cisco asa5520 基本配置一般网络机构来理解asa5520

外网-----asa5520----分别是内网和dmz

asa配置都在全局模式下配置,很多跟cisco路由交换的一样(大同小异)

第一次连接防火墙时有个初始化配置

主要有配置密码,时间,内部ip,和管理ip

1、配置主机名、域名、和密码

主机名:ciscoasa5520(config)#hostname 5520

域名: 5520(config)#domain—name 123.com

密码:5520(config)#enable password asa5520 (特权密码)

5520(config)#password cisco (telnet密码)

2、配置接口名字、安全级别

5520(config)#int f0/1

5520(config)#nameif inside (内网,dmz,outside)

5520(config)#security-level 100 (安全级别为100,dmz:50,outside:0)




5520(config)#ip add 192.168.1.1 255.255.255.0 (配置ip地址)

5520(config)#no shut

5520(config)#exit

查看接口 show interface ipbrief

show interface f/0

3、配置路由

5520(config)#route 接口名 目标网段 掩码 下一跳

例 上网的缺省路由

5520(config)#route outside 0.0.0.0 0.0.0.0 61.232.14.81

5520(config)#route inside 192.168.0.0 0.0.255.255 192.168.1.254

查看路由 show route

4、管理(启用telnet或者ssh)

5520(config)#telnet ip或网段 掩码 接口

例:5520(config)#telnet 192.168.2.20 255.255.255.0 inside(表示只允许这个ip地址telnet asa)

5520(config)#telnet 192.168.2.0 255.255.255.0 inside (表示允许这个ip段telnet asa)

设置telnet超时 5520(config)#telnet timeout 30 单位为分

ssh为密文传送(RSA密钥对)

5520(config)#cryto key generate rsa modulus 1024

连接 5520(config)#ssh 192.168.2.0 255.255.255.0 inside

5520(config)#ssh 0 0 outside 允许外网任意ip连接

配置空闲超时 ssh timeout 30

ssh version 2

5、远程接入ASDM(cisco的自适应安全管理器)

客户端可以用cisco自带的软件也可以装jre走https

启用https服务器功能

5520(config)#http server enable 端口号(越大越好)

设置允许接入网段

5520(config)#http 网段|ip 掩码 接口名 (http 0 0 outside 外网任何ip接入)

指定ASDM的映像位置

5520(config)#asdm p_w_picpath disk0:/asdmfilse(这个一般用show version产看版本号)

配置客户端登录使用的用户名和密码

5520(config)# username 用户名 password 密码 privilege 15

6、nat的配置(这个好像与pix类似)

5520(config)# nat (interface-名) nat-id 本地ip 掩码

5520(config)#global (接口名) nat-id 全局ip、网段或接口

例:5520(config)#nat-control (启用nat)

5520(config)#nat(inside)1 0 0 (可以指定一个网段或者全部)

5520(config)#global (outside)1 interface (这就称了pat,当然也可以写一个ip段或者一个ip)

5520(config)# global(dmz)1 172.16.1.100-172.16.1.110 意思与上差不多

这里要注意:内网到dmz区域都应是nat

如果内网到dmz用路由的话,这样可能导致黑客先攻击dmz,然后长区直入到内网。

7、acl 跟路由差不多

标准(只限定原地址)

asa5520(config)#access-list acl-name standed {premit|deny}ip-add mask

扩展

5520(config)#access-list acl-name extended {permit | deny}protocol 源ip 源掩码 目标ip 目标掩码 端口号

应用到接口

5520(config)#access-group acl-name {in | out}interface 接口名

例:5520(config)#access-list in-to-out deny ip 192.168.0.100 255.255.255.0 any

5520(config)#access-list in-to-out permit ip any any

5520(config)#access-group in-to-out in interface inside

例:5520(config)#access-list test1 deny 192.168.2.2 255.255.255.255 (标准)

5520(config)#access-list test1 permit ip any any

例:扩展

5520(config)#access-list test2 extended deny ip host 192.168.2.2 any

5520(config)# access-list test2 extended permit ip any any

应用到接口

5520(config)#access-group test2 out interface outside

5520(config)#access-group test1 out interface outside(注意方向)

8、静态nat(主要用来做服务器映射)

5520(config)#static (real-interface,mapped-interface)mapped-ip real-ip(当然就他一条是不行的,要与acl绑在一起)

例:5520(config)#static (dmz,outside)61.232.14.82 172.16.1.30 映射

5520(config)#access-list out-to-dmz extended permit tcp any host 61.232.14.82 eq www acl

5520(config)#access-group out-to-dmz in interface outside 绑定

清除配置 clear configure all

清除部分配置 clear configure command 【level 2 command】