思科ASA系列防火墙相关配置--8.4版

思科ASA系列防火墙相关配置

8.4版

 

1.主机名，ip地址配置

配置完ip地址后直连的设备可以互相ping通
(config)# hostname ASA2  //主机名
(config)# interface gigabitEthernet 0  //进入接口配置
(config-if)# ip address 222.222.222.2 255.255.255.0  //配置ip地址
(config-if)# nameif ouside   //定义接口网络类型(安全级别)，outside(安全级别0)  dmz(安全级别50)  inside(安全级别100)
(config-if)# no shutdown     //激活接口

 

2.配置路由

路由配置完毕后，高安全级别可以访问低安全级别区域(除icmp外)如：telnet、http等，私有网络访问公网还需要配置NAT
静态路由配置
(config)# route ouside 0.0.0.0 0.0.0.0 222.222.222.1   //防火墙的外部默认路由，默认路由要配置在外部网络
(config)# route inside 192.168.2.0 255.255.255.0  192.168.1.10  //添加内部静态路由

动态路由配置
(config)# router rip    //启用rip路由协议
(config)# version 2     //使用版本2的rip
(config-router)# no auto-summary    //关闭网络边界路由汇总
(config-router)# network 192.168.1.0  //宣告与防火墙直连的网络号

3.NAT配置

asa1# show version  //查看系统版本
Cisco Adaptive Security Appliance Software Version 8.4(2)

1）所有内部主机复用outside接口ip（PAT）

(config)# object network inside-ouside-all   //定义一个网络
(config-network-object)# subnet 0.0.0.0 0.0.0.0  //定义网络范围
(config-network-object)# nat (inside,outside) dynamic interface   //启用PAT

2）内网端口映射
情景1 将outside接口所有端口映射到一台内网主机
step 1.
定义一个网络名称（包含一台主机）
(config)# object network web-sever
(config-network-object)# host  192.168.2.2
step 2.
配置静态网络转换
(config)# nat (inside,outside) source static web-sever interface
WARNING: All traffic destined to the IP address of the outside interface is being redirected.   //所有outside接口的网络流量将被重定向
WARNING: Users may not be able to access any service enabled on the outside interface.          //outside接口的

情景2 将outside接口特定端口映射到内网服务器特定端口
(config)# object network web-server        //定义一个网络名称
(config-network-object)# host 192.168.2.2  //指定包含的主机
(config-network-object)# nat (inside,outside) static interface service tcp  8080 8080   //转换规则

4.定义ACL，允许ping （内网到外网，可以理解为允许icmp协议通过outside接口返回，但是思科默认不能ping通outside接口）
(config)# access-list 101 extended permit icmp any any   //允许ICMP协议（包含ping）
(config)# access-list 101 extended permit ip any any     //允许所有ip协议通过（包含所有tcp端口、udp 端口流量）

(config)# access-list 101 extended permit tcp any  host 192.168.2.2 eq http  //允许所有网络访问内网主机的HTTP服务
(config)# access-list 101 extended permit tcp any  host 192.168.2.2 range  3000  6000   //允许端口范围
(config)# access-group 101 in interface outside  //应用ACL到 outside接口in方向

 

5.开启远程管理

1）内网telnet登陆
(config)# telnet  0.0.0.0 0.0.0.0 inside
2）使用ASDM管理
(config)# copy  http://192.168.2.2/asdm-713.bin  flash:/asdm-713.bin   //上传asdm防火墙端的程序，也可以使用tftp（未测试成功）
(config)# username cisco password cisco privilege 15 //添加一个管理用户
(config)# http server enable  //启用http管理
(config)# http 0.0.0.0 0.0.0.0 inside  //设置内网可以使用asdm 的网段或主机

 

6.QOS流量管理

step 1.
定义ACL
以下两条是针对vlan2网段的ACL
(config)#access-list vlan2 extended permit ip 192.168.2.0 255.255.255.0 any  //匹配上行流量
(config)#access-list vlan2 extended permit ip any 192.168.2.0 255.255.255.0  //匹配下行流量
以下两条是针对vlan3网段的ACL
(config)#access-list vlan3 extended permit ip 192.168.3.0 255.255.255.0 any
(config)#access-list vlan3 extended permit ip any 192.168.3.0 255.255.255.0

step 2.
定义一个类，这个类包含了上一步定义的ACL，针对每个ACL定义一个类(主要作用是对流量分类)
(config)# class-map vlan2
(config-cmap)# match access-list vlan2   //匹配ACL

(config)# class-map vlan3
(config-cmap)# match access-list vlan3

step 3.
定义一条策略，策略可以包含对个类，针对每个类进行速率设置
(config)# policy-map  rate-limt
(config-pmap)# class vlan2  //针对vlan2的设置
(config-pmap-c)# polic input 150000 567000   //设置进入速率，前面是基本速率，后面是突发速率
(config-pmap-c)# polic output 150000 567000  //设置传出速率
(config-pmap-c)# exit  //退出

(config-pmap)# class vlan3   //针对vlan3的设置
(config-pmap-c)# polic input 150000 567000   
(config-pmap-c)# polic output 150000 567000

step 4.
应用策略

(config)# service-policy rate-limt interface inside     //将策略应用到inside接口，outside接口用作PAT不建议在outside接口做。

 

本文出自 “秘飞虎的空间” 博客，谢绝转载！