-
ASA
防火墙疑难杂症解答
ASA
防火墙疑难杂症解答
1...............................
内部网络不能
ping
通
inter
net
2........................
内部网络不能使用
pptp
拨入
v
pn
服务器
3.........
...........
内部网络不能通过被动
Mode
访问
ftp
服务器
4.................................
内部网络不能进行
ipsec NAT
5..
.................................
内网不能访问
DMZ
区服务器
< br>6................................
内网用
户不能
ping web
服务器
1.
内部网络不能
ping
通
internet
对于
ASA5510
,只要策略允许,则是可以
Ping
通的,对于
ASA550
< br>,部
分
IOS
可以
ping
,如果所以流量都允许还是不能
Ping<
/p>
的话,则需要做
inspect
,对
icmp
协议进行检查即可
2.
内部网络不能使用
pptp
拨入
vpn
服务器
因
pptp
需要连接
< br>TCP 1723
端口,同时还需要
GRE
协议,如果防火墙是
linux
的
< br>Iptables
,则需要加载:
modprobe ip_nat_pptp modprobe
ip_conntrack_proto_gre
如果防火墙是
ASA
,则需要
inspect
pptp
。
3.
内部网络不能通过被动
Mode
访问
< br>ftp
服务器
同样需要
inspect
ftp
,有些还需要检查相关参数
policy-map type inspect ftp ftpaccess
parameters
match request-
command appe cdup help get rnfr rnto put stou site
dele mkd rmd
4.
内部网络不能进行
ipsec NAT
这种情况不多用,如查进行
ipsect
:
IPSec Pass Through
5.
内网不能访问
DMZ
区服务器
增加
NAT<
/p>
规则,即
DMZ
到内网的规则
6.
内网用户不能
ping
web
服务器
如果内网中有一台
web
服务器,且已经配置了
NAT
,使用
internet
用户可
以通过外部
IP
访问这台
w
eb
服务器。这时如果内网中的机器不能
ping
这台
web
服务器,则在配置
NAT
时,进行
DNS rewrite
即可,如果故障依然,可
以试着关闭
arp
代理。
7.
待续
Cisco
ASA5520
防火墙配置
前言
?
主要从防火墙穿越的角度,描述
Cisco
ASA5520
防火墙的配置
?
对
Pix
ASA
系列防火墙配置具有参考意义
内容
?
<
/p>
防火墙与
NAT
介绍
?
基本介绍
?
基本配置
?
高级配置
?
其它
?
案例
防火墙与
NAT
介绍
?
防火墙
?
门卫
?
NAT
?
过道
?
区别
?
两者可以分别使用
?
Windows
有个人防火墙
?
Windows
有
Internet
Connect sharing
服务
?
一般防火墙产品,同时带有
NAT
基本介绍
?
配置连接
?
工作模式
?
常用命令
?
ASA5520
介绍
配置连接
?
初次连接
?
使用超级终端登陆
Console
口<
/p>
?
Cicso
的波特率设置为
9600
?
Telnet
连接
?
默认不打开,在使用
Console
配置后,可以选择开启
?
开启命令:
telnet
ip_addressnetmaskif_name
?
连接命令:
?
ASA5520
< br>默认不允许外网
telnet,
开启比较麻烦
?
ASDM
连接
?
图形界面配置方式
?
SSH
连接
工作模式
?
普通模式
?
连接上去后模式
?
进入普通模式需要有普通模式密码
?
Enable
进入特权模式,需要特权密码
?
特权模式
?
Config terminal
进入配置模式
?
配置模式
?
模式转换
?
exit
或者
ctrl-z
退出当前模式,到前一模式
?
也适用于嵌套配置下退出当前配置
常用命令
?
命令支持缩写,只要前写到与其它命令不同的地方即可
?
config terminal
= conf term = conf t
?
Tab
键盘补全命令
?
?
Or
help
获取帮助
?
取消配置
?
no
命令取消以前的配置
?
Clear
取消一组配置,具体请查看帮助
?
查看配置
?
Show version
?
show run [all]
, write terminal
?
Show xlat
?
Show run nat
?
Show run global
?
保存配置
?
Write memory
ASA5520
介绍
?
硬件配置:
ASA5520,
512 MB RAM, CPU Pentium 4 Celeron 2000 MHz
?
1
个
Console
口,一个
Aux
口,
4
个千兆网口
?
支持并发:
280000
个
?
支持
VP
N
个数:
150
?
支持双机热备、负载均衡
?
可以通过
show version
查看硬件信息
基本配置
?
接口配置
?
NAT
配置
?
ACL
访问控制
接口配置
?
四个以太网口
?
GigabitEthernet
0/0
、
gig0/1
、
gig0/2
、
gig0/3
?
进入接口配置
: interface if_name
?
配置
IP
?
ip
address ip_address [netmask]
?
ip
address ip_addressdhcp
?
打开端口
: no shutdown
?
配置安全级别
?
security-level
[0-100]
?
数据从安全级别高的流向底的,不能倒流
?
倒流需要保安允许
?
所以外网一般配置为
0
,内网为
100
?
配置别名
?
供其它命令引用
?
Nameifif_name
NAT
?
NAT (Network
Address Translate)
?
NAT
类型
(
与防火墙穿越提
到的类型不相关)
?
Dynamic NAT
?
PAT
?
Static NAT &
Static PA
T
?
Identity NAT
?
NAT exemption
?
Policy NAT
?
地址表超时
NAT
配置
?
普通
NAT
?
Dynamic NAT
?
PAT
?
NAT
例外
?
Static NAT
?
Identity NAT
?
NAT exemption
?
Policy NAT
普通
NAT
?
普通
NA
T
,只允许内网先发起连接
?
地址池配置
?
global
(if_name) natidstart_addr-end_addrnetmask
?
如:
?
定义了
natid 1
和地址池
?
Dynamic NAT
?
nat (real_ifc)
nat_idinside_networkoutside_network
?
动态分配给内网一个独立的
IP