1、Cisco ASA5520防火墙配置 前言l 主要从防火墙穿越的角度,描述Cisco ASA5520防火墙的配置l 对Pix ASA系列防火墙配置具有参考意义内容l 防火墙与NAT介绍l 基本介绍l 基本配置l 高级配置l 其它l 案例防火墙与NAT介绍l 防火墙 门卫l NAT 过道l 区别 两者可以分别使用 Windows有个人防火墙 Windows有 Internet Connect sharing服务 一般防火墙产品,同时带有NAT基本介绍l 配置连接l 工作模式l 常用命令l ASA5520介绍配置连接l 初次连接 使用超级终端登陆Console口 Cicso的波特率设置为9600l
2、 Telnet连接 默认不打开,在使用Console配置后,可以选择开启 开启命令: telnet ip_address netmask if_name 连接命令: telnet 192.168.1.1 ASA5520默认不允许外网telnet,开启比较麻烦l ASDM连接 图形界面配置方式l SSH连接工作模式l 普通模式 连接上去后模式 进入普通模式需要有普通模式密码 Enable 进入特权模式,需要特权密码l 特权模式 Config terminal 进入配置模式l 配置模式l 模式转换 exit 或者 ctrl-z退出当前模式,到前一模式 也适用于嵌套配置下退出当前配置常用命令l 命令
3、支持缩写,只要前写到与其它命令不同的地方即可 config terminal = conf term = conf t Tab键盘补全命令 ? Or help 获取帮助l 取消配置 no 命令取消以前的配置 Clear 取消一组配置,具体请查看 帮助l 查看配置 Show version show run all , write terminal Show xlat Show run nat Show run globall 保存配置 Write memoryASA5520介绍l 硬件配置: ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz
4、l 1个Console口,一个Aux口,4个千兆网口l 支持并发:280000个l 支持VPN个数:150l 支持双机热备、负载均衡l 可以通过show version 查看硬件信息基本配置l 接口配置l NAT配置l ACL访问控制接口配置l 四个以太网口 GigabitEthernet0/0、gig0/1、gig0/2、gig0/3 进入接口配置: interface if_namel 配置IP ip address ip_address netmask ip address ip_address dhcp 打开端口: no shutdown 配置安全级别 security-level 0
5、-100 数据从安全级别高的流向底的,不能倒流 倒流需要保安允许 所以外网一般配置为0,内网为100 配置别名 供其它命令引用 Nameif if_nameNATl NAT (Network Address Translate)l NAT类型(与防火墙穿越提到的类型不相关) Dynamic NAT PAT Static NAT & Static PAT Identity NAT NAT exemption Policy NATl 地址表超时NAT配置l 普通NAT Dynamic NAT PATl NAT例外 Static NAT Identity NAT NAT exemption Poli
6、cy NAT普通NAT l 普通NAT,只允许内网先发起连接l 地址池配置 global (if_name) natid start_addr-end_addr netmask 如:global (outside) 1 192.168.85.111-192.168.85.113 255.255.255.0 定义了natid 1 和地址池 192.168.85.111-192.168.85.113 Dynamic NAT nat (real_ifc) nat_id inside_network outside_network 动态分配给内网一个独立的IPl PAT PAT使用1个地址+65535
7、个端口为内网提供地址转换 地址池中只有一个值时,就是PAT 分配给内网连接一个固定IP和一个动态的端口Static NAT l Static NAT 允许外网先发起连接 是一个外网IP固定一个内网IP 可以称为IP映射l 命令 Static (internal_if_name, external_if_name) maped_addr real_addr Maped_addr 与 real_addr不相同Static PAT l Static PAT 允许外网先发起连接 是一个内网IP+一个端口转换成一个固定的外网IP+固定的外网端口 可以称为端口映射l 命令 static (real_int
8、erface,mapped_interface) tcp | udp mapped_ip |interface mapped_port real_ip real_port netmask maskIdentity NAT l Identity NAT 不使用地址转换,采用原地址出去 只能内网发起连接 外网必须配置ACL permit才能先发起连接l 命令 NAT (real_if_name) 0 addr/network networkmask 如: nat (inside) 0 192.168.1.2 255.255.255.255l Static Identity NAT 不使用地址转换,
9、采用原地址出去 内外网都可先发起连接l 命令 static (real_interface,mapped_interface) real_ip real_ipNAT exemptionl NAT exemption Identity NAT和 ACL的混合,功能更加强大 不使用地址转换,采用原地址出去 内外网均可发起连接l 命令 例1:access-list EXEMPT permit ip 10.1.2.0 255.255.255.0 any nat (inside) 0 access-list EXEMPT 例2:access-list NET1 permit ip 10.1.2.0 25
10、5.255.255.0 209.165.201.0 access-list NET1 permit ip 10.1.2.0 255.255.255.0 209.165.200.224 nat (inside) 0 access-list NET1Policy NAT l Policy NAT & Policy PAT 用ACL定义的NAT和PAT 更加灵活l 命令 Policy nat : static (real_interface,mapped_interface) mapped_ip | interfaceaccess-list acl_name Policy pat : static
11、(real_interface,mapped_interface) tcp | udp mapped_ip |interface mapped_port access-list acl_namel 举例 hostname(config)# access-list NET1 permit ip 10.1.2.0 255.255.255.0 209.165.201.0 255.255.255.224 hostname(config)# access-list NET2 permit ip 10.1.2.0 255.255.255.0 209.165.200.224 255.255.255.224
12、hostname(config)# nat (inside) 1 access-list NET1 hostname(config)# global (outside) 1 209.165.202.129 hostname(config)# nat (inside) 2 access-list NET2 hostname(config)# global (outside) 2 209.165.202.130地址表超时l 地址转换表超时 查看命令: show run timeout xlate 默认超时为3小时 设置命令: timeout xlate hh:mm:ss 清除当前表: clear
13、xlat 在重新配置了NAT后,如果不重启,只有等到当前表超时才能生效,可以强制清除表,但此时的连接都将中断l 连接超时 查看命令: show run timeout conn 默认超时为1小时 设置命令: timeout conn hh:mm:ss 清除当前连接: clear conn 清除当前连接,当前的连接都将中断ACL访问控制l ACL访问控制 权限列表,定义外网数据包是否可以进入 Deny 优先 配合NAT, Static等命令使用 内网一般配置成允许所有,外网需要根据实际情况配置l 命令 access-list access_list_name line line_number e
14、xtendeddeny | permit protocol source_address mask operator port dest_address mask operator port | icmp_type inactive 与接口绑定: access-group access_list_name in/out interface if_nameACL访问控制l 举例 access-list ACL_IN extended permit ip any any access-list ACL_IN extended permit ip 192.168.1.0 255.255.255.0
15、209.165.201.0 255.255.255.224 access-list alout extended permit tcp any interface outside eq 3389 access-list alout extended permit tcp any host 192.168.85.113 eq 3389 Access-group alout in interface outside高级配置l 对象组l 应用层协议检查l AAA认证l VPN配置对象组l 对象组(Object-group) 对其它命令(NAT、access-listd等)用到类似的对象进行的分组 有
16、四种类型的对象组l icmp-type Specifies a group of ICMP types, such as echol network Specifies a group of host or subnet IP addressesl protocol Specifies a group of protocols, such as TCP, etcl service Specifies a group of TCP/UDP ports/servicesl 命令 Object-group grpType grpName description 组描述 group-object 组中
17、嵌套别的组 network-object 具体的一个Object定义,这里举network类型的情况对象组l 举例 Object-group network grpNetWork network-object 192.168.85.111 255.255.255.255 network-object 192.168.85.111 255.255.255.255 exit access-list alout permit tcp object-group grpNetWork any应用层协议检查l 应用层协议检查 除使用当前连接,还需要协商使用其它端口的协议。如ftp/tftp, sip, r
18、tsp 一定程度代替端口映射的工作 实现了防火墙穿越l 命令 policy-map global_policy class inspection_default inspect ftp/no inspect ftp其它l 配置查看 show 命令 show startup-config 查看启动配置 show running-config all 查看当前配置 all,显示默认配置l 配置保存 Write memory 重新启动: reload/rebootl 单项配置查看 Show 单项名称 如: show access-list Show run 单项名称 如: show run static
浙ICP备2021020529号-1 | 浙B2-20240490 
