ASA防火墙基础配置.doc

1、基础配置1.1 密码配置cisco_asa(config)#passwd password /一般用于 telnet 登陆防火墙1.2 enable 密码配置cisco_asa(config)#enable password password /用于进入特权模式密码接口配置2.1 接口命名cisco_asa(config)#interface interface_id /既然怒接口配置模式Cisco_asa(config-if)#nameif interface_name /配置接口名称2.2 配置接口安全级别Cisco_asa(config-if)#security-level securi

2、ty_level /安全级别为 0-100,0 最低2.3 配置接口 IP 地址Cisco_asa(config-if)#ip address ip_address network /配置接口 IP 地址2.4 范例Cisco_asa(config)#interface g0/0 /进入 G0/0 口Cisco_asa(config-if)#nameif outside /配置接口为 outsideCisco_asa(config-if)#security-level 0 /配置安全级别为 0 路由配置3.1 静态路由配置Cisco_asa(config)#route interface_na

3、me destination_network netmask gateway_addressInterface_name /路由方向接口名称Destination_network /目的网络地址Netmask /目的网络掩码Gateway_address /下一跳网关地址3.2 外口配置默认路由Cisco_asa(config)#route outside 0 0 gateway_address网络地址转换(NAT)配置4.1 动态 nat、静态 nat、pat4.2 动态 NAT 的配置Cisco_asa(config)#nat (if_name) nat_id network netmas

4、kIf_name /激活 nat 的接口，一般是 insideNat_id /nat 转换的序号，对应 global 序号Network /需要做 nat 转换的网络Netmask /需要转换网络的掩码Cisco_asa(config)#global (if_name) nat_id address_range netmask netmaskIf_name /NAT 转换后的出接口名，一般指 outsideNat_id /对应 nat 转换的额序号Address_range /用作 nat 的地址池Netmask /地址池的掩码范例Cisco_asa(config)#nat (inside)

5、1 network 192.168.1.0 255.255.255.0 /在 inside 接口为192.168.1.0/24 网络激活 natCisco_asa(config)#global (outside) 1 10.78.139.129-10.78.139.254 netmask 255.255.255.0 /把来自 inside 接口的网络地址动态的转换为公网地址中的地址4.3 静态 nat 的配置Cisco_asa(config)#nat (inside) 2 192.168.2.1 255.255.255.255 /把来自 inside 接口的这个地址激活 natCisco_as

6、a(config)#global (outside) 2 202.102.152.3 255.255.255.252 /把私有地址 192转换为公网地址 2024.4 PAT 的配置Cisco_asa(config)#nat (inside) 3 192.168.3.0 255.255.255.0 /激活来自 inside 接口的3.0 网络激活 natCisco_asa(config)#global (outside) 3 interface /把来自 inside 3.0 的网络地址 pat 转换成 outside 接口的地址4.5 端口映射的配置Cisco_asa(config)#acc

7、ess-list list_name extended permit tcp/udp any host outside_address eqList_name / 访问列表名称Tcp/udp / 需要映射的协议类型outside_address / outside 接口 ip 地址Port_num / 需要映射的端口号Cisco_asa(config)#static (inside,outside) tcp/udp interface port_num local_address port-num netmask 255.255.255.255Tcp/udp / 需要映射的协议类型port_n

8、um / 需要映射的端口号Local_address /映射后内网主机的 IP 地址Port_num / 映射后的端口号Cisco_asa(config)#access-group 100 in interface outside /在 outside 接口 in 方向调用名称为 100 的访问控制列表范例Cisco_asa(config)#access-list 100 extended permit tcp any host 202.102.252.3 eq 80 运行外网访问 202.102.152.3 的 tcp 80 端口Cisco_asa(config)#static (insid

9、e,outside) tcp interface 80 192.168.1.2 80 network 255.255.255.255 /外网访问 202.102.152.3 的 tcp 80 端口时启用静态 pat 映射至内网的主机 80 端口Cisco_asa(config)#access-group 100 in interface outside inbound /访问必须调用 acl5.2 标准访问控制列表Cisco_asa(config)#access-list list_name standard deny/permit des_address netmask List_name

10、/标准列表名称Deny/permit /阻止、允许符合规则的流量Des_address /需要做控制的目的地址Netmask /需要做控制目的地址的掩码Cisco_asa(config)#access-group list_name in/out interface interface_name In/out /调用接口的入 /出方向Interface_name /调用控制列表接口名5.3 扩展控制列表Cisco_asa(config)#access-list list_name extended deny/permit tcp/udp source_address sour_netmask

11、des_address des-netmask eq port_numSour_address /此规则匹配源地址Sour_netmask /此规则匹配源地址掩码Des_address /此规则匹配目标地址Des_netmask /此规则匹配目标地址掩码Port_num /词条规则匹配的端口号Cisco_asa(config)#access-group list_name in/out interface interface_namein/out /调用接口的方向Interface_name /调用控制列表的接口名范例Cisco_asa(config)#acces-list 200 extended deny udp 10.78.224.0 255.255.255.0 192.168.1.0 255.255.255.0 eq 80 /阻止源地址 224.0 网段对目标地址 1.0 网段 udp 80 端口的访问Cisco_asa(config)#access-group 200 in interface inside /在 inside 接口的入方向调用