ASA防火墙的基本配置

一：ASA安全设备

Cisco ASA 5500系列有六种型号
ASA 5505适用于小型企业、分公司和企业远程办公环境，成本低
ASA 5510适用于中型企业，设备成本低易于部署
ASA 5520设用于中型企业，具有模块化、并能链接前兆以太网设备
ASA 5540为大中型企业和服务提供商提供高密度、设备具有高可靠性
ASA 5550用于大型企业，千兆级提供高达1.2Gb/s的防火墙吞吐量
ASA5580用于大型企业、数据中心和运营商网络，提供万兆位以太网链接

二：基本配置、一般包括：

配置主机名、域名和密码
配置接口
配置路由
配置远程管理接入
为出站流量配置网络地址转换
配置ACL

1.配置主机名、域名和密码

ASA#conf t
ASA(config)#hostname ASA  (配置主机名）
ASA(config)#domain-name asadomain.com  （配置域名为asadomain.com）
ASA(config)#enable password 123  （配置特权密码）
ASA(config)#passwd cisco  （配置远程登录密码）

2.配置接口

ASA(config-if)# nameif name(inside/outside/dmz)  接口名字
ASA(config-if)# security-level number（0-100）

例如在E0/1接口名字为inside，安全级别为100，ip地址为10.10.10.1/24
ASA(config)# int e0/1
ASA(config-if)# nameif inside
ASA(config-if)# security-level 100
ASA(config-if)# ip add 10.10.10.1 255.255.255.0
ASA(config-if)# no sh

3.配置路由

ASA(config)# route outside 0.0.0.0 0.0.0.0 200.0.0.1
在outside接口配置默认路由，下一条是200.0.0.1

4.配置远程管理接入

①配置telnet接入

由于使用telnet最不安全，所以一般禁止从外部接口使用telnet接入
ASA(config)# telnet {network | ip-address} mask itnerface-name
例如：允许从192.168.0.0/24使用telnet接入
ASA(config)# telnet 192.168.0.0 255.255.0.0 inside
ASA(config)# telnet timeout minutes 默认是5分钟

②配置SSH接入（分为四部）

1.为防火墙分配一个主机名和域名
2.生成RSA密钥对  ASA(config)# crypto key generate rsa modulus 1024
3.配置允许SSH接入ASA(config)# ssh 0 0 outside
4.其他配置 ASA(config)# ssh timeout 30、ASA(config)# ssh version2
show ssh session
由于SSH较telnet安全的多、可以从外网连接所以这里就是允许所有来自外网的用户登录、只要提供相应的密码就可登录

⑧配置ASDM接入

1.启用防火墙HTTPS服务器功能 ASA(config)# http server enable [port]
2.配置允许HTTPS接入、允许从192.168.0.0/24网段使用HTTPS接入
  ASA(config)# http 192.168.0.0 255.255.255.0 inside
3.指定ASDM映像的位置
  ASA(config)# asdm image disk0:/asdm…………
4.配置客户端登录使用的用户名和密码
  ASA(config)# username wycsy password 19920229 privilege 15
5.客户端使用ASDM步骤如下、安装java、https://192.168.0.254