ASA防火墙基础配置.doc

基础配置 1.1 密码配置 cisco_asa(config)#passwd password //一般用于telnet登陆防火墙 1.2 enable密码配置 cisco_asa(config)#enable password password //用于进入特权模式密码 接口配置 2.1 接口命名 cisco_asa(config)#interface interface_id //既然怒接口配置模式 Cisco_asa(config-if)#nameif interface_name //配置接口名称 2.2 配置接口安全级别 Cisco_asa(config-if)#security-level security_level //安全级别为0-100,0最低 2.3 配置接口IP地址 Cisco_asa(config-if)#ip address ip_address network //配置接口IP地址 2.4 范例 Cisco_asa(config)#interface g0/0 //进入G0/0口 Cisco_asa(config-if)#nameif outside //配置接口为outside Cisco_asa(config-if)#security-level 0 //配置安全级别为0 路由配置 3.1 静态路由配置 Cisco_asa(config)#route interface_name destination_network netmask gateway_address Interface_name //路由方向接口名称 Destination_network //目的网络地址 Netmask //目的网络掩码 Gateway_address //下一跳网关地址 3.2 外口配置默认路由 Cisco_asa(config)#route outside 0 0 gateway_address 网络地址转换(NAT)配置 4.1 动态nat、静态nat、pat 4.2 动态NAT的配置 Cisco_asa(config)#nat (if_name) nat_id network netmask If_name //激活nat的接口，一般是inside Nat_id //nat转换的序号，对应global序号 Network //需要做nat转换的网络 Netmask //需要转换网络的掩码 Cisco_asa(config)#global (if_name) nat_id address_range netmask netmask If_name //NAT转换后的出接口名，一般指outside Nat_id //对应nat转换的额序号 Address_range //用作nat的地址池 Netmask //地址池的掩码 范例 Cisco_asa(config)#nat (inside) 1 network 192.168.1.0 255.255.255.0 //在inside接口为192.168.1.0/24网络激活nat Cisco_asa(config)#global (outside) 1 10.78.139.129-10.78.139.254 netmask 255.255.255.0 //把来自inside接口的网络地址动态的转换为公网地址中的地址 4.3 静态nat的配置 Cisco_asa(config)#nat (inside) 2 192.168.2.1 255.255.255.255 //把来自inside接口的这个地址激活nat Cisco_asa(config)#global (outside) 2 202.102.152.3 255.255.255.252 //把私有地址192转换为公网地址202 4.4 PAT的配置 Cisco_asa(config)#nat (inside) 3 192.168.3.0 255.255.255.0 //激活来自inside 接口的3.0网络激活nat Cisco_asa(config)#global (outside) 3 interface //把来自inside 3.0的网络地址pat转换成outside 接口的地址 4.5 端口映射的配置 Cisco_asa(config)#access-list list_name extended permit tcp/udp any host outside_address eq List_name // 访问列表名称 Tcp/udp // 需要映射的协议类型 outside_address // outside 接口ip地址 Port_num // 需要映射的端口号 Cisco_asa(config)#static (inside,outside) tcp/udp interface port_num local_address port-num netmask 255.255.255.255 Tcp/udp // 需要映射的协议类型 port_num // 需要映射的端口号 Local_address //映射后内网主机的IP地址 Port_num // 映射后的端口号 Cisco_asa(config)#access-group 100 in interface outside //在outside接口in方向调用名称为100的访问控制列表 范例 Cisco_asa(config)#access-list 100 extended permit tcp any host 202.102.252.3 eq 80 运行外网访问202.102.152.3 的tcp 80端口 Cisco_asa(config)#static (inside,outside) tcp interface 80 192.168.1.2 80 network 255.255.255.255 //外网访问202.102.152.3的tcp 80端口时启用静态pat映射至内网的主机80端口 Cisco_asa(config)#access-group 100 in interface outside inbound //访问必须调用acl 5.2 标准访问控制列表 Cisco_asa(config)#access-list list_name standard deny/permit des_address netmask List_name //标准列表名称 Deny/permit //阻止、允许符合规则的流量 Des_address //需要做控制的目的地址 Netmask //需要做控制目的地址的掩码 Cisco_asa(config)#access-group list_name in/out interface interface_name In/out //调用接口的入/出方向 Interface_name //调用控制列表接口名 5.3 扩展控制列表 Cisco_asa(config)#access-list list_name extended deny/permit tcp/udp source_address sour_netmask des_address des-netmask eq port_num Sour_address //此规则匹配源地址 Sour_netmask //此规则匹配源地址掩码 Des_address //此规则匹配目标地址 Des_netmask //此规则匹配目标地址掩码 Port_num //词条规则匹配的端口号 Cisco_asa(config)#access-group list_name in/out interface interface_name in/out //调用接口的方向 Interface_name //调用控制列表的接口名 范例 Cisco_asa(config)#acces-list 200 extended deny udp 10.78.224.0 255.255.255.0 192.168.1.0 255.255.255.0 eq 80 //阻止源地址224.0网段对目标地址1.0网段udp 80端口的访问 Cisco_asa(config)#access-group 200 in interface inside //在inside接口的入方向调用