思科ASA防火墙配置

2022年01月13日 阅读数:5
这篇文章主要向大家介绍思科ASA防火墙配置,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。
核心提示: 要想配置思科的防火墙得先了解这些命令:    经常使用命令有:nameifinterfaceip addressnatglobalroutestatic等。global    指定公网地址范围:定义地址池。    Global命令的配置语法:    global (if_name) nat_id ip_address-ip_address [netmark globa
 要想配置思科的防火墙得先了解这些命令:
   
经常使用命令有:nameifinterfaceip addressnatglobalroutestatic等。
global
   
指定公网地址范围:定义地址池。
    Global
命令的配置语法:
    global (if_name) nat_id ip_address-ip_address [netmark global_mask]
   
其中:
    (if_name)
:表示外网接口名称,通常为outside
    nat_id
:创建的地址池标识(nat要引用)
    ip_address-ip_address
:表示一段ip地址范围。
    [netmark global_mask]
:表示全局ip地址的网络掩码。
nat
   
地址转换命令,将内网的私有ip转换为外网公网ip
    nat
命令配置语法: nat (if_name) nat_id local_ip [netmark]
   
其中:

    (if_name)
:表示接口名称,通常为 inside.
    nat_id
   表示地址池,由global命令定义。

    local_ip
表示内网的ip地址。对于0.0.0.0表示内网全部主机。
    [netmark]
:表示内网ip地址的子网掩码。
route
    route
命令定义静态路由。
   
语法:
    route (if_name) 0 0 gateway_ip [metric]
   
其中:
    (if_name)
:表示接口名称。
    0 0
:表示全部主机
    Gateway_ip
:表示网关路由器的ip地址或下一跳。
    [metric]
:路由花费。缺省值是1
static
   
配置静态IP地址翻译,使内部地址与外部地址一一对应。

   
语法:
    static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address
   
其中:
    internal_if_name
表示内部网络接口,安全级别较高,如inside
    external_if_name
表示外部网络接口,安全级别较低,如outside
    outside_ip_address
表示外部网络的公有ip地址。
    inside_ ip_address
表示内部网络的本地ip地址。
    (
括号内序顺是先内后外,外边的顺序是先外后内)
    例如:
    asa(config)#static (inside
outside) 133.0.0.1 192.168.0.8
   
表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址

**************************************************************************
    asa#conf t
    asa(config)# hostname asa   //
设置主机名
    asa(config)#enable password cisco     //
设置密码
      配置外网的接口,名字是outside,安全级别0,输入ISP给您提供的地址就好了。
    asa(config)#interface GigabitEthernet0/0
    asa(config)#nameif outside                      //
名字是 outside
    asa(config)#securit-level 0                    //
安全级别
0
    asa(config)#ip address *.*.*.* 255.255.255.0   //
配置公网IP地址

    asa(config)#duplex full
    asa(config)#
    asa(config)#no shutdown
      配置内网的接口,名字是inside,安全级别 100
    asa(config)#interface GigabitEthernet0/1
    asa(config)#nameif inside
    asa(config)#securit-level 100
    asa(config)#duplex full
    asa(config)#speed 100
    asa(config)#no shutdown
      配置DMZ的接口,名字是dmz,安全级别 50
    asa(config)#interface GigabitEthernet0/2
    asa(config)#nameif dmz
    asa(config)#securit-level 50
    asa(config)#duplex full
    asa(config)#
    asa(config)#no shutdown
      网络部分设置
    asa(config)#nat(inside) 1 192.168.1.1 255.255.255.0
    asa(config)#global(outside) 1 222.240.254.193 255.255.255.248
    asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255     //
表示192.168.1.1这个地址不须要转换。直接转发出去。
    asa(config)#global (outside) 1 133.1.0.1-133.1.0.14      //定义的地址池
    asa(config)#nat (inside) 1 0 0                           //0 0
表示转换网段中的全部地址。定义内部网络地址将要翻译成的全局地址或地址范围
     
配置静态路由
    asa(config)#route outside 0 0 133.0.0.2                        //
设置默认路由  133.0.0.2为下一跳
   
若是内部网段不是直接接在防火墙内口,则须要配置到内部的路由。
    asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
      地址转换
    asa(config)#static (dmz
outside) 133.1.0.1 10.65.1.101        ;静态 NAT
    asa(config)#static (dmz
outside) 133.1.0.2 10.65.1.102        ;静态
NAT
    asa(config)#static (inside
dmz) 10.66.1.200 10.66.1.200       ;静态
NAT
   
若是内部有服务器须要映射到公网地址(外网访问内网)则须要
static
    asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240
    asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240 10000 10   //
后面的10000为限制链接数,10为限制的半开链接数

    ACL
实现策略访问
    asa(config)#access-list 101 permit ip any host 133.1.0.1 eq www;
设置 ACL
    asa(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;
设置
ACL
    asa(config)#access-list 101 deny ip any any                    ;
设置
ACL
    asa(config)#access-group 101 in interface outside     ;
ACL应用在outside端口

       
当内部主机访问外部主机时,经过nat转换成公网IP,访问internet
       
当内部主机访问中间区域dmz时,将本身映射成本身访问服务器,不然内部主机将会映射成地址池的IP,到外部去找。
       
当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101static是双向的。

        PIX
的全部端口默认是关闭的,进入PIX要通过acl入口过滤。
       
静态路由指示内部的主机和dmz的数据包从outside口出去。