cisco asa5520 基本配置一般网络机构来理解asa5520

cisco asa5520 基本配置一般网络机构来理解asa5520

外网-----asa5520----分别是内网和dmz

asa配置都在全局模式下配置，很多跟cisco路由交换的一样（大同小异）

第一次连接防火墙时有个初始化配置

主要有配置密码，时间，内部ip，和管理ip

1、配置主机名、域名、和密码

主机名：ciscoasa5520（config）#hostname 5520

域名： 5520（config）#domain—name 123.com

密码：5520（config）#enable password asa5520 （特权密码）

5520（config）#password cisco （telnet密码）

2、配置接口名字、安全级别

5520（config）#int f0/1

5520（config）#nameif inside (内网，dmz，outside)

5520（config）#security-level 100 （安全级别为100，dmz：50，outside：0）




5520（config）#ip add 192.168.1.1 255.255.255.0 (配置ip地址)

5520（config）#no shut

5520（config）#exit

查看接口 show interface ipbrief

show interface f/0

3、配置路由

5520（config）#route 接口名 目标网段 掩码 下一跳

例 上网的缺省路由

5520（config）#route outside 0.0.0.0 0.0.0.0 61.232.14.81

5520（config）#route inside 192.168.0.0 0.0.255.255 192.168.1.254

查看路由 show route

4、管理（启用telnet或者ssh）

5520（config）#telnet ip或网段 掩码 接口

例：5520（config）#telnet 192.168.2.20 255.255.255.0 inside（表示只允许这个ip地址telnet asa）

5520（config）#telnet 192.168.2.0 255.255.255.0 inside （表示允许这个ip段telnet asa）

设置telnet超时 5520（config）#telnet timeout 30 单位为分

ssh为密文传送（RSA密钥对）

5520（config）#cryto key generate rsa modulus 1024

连接 5520（config）#ssh 192.168.2.0 255.255.255.0 inside

5520（config）#ssh 0 0 outside 允许外网任意ip连接

配置空闲超时 ssh timeout 30

ssh version 2

5、远程接入ASDM（cisco的自适应安全管理器）

客户端可以用cisco自带的软件也可以装jre走https

启用https服务器功能

5520（config）#http server enable 端口号（越大越好）

设置允许接入网段

5520（config）#http 网段|ip 掩码 接口名 （http 0 0 outside 外网任何ip接入）

指定ASDM的映像位置

5520（config）#asdm image disk0:/asdmfilse(这个一般用show version产看版本号)

配置客户端登录使用的用户名和密码

5520（config）# username 用户名 password 密码 privilege 15

6、nat的配置（这个好像与pix类似）

5520（config）# nat （interface-名） nat-id 本地ip 掩码

5520（config）#global （接口名） nat-id 全局ip、网段或接口

例：5520（config）#nat-control （启用nat）

5520（config）#nat（inside）1 0 0 （可以指定一个网段或者全部）

5520（config）#global （outside）1 interface （这就称了pat，当然也可以写一个ip段或者一个ip）

5520（config）# global（dmz）1 172.16.1.100-172.16.1.110 意思与上差不多

这里要注意：内网到dmz区域都应是nat

如果内网到dmz用路由的话，这样可能导致黑客先攻击dmz，然后长区直入到内网。

7、acl 跟路由差不多

标准（只限定原地址）

asa5520（config）#access-list acl-name standed ｛premit|deny｝ip-add mask

扩展

5520（config）#access-list acl-name extended ｛permit | deny｝protocol 源ip 源掩码 目标ip 目标掩码 端口号

应用到接口

5520（config）#access-group acl-name ｛in | out｝interface 接口名

例：5520（config）#access-list in-to-out deny ip 192.168.0.100 255.255.255.0 any

5520（config）#access-list in-to-out permit ip any any

5520（config）#access-group in-to-out in interface inside

例：5520（config）#access-list test1 deny 192.168.2.2 255.255.255.255 （标准）

5520（config）#access-list test1 permit ip any any

例：扩展

5520（config）#access-list test2 extended deny ip host 192.168.2.2 any

5520（config）# access-list test2 extended permit ip any any

应用到接口

5520（config）#access-group test2 out interface outside

5520（config）#access-group test1 out interface outside（注意方向）

8、静态nat（主要用来做服务器映射）

5520（config）#static （real-interface，mapped-interface）mapped-ip real-ip（当然就他一条是不行的，要与acl绑在一起）

例：5520（config）#static （dmz，outside）61.232.14.82 172.16.1.30 映射

5520（config）#access-list out-to-dmz extended permit tcp any host 61.232.14.82 eq www acl

5520（config）#access-group out-to-dmz in interface outside 绑定

清除配置 clear configure all

清除部分配置 clear configure command 【level 2 command】