Cisco ASA 5510 配置

长枪不倒

Cisco  ASA 5510 （8.2） 配置过程

　　1.       为了配置简单，准备安装ASDM（6.5）图形管理界面，经过查看手册和网上收集资料，我具体安装方法如下：
　　1）  从随机光盘里安装Java，然后安装ASDM，安装比较简单，也不需要做什么配置；刚开始是win7 64位操作系统，然后直接安装ASDM，提示需要安装Java，直接从Oracle 网上下载最新版本安装，再安装ASDM还是提示需要安装Java，怀疑环境变量的问题，进行设置，还是没有弄好。系统本来有点慢，格了安装XP，直接从光盘安装Java（1.6），再安装ASDM，什么也不用设置，一切正常。
　　2）  用串口线连接进5510，需要进行简单设置才能使用ASDM正常登录。
　　串口下输入以下命令：
　　ciscoasa>
　　ciscoasa> en
　　Password:
　　ciscoasa# conf  t                         进入全局模式
　　ciscoasa(config)# web***     进入WEB***模式（经过测试不进这个模式，直接设置用户名和密码也可以）
　　ciscoasa(config-web***)# username cisco password cisco  新建一个用户和密码
　　ciscoasa(config)# int m 0/0          进入管理口
　　ciscoasa(config-if)# ip address 172.16.0.1 255.255.255.0  添加IP地址（新设备默认就有管理IP：192.168.1.1）
　　ciscoasa(config-if)# nameif guanli          给管理口设个名字
　　ciscoasa(config-if)# no shutdown          激活接口
　　ciscoasa(config)#q                      退出管理接口
　　ciscoasa(config)# http server enable        开启HTTP服务
　　ciscoasa(config)# http 172.16.0.0 255.255.255.0 guanli    在管理口设置可管理的IP地址
　　ciscoasa(config)# show run           查看一下配置
　　ciscoasa(config)# wr m               保存
　　经过以上配置就可以用ASDM配置防火墙了。
　　由于我提前安装了ASDM所以下面的方法没有操作：
　　经过上面的配置以后，用交叉线把电脑和防火墙的管理口相连，把电脑设成和管理口段的IP地址,本例中设为172.16.0.0 段的IP打开浏览器在地址栏中输入管理口的IP地址:
　　https://172.16.0.1
　　弹出一下安全证书对话框，单击 “是”
　　输入用户名和密码（就是在串口的WEB***模式下新建的用户和密码），然后点击“确定”。
　　出现也下对话框，点击"Download ASDM Launcher and Start ASDM"开始安装ASDM管理器，安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上 Java 版本)，进入WWW.JAVA.COM下载安装，安装完后点击下面的"Run ASDM as a Java Applet ”。
　　出现以下对话框， 点击“是”。
　　出现以下对话框，输入用户名和密码（就是在串口的WEB***模式下新建的用户和密码），然后点击“是”。
　　出现以下对话框，点击“是”。
　　进入ASDM管理器。
　　这样就可以通过ASDM来配置防火墙了。
　　以后就可以直接使用ASDM来管理防火墙了。
　　2.       其实使用ASDM配置不是很方便，下面介绍命令行模式下的配置方法：
　　根据我们的实际情况，要内网使用防火墙，所以要使用透明模式：
　　ciscoasa>
　　ciscoasa> en
　　Password:
　　ciscoasa# conf  t                         进入全局模式
　　ciscoasa(config)#  firewall transparent          打开透明模式（更改模式后，之前所有的设置都清空）
　　ciscoasa(config)# int e0/0     进入端口模式
　　ciscoasa(config-if)#nameif outside     设定端口名称为outside 出口
　　ciscoasa(config-if)#no sh        打开端口
　　ciscoasa(config-if)#q      退出端口模式
　　ciscoasa(config)#
　　ciscoasa(config)# int e0/1     进入端口模式
　　ciscoasa(config-if)#nameif inside     设定端口名称为inside 出口
　　ciscoasa(config-if)#no sh        打开端口
　　ciscoasa(config-if)#q      退出端口模式
　　ciscoasa(config)#
　　ciscoasa(config)#ip add 172.16.0.10 255.255.255.0 配置一个管理地址
　　透明模式的设置基本就可以了，默认inside到outside的是允许的，但outside到inside是拒绝的，需要配置acl来打开。
　　写两个acl的例子吧
　　ciscoasa(config)#access-list 101 extended permit icmp any any    允许ping的acl 加extended 是可扩展的列表，应用一次就可以了
　　ciscoasa(config)#access-group 101 in interface outside     将acl应用到outside端口的in方向
　　ciscoasa(config)#access-list 101 extended permit tcp any host 172.16.0.11 eq 80   开放内网172.16.0.11的80端口给外网
　　ciscoasa(config)#access-list 101 extended permit tcp any host 172.16.0.12 range 20 23  开放内网172.16.0.12的20到23号端口
　　3.       打开telnet
　　ciscoasa(config)#telnet 0.0.0.0 0.0.0.0 inside 设置可以telnet的地址
　　ciscoasa(config)#password admin  设置登录telnet的密码