Cisco ASA 5510 配置
CiscoASA 5510 (8.2) 配置过程1. 为了配置简单,准备安装ASDM(6.5)图形管理界面,经过查看手册和网上收集资料,我具体安装方法如下:
1)从随机光盘里安装Java,然后安装ASDM,安装比较简单,也不需要做什么配置;刚开始是win7 64位操作系统,然后直接安装ASDM,提示需要安装Java,直接从Oracle 网上下载最新版本安装,再安装ASDM还是提示需要安装Java,怀疑环境变量的问题,进行设置,还是没有弄好。系统本来有点慢,格了安装XP,直接从光盘安装Java(1.6),再安装ASDM,什么也不用设置,一切正常。
2)用串口线连接进5510,需要进行简单设置才能使用ASDM正常登录。
串口下输入以下命令:
ciscoasa>
ciscoasa> en
Password:
ciscoasa# conft 进入全局模式
ciscoasa(config)# web*** 进入WEB***模式(经过测试不进这个模式,直接设置用户名和密码也可以)
ciscoasa(config-web***)# username cisco password cisco新建一个用户和密码
ciscoasa(config)# int m 0/0 进入管理口
ciscoasa(config-if)# ip address 172.16.0.1 255.255.255.0添加IP地址(新设备默认就有管理IP:192.168.1.1)
ciscoasa(config-if)# nameif guanli 给管理口设个名字
ciscoasa(config-if)# no shutdown 激活接口
ciscoasa(config)#q 退出管理接口
ciscoasa(config)# http server enable 开启HTTP服务
ciscoasa(config)# http 172.16.0.0 255.255.255.0 guanli 在管理口设置可管理的IP地址
ciscoasa(config)# show run 查看一下配置
ciscoasa(config)# wr m 保存
经过以上配置就可以用ASDM配置防火墙了。
由于我提前安装了ASDM所以下面的方法没有操作:
经过上面的配置以后,用交叉线把电脑和防火墙的管理口相连,把电脑设成和管理口段的IP地址,本例中设为172.16.0.0 段的IP打开浏览器在地址栏中输入管理口的IP地址:
https://172.16.0.1
弹出一下安全证书对话框,单击 “是”
输入用户名和密码(就是在串口的WEB***模式下新建的用户和密码),然后点击“确定”。
出现也下对话框,点击"Download ASDM Launcher and Start ASDM"开始安装ASDM管理器,安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上 Java 版本),进入WWW.JAVA.COM下载安装,安装完后点击下面的"Run ASDM as a Java Applet ”。
出现以下对话框, 点击“是”。
出现以下对话框,输入用户名和密码(就是在串口的WEB***模式下新建的用户和密码),然后点击“是”。
出现以下对话框,点击“是”。
进入ASDM管理器。
这样就可以通过ASDM来配置防火墙了。
以后就可以直接使用ASDM来管理防火墙了。
2. 其实使用ASDM配置不是很方便,下面介绍命令行模式下的配置方法:
根据我们的实际情况,要内网使用防火墙,所以要使用透明模式:
ciscoasa>
ciscoasa> en
Password:
ciscoasa# conft 进入全局模式
ciscoasa(config)#firewall transparent 打开透明模式(更改模式后,之前所有的设置都清空)
ciscoasa(config)# int e0/0 进入端口模式
ciscoasa(config-if)#nameif outside 设定端口名称为outside 出口
ciscoasa(config-if)#no sh 打开端口
ciscoasa(config-if)#q 退出端口模式
ciscoasa(config)#
ciscoasa(config)# int e0/1 进入端口模式
ciscoasa(config-if)#nameif inside 设定端口名称为inside 出口
ciscoasa(config-if)#no sh 打开端口
ciscoasa(config-if)#q 退出端口模式
ciscoasa(config)#
ciscoasa(config)#ip add 172.16.0.10 255.255.255.0 配置一个管理地址
透明模式的设置基本就可以了,默认inside到outside的是允许的,但outside到inside是拒绝的,需要配置acl来打开。
写两个acl的例子吧
ciscoasa(config)#access-list 101 extended permit icmp any any 允许ping的acl 加extended 是可扩展的列表,应用一次就可以了
ciscoasa(config)#access-group 101 in interface outside 将acl应用到outside端口的in方向
ciscoasa(config)#access-list 101 extended permit tcp any host 172.16.0.11 eq 80 开放内网172.16.0.11的80端口给外网
ciscoasa(config)#access-list 101 extended permit tcp any host 172.16.0.12 range 20 23开放内网172.16.0.12的20到23号端口
3. 打开telnet
ciscoasa(config)#telnet 0.0.0.0 0.0.0.0 inside 设置可以telnet的地址
ciscoasa(config)#password admin设置登录telnet的密码
页:
[1]