-
Cisco ASA5520
防火墙配置
前言
?
主要从防火墙穿越的角度,描述
Cisco
ASA5520
防火墙的配置
?
对
Pix
ASA
系列防火墙配置具有参考意义
内容
?
<
/p>
防火墙与
NAT
介绍
?
基本介绍
?
基本配置
?
高级配置
?
其它
?
案例
防火墙与
NAT
介绍
?
防火墙
?
门卫
?
NAT
?
过道
?
区别
?
两者可以分别使用
?
Windows
有个人防火墙
?
Windows
有
Internet Connect
sharing
服务
?
一般防火墙产品,同时带有
NAT
基本介绍
?
配置连接
?
工作模式
?
常用命令
?
ASA5520
介绍
配置连接
?
初次连接
?
使用超级终端登陆
Console
口<
/p>
?
Cicso
的波特率设置为
9600
?
Telnet
连接
?
默认不打开,在使用
Console
配置后,可以选择开启
?
开启命令:
telnet
ip_address netmask if_name
?
连接命令:
telnet
192.168.1.1
?
ASA
5520
默认不允许外网
telnet,
开启比较麻烦
?
ASDM
连接
?
图形界面配置方式
?
SSH
连接
工作模式
?
普通模式
?
连接上去后模式
?
进入普通模式需要有普通模式密码
?
Enable
进入特权模式,需要特权密码
?
特权模式
?
Config terminal
进入配置模式
?
配置模式
?
模式转换
?
exit
或者
ctrl-z
< br>退出当前模式,到前一模式
?
也适用于嵌套配置下退出当前配置
常用命令
?
命令支持缩写,只要前写到与其它命令不同的地方即可
?
config terminal
= conf term = conf t
?
Tab
键盘补全命令
?
?
Or help
获取帮助
?
取消配置
?
no
命令取消以前的配置
?
Clear
取消一组配置,具体请查看
帮助
?
查看配置
?
Show version
?
show run [all] , write terminal
?
Show xlat
?
Show run nat
?
Show run global
?
保存配置
?
Write memory
ASA5520
介绍
?
硬件配置:
ASA5520,
512 MB RAM, CPU Pentium 4 Celeron 2000 MHz
?
1
个
p>
Console
口,一个
Aux
口,
4
个千兆网口
?
支持并发:
280000
个
?
支持
VP
N
个数:
150
?
支持双机热备、负载均衡
?
可以通过
show version
查看硬件信息
基本配置
?
接口配置
?
NAT
配置
?
ACL
访问控制
接口配置
?
四个以太网口
?
GigabitEthernet
0/0
、
gig0/1
、
gig0/2
、
gig0/3
?
进入接口配置
: interface if_name
?
配置
IP
?
ip
address ip_address [netmask]
?
ip
address ip_address dhcp
?
?
?
?
?
?
?
打开端口
: no shutdown
配置安全级别
security-
level [0-100]
数据从安全级别高的流向底的,不能倒流
倒流需要保安允许
所以外网一般配置
为
0
,内网为
100
配置别名
?
供其它命令引用
?
Nameif if_name
NAT
?
NAT (Network
Address Translate)
?
NAT
类型
(
与防火墙穿越提
到的类型不相关)
?
Dynamic NAT
?
PAT
?
Static NAT &
Static PAT
?
Identity NAT
?
NAT exemption
?
Policy NAT
?
地址表超时
NAT
配置
?
普通
NAT
?
Dynamic NAT
?
PAT
?
NAT
例外
?
Static NAT
?
Identity NAT
?
NAT exemption
?
Policy NAT
普通
NAT
?
普通
NA
T
,只允许内网先发起连接
?
地址池配置
?
global
(if_name) natid start_addr-end_addr netmask
?
如:
global (outside) 1
192.168.85.111-192.168.85.113 255.255.255.0
?
定义了
natid 1
和地址池
192.168.85.111-192.168.85.113
?
Dynamic NAT
?
nat (real_ifc)
nat_id inside_network outside_network
?
动态分配给内网一个独立的
IP
?
PAT
?
PAT
使
用
1
个地址
+65535
个端口为内网提供地址转换
?
地址池中只有一个值时,就是
PAT
?
分配给内网连接一个固定
IP
和一个动态的端口
Static NAT
?
Static NAT
?
允许外网先发起连接
?
是一个外网
IP
固定一个内网
IP
?
可以称为
IP
映射
?
命令
?
Static (internal_if_name,
external_if_name) maped_addr real_addr
?
Maped_addr
与
real_addr
不相同
Static PAT
?
Static PAT
?
?
?
?
命令
?
允许外网先发起连接
是一个内网
p>
IP+
一个端口转换成一个固定的外网
IP
+
固定的外网端口
可以称为端口映射
static
(real_interface,mapped_interface)
{tcp
|
udp}
{mapped_ip
|interface}
mapped_port real_ip real_port [netmask
mask]
Identity NAT
?
Identity NAT
?
不使用地址转换,采用原地址出去
?
只能内网发起连接
?
外网必须配置
ACL
permit
才能先发起连接
?
命令
?
NAT
(
real_if_name
)
0 addr/network networkmask
?
如
:
nat (inside) 0 192.168.1.2 255.255.255.255
?
Static Identity
NAT
?
不使用地址转换,采用原地址出去
?
内外网都可先发起连接
?
命令
?
static
(real_interface,mapped_interface) real_ip real_ip
NAT exemption
?
NAT exemption
?
Identity
NAT
和
ACL
的混合,功能更加强大
?
不使用地址转换,采用原地址出去
?
内外网均可发起连接
?
命令
?
例
1
p>
:
access-list EXEMPT permit ip
10.1.2.0 255.255.255.0 any
?
nat (inside) 0 access-list EXEMPT
?
例
p>
2
:
access-list NET1
permit ip 10.1.2.0 255.255.255.0 209.165.201.0
?
access-list
NET1 permit ip 10.1.2.0 255.255.255.0
209.165.200.224
?
nat (inside) 0 access-list NET1
Policy NAT
?
Policy NAT &
Policy PAT
?
用
ACL
定义的
NAT
和
PAT
?
更加灵活