链接: Xweibo_DiscuzX2.zip