Cisco ASA 5520 基本配置

Mrfei

一般网络机构来理解asa5520　　外网-----asa5520----分别是内网和dmz
　　asa配置都在全局模式下配置，很多跟cisco路由交换的一样（大同小异）
　　第一次连接防火墙时有个初始化配置
　　主要有配置密码，时间，内部ip，和管理ip
　　1、配置主机名、域名、和密码
　　主机名：ciscoasa5520（config）#hostname 5520
　　域名： 5520（config）#domain—name 123.com
　　密码：5520（config）#enable password asa5520 （特权密码）
　　5520（config）#password cisco （telnet密码）
　　2、配置接口名字、安全级别
　　5520（config）#int f0/1
　　5520（config）#nameif inside (内网，dmz，outside)
　　5520（config）#security-level 100 （安全级别为100，dmz：50，outside：0）
　　5520（config）#ip add 192.168.1.1 255.255.255.0 (配置ip地址)
　　5520（config）#no shut
　　5520（config）#exit
　　查看接口 show interface ipbrief
　　show interface f/0
　　3、配置路由
　　5520（config）#route 接口名 目标网段 掩码 下一跳
　　例 上网的缺省路由
　　5520（config）#route outside 0.0.0.0 0.0.0.0 61.232.14.81
　　5520（config）#route inside 192.168.0.0 0.0.255.255 192.168.1.254
　　查看路由 show route
　　4、管理（启用telnet或者ssh）
　　5520（config）#telnet ip或网段 掩码 接口
　　例：5520（config）#telnet 192.168.2.20 255.255.255.0 inside（表示只允许这个ip地址telnet asa）
　　5520（config）#telnet 192.168.2.0 255.255.255.0 inside （表示允许这个ip段telnet asa）
　　设置telnet超时 5520（config）#telnet timeout 30 单位为分
　　ssh为密文传送（RSA密钥对）
　　5520（config）#cryto key generate rsa modulus 1024
　　连接 5520（config）#ssh 192.168.2.0 255.255.255.0 inside
　　5520（config）#ssh 0 0 outside 允许外网任意ip连接
　　配置空闲超时 ssh timeout 30
　　ssh version 2
　　5、远程接入ASDM（cisco的自适应安全管理器）
　　客户端可以用cisco自带的软件也可以装jre走https
　　启用https服务器功能
　　5520（config）#http server enable 端口号（越大越好）
　　设置允许接入网段
　　5520（config）#http 网段|ip 掩码 接口名 （http 0 0 outside 外网任何ip接入）
　　指定ASDM的映像位置
　　5520（config）#asdm image disk0:/asdmfilse(这个一般用show version产看版本号)
　　配置客户端登录使用的用户名和密码
　　5520（config）# username 用户名 password 密码 privilege 15
　　6、nat的配置（这个好像与pix类似）
　　5520（config）# nat （interface-名） nat-id 本地ip 掩码
　　5520（config）#global （接口名） nat-id 全局ip、网段或接口
　　例：5520（config）#nat-control （启用nat）
　　5520（config）#nat（inside）1 0 0 （可以指定一个网段或者全部）
　　5520（config）#global （outside）1 interface （这就称了pat，当然也可以写一个ip段或者一个ip）
　　5520（config）# global（dmz）1 172.16.1.100-172.16.1.110 意思与上差不多
　　这里要注意：内网到dmz区域都应是nat
　　如果内网到dmz用路由的话，这样可能导致***先***dmz，然后长区直入到内网。
　　7、acl 跟路由差不多
　　标准（只限定原地址）
　　asa5520（config）#access-list acl-name standed ｛premit|deny｝ip-add mask
　　扩展
　　5520（config）#access-list acl-name extended ｛permit | deny｝protocol 源ip 源掩码 目标ip 目标掩码 端口号
　　应用到接口
　　5520（config）#access-group acl-name ｛in | out｝interface 接口名
　　例：5520（config）#access-list in-to-out deny ip 192.168.0.100 255.255.255.0 any
　　5520（config）#access-list in-to-out permit ip any any
　　5520（config）#access-group in-to-out in interface inside
　　例：5520（config）#access-list test1 deny 192.168.2.2 255.255.255.255 （标准）
　　5520（config）#access-list test1 permit ip any any
　　例：扩展
　　5520（config）#access-list test2 extended deny ip host 192.168.2.2 any
　　5520（config）# access-list test2 extended permit ip any any
　　应用到接口
　　5520（config）#access-group test2 out interface outside
　　5520（config）#access-group test1 out interface outside（注意方向）
　　8、静态nat（主要用来做服务器映射）
　　5520（config）#static （real-interface，mapped-interface）mapped-ip real-ip（当然就他一条是不行的，要与acl绑在一起）
　　例：5520（config）#static （dmz，outside）61.232.14.82 172.16.1.30 映射
　　5520（config）#access-list out-to-dmz extended permit tcp any host 61.232.14.82 eq www acl
　　5520（config）#access-group out-to-dmz in interface outside 绑定
　　清除配置 clear configure all
　　清除部分配置 clear configure command 【level 2 command】