ASA防火墙配置

ASA---------cisco 防火墙
 
ASA 目前最流行的是 5500 系统
型号
特点
5505
端口全为交换端口,适用于小型企业
5510 5520
适用于中小型企业
5530 5540
适用于中大型企业
5580
适用于超大型企业
 
 
ASA 的配置
一、基本配置
1、  配置主机名
Hostname ASA
2、  配置域名 ( 目的为了生成 RSA 密钥 )
Domain-name ASA.com
3、  配置接口
a)         配置 5505 接口 IP--------- 将接口加入 VLAN ,再给 VLAN 配置 IP
Interface vlan 3
Nameif inside
Ip add 192.168.1.254 255.255.255.0
No sh
Interface e0/1
Sw ac vlan 3
No sh
Exit
b)        配置路由接口 IP
Interface e0/2
Nameif outside
Security-level 0
Ip add 200.1.1.2 255.255.255.0
No sh
Exit
4、  配置使能密码
Enable password 123
5、  配置远程密码
Passwd 456
 
二、配置远程登录
       1 telnet 远程登录
              telnet  192.168.1.10 255.255.255.255 inside
       只允许 192.168.1.10 这一台主机用 TELNET 远程登录
 
 
       2 、配置 SSH 远程登录
              1 )配置主机名和域名
              2 )生成 RSA 密钥
                            Crypto key generate rsa modulus 1024 [1024 是密钥的长度 ]
              3 )配置允许 SSH 登录的用户
                            Ssh  192.168.1.0 255.255.255.0 outside
               ( 4 ) 配置超时时间与版本
                            Ssh timeout 30
                            Ssh version 2
 
       3 、配置 ASDM 远程登录
              1 )启动 http 功能     
                     http server enable 443
              2 )配置允许 ASDM 的用户
                     Asdm 192.168.2.0 255.255.255.0 outside
              3 )配置用户名和密码
                     Username wjc password 123 privilege 15
              4 )配置 ASDM 镜像的位置
                     Asdm image disk0:/asdmfilename
 
三、配置静态路由
              Route 送出接口名称   目的网段   掩码   下一跳地址
例: route outside 200.0.0.0 255.255.255.0 192.168.2.1
 
四、配置 NAT
       1 、如果端口优先级高的主机想访问端口优先级低的主机需要配置动态 NAT
              Nat (inside) 1 192.168.1.0 255.255.255.0
              Global (outside) 1 200.1.1.1-200.1.1.10
 
       2 、如果内网主机想要访问 DMZ 区的服务器或者 DMZ 区的服务器要提供外网主机的访问可以使用静态 NAT
              Nat (dmz,outside)  200.1.1.2 192.168.2.1
 
五、配置 ACL
       1 access-list 101 permit ip any any ============ 生成 ACL
       2 access-group 2 in interface outside========= ACL 应用到端口
防火墙默认是拒绝所有的 PING 包,为了测试网络连通性的方便可以配置 ICMP 穿越
       Access-list 110 permit icmp any any echo-reply
       Access-list 110 permit icmp any any unreachable
       Access-list 110 permit icmp any any time-out
       Access-group 110 in interface outside
      
 
 
ASA 高级应用
一、 URL 过滤
a)         配置 class-map 映射
b)        配置 policy-map 映射
c)         policy-map 应用到接口
例:
       一个公司内部网络用的 IP 192.168.0.0/24 ,公司内部服务器区用的 IP 192.168.1.0/24 ,外网地址为 200.2.2.0/24 ;现要求公司内部员工只允许访问外网以“ .sina.com” 的网站,在防火墙上配置 URL 过滤如下:
              Access-list 100 permit tcp 192.168.0.0 255.255.255.0 any eq www
              Class-map tcp_class
                     Match access-list 100
                     Exit
              Regex url  “.sina.com”
              Class-map type regex match-any url_class
                     Match regex url
                     Exit
              Class-map type inspect http http_class
                     Match no request header host class url_class
 
             
 
二、 日志管理
a)         启用日志
Logging enable
b)        将日志放入缓存中
Logging enable
Logging buffered informational
c)         将日志放入 ASDM 客户端
Logging enable
Logging asdm informational
d)        将日志放入日志服务器上
Logging enable
Logging trap informational
Logging host inside 192.168.0.1
 
三、 IDS 功能
IDS 攻击形式分为两种:
              信息( info
              攻击 (attack)
IDS 对威胁的处理方式有三种:
              Alarm
              Drop
             
启用 IDS
       Ip audit name inside_info info action alarm
       Ip audit name inside_attack attack action drop
       Ip audit name outside_info info action alarm
       Ip audit name outside_attack attack action drop
       Ip audit inside_info in interface inside
       Ip audit inside_attack in interface inside
       Ip audit outside_info in interface inside
       Ip audit outside_attack in interface inside
 
四、 启动基本侵略检测
Threat-detection basic-threat
 
五、 防止分片攻击
Fragment chain 1
                    
 
 
 
 
 

你可能感兴趣的:(职场,休闲,ASA防火墙配置)