ASA型号及配置命令
    asa复习笔记一、cisco防火墙1.软件防火墙
    它用于基于IOS软件的设备。一般来说,客户端上具有应用层智能的状态检测防火墙引擎占CPU和内存资源的2.5%(可以定期欣赏)硬件防火墙(更多优势)
    应用在一般企业外部网络:pix500系列安全设备、asa5500系列自适应安全设备、catalyst6500系列交换机和cisco7600系列路由器的防火墙服务模块(不可以定期升值)
    二、 Ciscosa1常见型号:
    型号asa5505asa5510asa5520asa5540asa5550asa5580规模作用交换机接小型企业、分公司和企业设备成本低,易于部署、集成8个10/100端口快速口远程办公环境以太网交换机中型企业、分公司企业环设备成本低,易于部署,具有高级安全和网络服务境中型企业具有模块化、高性能网络中的高可用性主动/主动服路(小凡模拟器)务,并能连接千兆以太网设备由大中型企业,服务提供商提供高密度,主动/主动高可用性服务和千兆以太网连器接,设备具有高可靠性和高性能接大型企业、服务提供商网千兆级提供高达1.2gb/s的防火墙吞吐量,具有主
动口络的高性能设备/主动高可用性服务、光纤和千兆位以太网连接性大型企业、数据中心、和提供王兆位以太网连接运营商网络型号为asa5580-20、asa5580-402.基本配置配置主机名:ciscoasa>enciscoasa#cinft
    思科ASA(配置)#主机名ASA802域名:
    asa802(config)#enablepassword123telnet或ssh密码:
    Asa802(配置)#passwdciscoasa接口名称和安全级别
    asa802(config-if)#nameifinside(不起名,ping不通)
    Asa802(如果配置)#安全级别100(值为0-100,值越大,安全级别越高)
    //默认情况下,outside口安全级别为0,inside口安全级别为100,防火墙允许数据从高安全级别流向低安全级别的接口,但不允许流量从低安全级别流向高安全级别的接口,若要放行,必须做策略,acl放行;若接口的安全级别相同,那么它们之间不允许通信,绝对不允许,但有时有这个需要,故意把它们设成一样。
    #Showinterfaceinside接口地址:
    asa802(config-if)#ipaddress10.0.0.0.1255.255.255.0asa802(config-if)#noshut查看接口地址:
    asa802(配置)#显示地址
    (备注:在5505中不支持在物理接口上直接进行配置,必须将将接口加入vlan,进vlan配置,在vlan没noshu时,接口也不可以noshu)
    配置路由:
    asa802(config)#routeoutside(端口名称)0.0.0.00.0.0.0(目的网段)20.0.0.1(下一跳)可简写asa802(config)#routeoutside(端口名称)00(目的网段)20.0.0.1(下一跳)asa802#showroute查看路由表
    3.ASA支持三种主要的远程管理访问模式:Telnet、SSH和ASDM。① 配置允许的telnet访问:
    asa802(config)#telnet192.168.0.0255.255.255.0inside允许某个网段通过inside口进行telnetasa802(config)#telnet192.168.0.1255.255.255.255inside允许某台主机通过inside口进行telnetasa802(config)#telnet0.0inside允许所有主机通过inside口进行telnet
    在配置空闲超时asa802(配置)#telnettimeout15(1-1440分钟,默认为5分钟)Telnet时,可以使用showruntelnet查看正在运行的Telnet命令
    使用telnet远程管理是不安全的,所以一般禁止从外部接口使用telnet接入。②配置ssh的接入:四步
    第一步:配置防火墙的主机名和域名
ssh命令指定端口    第二步:生成rsa密钥对(rsa是一种算法)
    Asa802(配置)#cryptokeygenerator samodulue1024(密钥长度默认为512、768、1024、2048、1024)
    第三步:配置防火墙允许ssh接入
    asa802(配置)#ssh192。168.0.0255.255.255.0 inside允许网段连接到sshasa802(配置)#ssh192。0通过内部端口168.0.1255.255.255.255内部允许主机通过外部端口sshas802(配置)#ssh0外部允许所有主机通过外部端口SSH(更安全)。空闲超时asa802(配置)#sshtimeout15(1-1440分钟,默认为5分钟)配置SSH版本:
    asa802(config)#sshversion1(版本号,有1和2两个版本,不兼容,防火墙与客户机的版本需要保持一致)
    配置完成后,使用putty在主机上登录ASA的相应界面。ASA的默认用户名为pix,密码由您自己设置。在ASA:asa802#ShowsShsSession上查看SSH会话
    第三步:指定asdm映像的位置(也可用showdisk查看)asa802(config)#asdmimagedisk0:/asdm-602.bin第四步:登陆时用户名和密码
    要从高安全级别接口(内部)访问低安全级别接口(外部),通常需要配置动态网络地址转换、NAT和全局命令。
    启用:asa802(config)#nat-control配置动态nat:
    Asa802(配置)#nat(内部)1(数字,0-21亿)192.168.0.0255.255.255.0asa802(配置)#nat(内部)100为所有地址实现nat
    (编号为0指定不需要被转换的流量,一般应用在vpn的配置中)定义一个全局地址池:
    Asa802(配置)#全局(外部)1200.1.1.100-200.0.0.110asa802(配置)#全局(外部)1int(int指接口地址)在ASA上显示XLate以查看地址转换条目5ASA配置ACL以控制流量
    标准acl:asa802(config)#access-listout-to-dmzstandard{permit|deny}ip-addmask扩展acl:asa802(config)#access-listacl-nameextended{permit|deny}protocolsrc-ip-addsrc-maskdst-ip-adddst-mask[operatorport]
    将ACL应用于接口:
    asa802(config)#access-groupacl-name{in|to}interfaceintface-name以上掩码均为正码
    从低安全级别接口(外部)访问高安全级别接口(内部)通常是为了配置静态NAT和ACL。
    asa802(config)#static(dmz,outside)200.1.1.253192.168.1.1
   
   

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。