ASA——下一代防火墙
Cisco ASA 5500系列自适应安全设备产品简介
Cisco? ASA 5500 系列自适应安全设备是思科专门设计的解决方案,将最高的安全性和出色VPN服务与创新的可扩展服务架构有机地结合在一起。作为思科自防御网络的核心组件,Cisco ASA 5500系列能够提供主动威胁防御,在网络受到威胁之前就能及时阻挡攻击,控制网络行为和应用流量,并提供灵活的VPN连接。思科强大的多功能网络安全设备系列不但能为保护家庭办公室、分支机构、中小企业和大型企业网络提供广泛而深入的安全功能,还能降低实现这种新安全性相关的总体部署和运营成本及复杂性。
Cisco ASA 5500 系列在一个平台中有力地提供了多种已经获得市场验证的技术,无论从运营角度还是从经济角度看,都能够为多个地点部署各种安全服务。利用其多功能安全组件,企业几乎不需要作任何两难选择,也不会面临任何风险,既可以提供强有力的安全保护,又可以降低在多个地点部署多台设备的运营成本。Cisco ASA 5500系列包含全面的服务,通过为中小企业和大型企业定制的产品版本,能满足各种部署环境的特定需求。这些版本为各地点提供了相应的服务,从而达到出色的保护效果。每个版本都综合了一套Cisco ASA 5500系列的重点服务(如防火墙、IPSec和SSL VPN、IPS,以及Anti-X服务),以符合企业网络中特定环境的需要。通过确保满足每个地点的安全需求,网络整体安全性也得到了提升。
图1. Cisco ASA 5500系列自适应安全设备
Cisco ASA5500 系列能够通过以下关键组件帮助企业更有效地管理网络并提供出色的投资保护:
经过市场验证的安全与VPN功能- 全特性、高性能的防火墙,入侵防御系统(IPS), Anti-X 和IPSec/SSL VPN 技术提供了强大的应用安全性、基于用户和应用的访问控制、蠕虫与病毒防御、恶意软件防护、内容过滤以及远程用户/站点连接。
可扩展的自适应识别与防御服务架构-利用Cisco ASA 5500系列的一个模块化服务处理和策略框架,企业可根据每个流量的情况,应用特定的安全或网络服务,提供高度精确的策略控制和各种防御服务,并简化流量处理。该架构具有出色的效率,安全服务模块(SSM)和安全服务卡则提供了软件和硬件可扩展性,因此无需更换平台,也不会降低性能,即能扩展现有服务和部署新服务。Cisco ASA 5500系列支持高度可定制的安全策略和前所未有的服务可扩展性,来为威胁程度迅速提高的环境提供保护。
降低部署和运营成本-多功能的Cisco ASA 5500系列可实现平台、配置和管理的标准化,从而降低部署与日常运营本。
Cisco ASA 5500系列简介
Cisco ASA 5500系列包括Cisco ASA 5505、5510、5520、5540和5550自适应安全设备-这些定制的高性能安全解决方案充分利用了思科系统公司?在开发业界领先、屡获大奖的安全和VPN解决方案方面的丰富经验。该系列集成了Cisco PIX? 500系列安全设备、Cisco IPS 4200系列传感器和Cisco VPN 3000系列集中器的最新技术。通过结合上述技术,Cisco ASA 5500系列提供了一个无与伦比的优秀解决方案,能防御范围最为广泛的威胁,为企业提供灵活、安全的连接选项。作为思科自防御网络的核心组件,Cisco ASA 5500系列提供了主动的威胁防御,能够在攻击蔓延到整个网络之前进行阻止,控制网络活动和应用流量,并提供灵活的VPN连接。这些功能的结合打造了强大的多功能网络安全产品系列,不但能为中小企业(SMB)、大企业和电信运营商网络提供广泛深入的安全保护,还降低了提供如此出色的安全性所涉及的部署和运营成本以及复杂性。
Cisco ASA 5500系列具有可扩展的思科AIM服务架构和灵活的多处理器设计,使这些自适应安全设备能在提供多项并发安全服务时获得前所未有的性能,且同时实现出色的投资保护。Cisco ASA 5500系列自适应安全设备结合了多个协同工作的高性能处理器,以提供高级防火墙服务、IPS服务、Anti-X/内容安全服务、IPSec和SSL VPN服务等。企业能通过安装Cisco ASA5500系列安全服务模块-例如提供入侵防御服务的高级检测和防御安全服务模块(AIP SSM)或提供高级Anti-X服务的Cisco ASA5500系列内容安全和控制安全服务模块(CSC SSM),添加更多高性能安全服务。这种灵活的设计使Cisco ASA 5500系列能够独特地应对新威胁、在快速发展的威胁环境中提供保护,并通过可编程硬件使该平台适应未来几年的变化,从而实现出色的投资保护。Cisco ASA 5500系列结合了这些高性能、经过市场验证的安全和VPN功能,以及集成化千兆以太网连接和基于闪存的无磁盘架构,非常适用于需要高性能、灵活、可靠且能保护投资的最佳安全解决方案的企业。
所有Cisco ASA 5500系列设备都包括基本系统所能支持的最大IPSec VPN用户数;SSL VPN 的许可和购买须单独进行。通过融合IPSec和SSL VPN服务与全面的威胁防御技术,Cisco ASA 5500系列提供了高度可定制的网络接入功能,来满足各种部署环境的需要,并提供了全面的终端和网络级安全。
Cisco ASA 5505自适应安全设备
Cisco ASA 5505自适应安全设备是一款下一代、全功能的安全设备,适用于小型企业、分支机构和大型企业远程工作人员等环境,在一个模块化的"即插即用"设备中提供了高性能防火墙、IPSec和SSL VPN,以及丰富的网络服务。利用基于Web的集成化思科自适应安全设备管理器,能够迅速部署和轻松管理Cisco ASA 5505,使企业能最大限度地降低运营成本。Cisco ASA5505配有一个灵活的8端口10/100快速以太网交换机,其端口能进行动态组合,为家庭、企业和互联网流量创建三个独立VLAN,以改进网络分区和安全。Cisco ASA 5505提供两个以太网供电(PoE)端口,简化了配备自动安全IP语音(V oIP)功能的思科IP电话的部署,以及外部无线接入点的部署,扩展了网络移动性。Cisco ASA 5505与其他Cisco ASA 5500系列设备类似,通过其模块化设计,提供了一个外部扩展插槽和多个USB端口,能在未来添加更多服务,从而实现了出色的扩展能力和投资保护。
随着企业需求的发展,客户能安装Security Plus升级许可证,扩展Cisco ASA 5505自适应安全设备,以支持更高的连接能力和更多的IPSec VPN用户,增加完全DMZ支持,并通过VLAN 端口汇聚支持,集成到交换式网络环境之中。此外,这一升级许可证还凭借对冗余ISP连接和无状态主用/备用高可用性服务的支持,提供了最高业务连续性。市场领先的安全和VPN 服务、先进的网络特性、灵活的远程管理功能,以及面向未来的可扩展性,使Cisco ASA 5505成为需要最佳小型企业、分支机构或大型企业远程工作人员安全解决方案的企业的理想选择。表1列出了Cisco ASA 5505的特性。
表1. Cisco ASA 5505自适应安全设备平台的功能和容量
**通过独立许可证实现的特性;基本系统包括2个
Cisco ASA 5510自适应安全设备
Cisco ASA 5510 自适应安全设备在一个易于部署、经济有效的设备中为中小企业和大型企业的远程/分支机构提供了种类丰富的高级安全和网络服务。这些服务可以通过基于Web的集成化思科自适应安全设备管理器应用进行轻松的管理和监控,从而降低了提供高水平安全性所需的总体部署和运营成本。Cisco ASA 5510 自适应安全设备提供了高性能的防火墙和VPN 服务,3个集成的10/100 快速以太网接口,并通过AIP SSM提供了可选高性能入侵防御和蠕虫消除服务,或通过CSC SSM提供可选的全面恶意软件防护服务。这些服务在单一平台上的独特结合,使Cisco ASA 5510成为那些需要支持DMZ的经济有效、可扩展安全解决方案的企业的理想选择。
随着企业需求的增长,客户能安装一个Security Plus升级许可证,将Cisco ASA 5510自适应安全设备扩展到更高的接口密度,并通过VLAN支持集成到交换式网络环境中。此外,此升级许可证通过支持主用/主用和主用/备用高可用性服务,最大限度提高了业务连续性。利用Cisco ASA 5510自适应安全设备的可选安全环境功能,企业最多能在一个设备中部署五个虚拟防火墙,从而在部门级别实现安全策略分区控制。这种虚拟化功能加强了安全性,降低了管理和支持总成本,同时可将多个安全设备集成到单个设备中。
表2列出了Cisco ASA 5510的特性。
表2. Cisco ASA 5510自适应安全设备平台的功能和容量
**通过独立许可证实现的特性;基本系统包括2个
***通过独立许可证实现的特性;Cisco ASA 5510 Security Plus许可证包括2个
Cisco ASA 5520自适应安全设备
Cisco ASA 5520 自适应安全设备凭借一个模块化、高性能的设备,为中型企业网络提供了具备主用/主用高可用性和千兆以太网连接的大量安全服务。利用其4个千兆以太网接口和多达100个的VLAN,企业能够轻松地将Cisco ASA5520部署到网络中的多个分区。Cisco ASA 5520 自适应安全设备能随着企业网络安全要求的增长而扩展,从而提供了强大的投资保护功能。
企业能够扩大其IPSec 和SSL VPN 容量,以支持更多的移动员工、远程地点和业务合作伙伴。通过安装一个SSL VPN升级许可证,企业能在每个Cisco ASA 5520上支持750个SSL VPN 对;基本平台上支持750个IPSec VPN对。Cisco ASA 5520的集成VPN集群和负载均衡功能可提高VPN容量和永续性。Cisco ASA 5520在一个集群中最多支持10个设备,从而每个集群能支持多达7500个SSL VPN对或7500个IPSec VPN对。Cisco ASA 5520的高级应用层安全和Anti-X防御能通过部署AIP SSM的高性能入侵防御和蠕虫消除功能、或CSC SSM的全面恶意软件防护而得到增强。利用Cisco ASA 5520 自适应安全设备的可选安全环境功能, 企业可在一个设备中部署多达20个虚拟防火墙,实现部门级的安全策略分区控制。这种虚拟化功能加强了安全性,降低了管理和支持总成本,同时可将多个安全设备集成到单个设备中。表3列出了Cisco ASA 5520的特性。
表3. Cisco ASA 5520自适应安全设备平台的功能和容量
Cisco ASA 5540自适应安全设备
Cisco ASA5540 自适应安全设备在一个可靠的模块化设备中为大中型的企业和电信运营商网络提供了具备主用/主用高可用性和千兆以太网连接的大量高性能、高密度安全服务。利用其4个千兆以太网接口和多达100个的VLAN,企业能通过Cisco ASA 5540将网络分成多个分区,从而提高安全性。Cisco ASA 5540 自适应安全设备可随着企业网络安全要求的提高而扩展,从而提供了强大的投资保护功能和服务可扩展性。通过部署AIP SSM来提供高性能入
侵防御和蠕虫消除功能,Cisco ASA 5540自适应安全设备提供的高级网络和应用层安全服务以及Anti-X防御将得到增强。
企业能扩大其IPSec 和SSL VPN 容量,以支持更多的移动员工、远程地点和业务合作伙伴。通过安装一个SSL VPN升级许可证,企业能在每个Cisco ASA 5540上支持2500个SSL VPN 对;基本平台上支持5000个IPSec VPN对。Cisco ASA 5540的集成VPN集群和负载均衡功能可提高VPN容量和永续性。Cisco ASA 5540在一个集群中能支持10个设备,从而使每个集群最多可支持25,000个SSL VPN对或50,000个IPSec VPN对。利用Cisco ASA 5540 自适应安全设备的可选安全环境功能, 企业可在一个设备中部署多达50个虚拟防火墙,实现部门级或每用户安全策略分区控制,同时降低管理和支持总成本。
表4列出了Cisco ASA 5540的特性。
*通过独立许可证实现的特性;基本系统包括2个
Cisco ASA 5550自适应安全设备
Cisco ASA 5550自适应安全设备在一个可靠的单机架单元设备中为大型企业和电信运营商网络提供了具备主用/主用高可用性和光纤及千兆以太网连接的大量千兆级安全服务。利用其8个千兆以太网接口、4个SFP光纤接口*和多达200个的VLAN,企业可以将网络分成多个高性能分区,从而提高安全性。
Cisco ASA 5550自适应安全设备可随着企业网络安全要求的提高而扩展,从而提供了强大的投资保护功能和服务可扩展性。企业能扩大其IPSec 和SSL VPN 容量,以支持更多的移动员工、远程地点和业务合作伙伴。通过安装一个SSL VPN升级许可证,企业能在每个Cisco ASA 5550上支持5000个SSL VPN对;基本平台上支持5000个IPSec VPN对。Cisco ASA 5550的集成VPN集群和负载均衡功能可提高VPN容量和永续性。Cisco ASA 5550在一个集群中能支持10个设备,从而使每个集群最多可支持50,000个SSL VPN对或50,000个IPSec VPN 对。利用Cisco ASA 5550 自适应安全设备的可选安全环境功能, 企业可在一个设备中部署多
达50个虚拟防火墙,实现部门级或每用户安全策略分区控制,同时降低管理和支持总成本。*注:该系统共提供12个千兆以太网端口,其中8个能随时提供服务。企业可选择铜缆或光纤连接,从而为数据中心、园区或企业边缘连接提供了灵活性。
表5列出了Cisco ASA 5550的特性。
表5. Cisco ASA 5550自适应安全设备平台的功能和容量
产品规格
表6提供了Cisco ASA 5505、5510、5520、5540和5550自适应安全设备的比较。
表6. Cisco ASA 5500系列自适应安全设备的特性
*通过升级许可证提供
安全服务模块
Cisco ASA 5500系列利用其独特的AIM服务和多处理器硬件架构为网络提供了全新的集成安全性能。该架构使企业能够适应并扩展Cisco ASA 5500系列的高性能安全服务。客户能够利用带专用安全协处理器的安全服务模块增加额外的高性能安全服务,并可通过一个灵活的策略架构定制针对各工作流的策略。这一自适应架构使企业能够随时随地根据需要部署新的安全服务,例如增加AIP SSM提供的种类广泛的入侵防御和高级防蠕虫服务,或CSC SSM提供的全面恶意软件防护和Anti-X服务。此外,该架构使思科能够在将来方便地推出新服务,以抵御新的攻击,为Cisco ASA 5500系列提供出色的投资保护。
Cisco ASA 5500系列高级检测和防御模块
Cisco ASA 5500系列AIP SSM是一个基于网络的内置解决方案,能在恶意流量影响业务连续性前准确识别、分类并终止它们。利用Cisco ASA 5500系列IPS软件,AIP SSM结合了内置防御服务和创新技术,从而使用户能完全自信地保护所部署的IPS解决方案,且无需担心合法流量被丢弃。AIP SSM还能独特地与其他网络安全资源合作,以主动方式全面地保护网络。它利用准确的内置防御技术,能够在不承担丢弃合法流量的风险的情况下,前所未有地对更为广泛的威胁采取防御措施。这些出色的技术提供了针对数据的智能、自动、基于环境的分析,有助于确保企业通过入侵防御解决方案获得最大收益。此外,AIP SSM使用多因素威胁识别来具体检测第二到七层的流量,从而保护网络免遭策略违背、安全漏洞利用以及异常行为的影响。
表7具体介绍了所提供的两种AIP SSM型号,以及它们各自的性能和物理特性。
表7. Cisco ASA 5500系列AIP SSM的特性
Cisco ASA 5500系列内容安全和控制模块
Cisco ASA5500系列CSC SSM在互联网边缘提供了业界领先的威胁防御和内容控制特性,通过一个便于管理的解决方案集成了全面的防病毒、防间谍软件、文件阻拦、防垃圾邮件、防网络钓鱼、URL阻止和过滤,以及内容过滤功能。CSC SSM增强了Cisco ASA 5500系列出色的安全功能,使客户能更好地保护和控制其业务通信的内容。该模块在运行和部署Cisco ASA 5500系列设备的基础上提供了更高灵活性和更多选择。多种许可证选项则允许机构根据
每个组的需求定制特性和功能,包括高级内容服务和更高用户容量等特性。CSC SSM配有一个缺省特性集,能提供防病毒、防间谍软件和文件阻拦服务。通过额外收费,能为每个CSC SSM配备一个Plus许可证,提供防垃圾邮件、防网络钓鱼、URL阻止和过滤,以及内容控制服务。企业可以通过购买和安装更多用户许可证,来扩展CSC SSM的用户容量。
表8. Cisco ASA 5500系列CSC SSM的特性
Cisco ASA 5500系列4端口千兆以太网模块
Cisco ASA 4端口千兆以太网SSM使企业能更好地将网络流量划分到独立的安全分区中,为其网络环境提供更精确的安全性。这些分区包括互联网、公司内部机构/站点和DMZ等。此高性能模块支持铜缆和光纤连接选项,包括4个10/100/1000铜缆RJ-45端口和4个SFP端口。企业能为每个端口分别选择部署铜缆或光纤连接,为数据中心、园区或企业边缘连接提供了灵活性(最多能有4个端口同时提供服务)。该模块扩展了Cisco ASA 5500系列的I/O规格,在Cisco ASA 5510上共提供5个快速以太网端口和4个千兆以太网端口,在Cisco ASA 5520和5540设备上提供8个千兆以太网端口和1个快速以太网端口(表9)。
表9. Cisco ASA 5500系列4端口千兆以太网SSM的特性
订购信息
如需订购产品, 请访问思科订购主页。表10提供了Cisco ASA 5500系列的订购信息。
个
SSL VPN
对,
防火墙服务 , 8 个千兆以太网接口, 1 个快速以太网接口
Cisco ASA 5550 VPN 版本,包括 5000 个 IPSec VPN 对, 5000 个 SSL VPN 对, 防火墙服务 , 8 个千兆以太网接口, 1 个快速以太网接口 ASA5550-SSL5000-K9 安全服务模块
Cisco ASA 高级检测和防御安全服务模块 10 ASA-SSM-AIP-10-K9= Cisco ASA 高级检测和防御安全服务模块 20
ASA-SSM-AIP-20-K9=
Cisco ASA 内容安全和控制安全服务模块 10 ,提供 针对 50 名用户、为期一年的防病毒 / 防间谍软件功能
ASA-SSM-CSC-10-K9= Cisco ASA 内容安全和控制安全服务模块 20 ,提供 针对 500 名用户、为期一年的防病毒 / 防间谍软件功能 ASA-SSM-CSC-20-K9= Cisco ASA 4 端口千兆以太网安全服务模块 SSM-4GE=
Cisco ASA 5500 系列软件
面向非支持合同客户的 Cisco ASA 软件一次性升级 ASA-SW-UPGRADE=
Cisco ASA 5500 系列附件
Cisco ASA 5500 系列小型闪存 , 256 MB ASA5500-CF-256MB= Cisco ASA 5500 系列小型闪存 , 512 MB ASA5500-CF-512MB= Cisco ASA 180W AC 电源
ASA-180W-PWR-AC= 千兆以太网光 SFP 连接器, 1000BASE-SX 短波长收发器 GLC-SX-MM= 千兆以太网光 SFP 连接器, 1000BASE-LX/LH 长波长 / 长距离收发器
GLC-LH-SM=
下载软件
请访问思科软件中心,下载Cisco ASA 软件。
服务与支持
为了帮助客户更快地获得成功,思科提供了多种服务计划。这些创新的服务计划通过一个由人员、流程、工具和合作伙伴构成的独特网络提供,可以实现很高的客户满意度。思科服务可以帮助您保护您的网络投资,优化网络运营,让您的网络为新的应用做好充分的准备,从而拓展网络智能并增强您的业务优势。如需了解更多关于思科服务的信息,请访问思科技术支持服务或者思科高级服务。如需了解专门针对通过AIP SSM 提供的IPS 特性的服务,请访问思科IPS 服务。
思科Cisco路由器access-list访问控制列表命令详解 Post by mrchen, 2010-07-25, Views: 原创文章如转载,请注明:转载自冠威博客 [ https://www.doczj.com/doc/66109799.html,/ ] 本文链接地址: https://www.doczj.com/doc/66109799.html,/post/Cisconetwork/07/Cisco-access-list.html CISCO路由器中的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。 标准型IP访问列表的格式 ---- 标准型IP访问列表的格式如下: ---- access-list[list number][permit|deny][source address][address][wildcard mask][log] ---- 下面解释一下标准型IP访问列表的关键字和参数。首先,在access和list 这2个关键字之间必须有一个连字符"-"; 一、list nubmer参数 list number的范围在0~99之间,这表明该access-list语句是一个普通的标准型IP访问列表语句。因为对于Cisco IOS,在0~99之间的数字指示出该访问列表和IP协议有关,所以list number参数具有双重功能: (1)定义访问列表的操作协议; (2)通知IOS在处理access-list语句时,把相同的list number参数作为同一实体对待。正如本文在后面所讨论的,扩展型IP访问列表也是通过list number(范围是100~199之间的数字)而表现其特点的。因此,当运用访问列表时,还需要补充如下重要的规则: 在需要创建访问列表的时候,需要选择适当的list number参数。 二、permit|deny 允许/拒绝数据包通过 ---- 在标准型IP访问列表中,使用permit语句可以使得和访问列表项目匹配的数据包通过接口,而deny语句可以在接口过滤掉和访问列表项目匹配的数据包。
思科交换机基本配置实例讲解
目录 1、基本概念介绍............................................... 2、密码、登陆等基本配置....................................... 3、CISCO设备端口配置详解...................................... 4、VLAN的规划及配置........................................... 4.1核心交换机的相关配置..................................... 4.2接入交换机的相关配置..................................... 5、配置交换机的路由功能....................................... 6、配置交换机的DHCP功能...................................... 7、常用排错命令...............................................
1、基本概念介绍 IOS: 互联网操作系统,也就是交换机和路由器中用的操作系统VLAN: 虚拟lan VTP: VLAN TRUNK PROTOCOL DHCP: 动态主机配置协议 ACL:访问控制列表 三层交换机:具有三层路由转发能力的交换机 本教程中“#”后的蓝色文字为注释内容。 2、密码、登陆等基本配置 本节介绍的内容为cisco路由器或者交换机的基本配置,在目前版本的cisco交换机或路由器上的这些命令是通用的。本教程用的是cisco的模拟器做的介绍,一些具体的端口显示或许与你们实际的设备不符,但这并不影响基本配置命令的执行。 Cisco 3640 (R4700) processor (revision 0xFF) with 124928K/6144K bytes of memory. Processor board ID 00000000 R4700 CPU at 100MHz, Implementation 33, Rev 1.2
安全级别:0-100 从高安全级别到低安全级别的流量放行的 从低安全到高安全级别流量禁止的 ASA防火墙的特性是基于TCP和UDP链路状态的,会话列表,记录出去的TCP或者UDP 流量,这些流量返回的时候,防火墙是放行的。 ASA防火墙的基本配置 ! interface Ethernet0/0 nameif inside security-level 99 ip address 192.168.1.2 255.255.255.0 ! interface Ethernet0/1 nameif dmz security-level 50 ip address 172.16.1.2 255.255.255.0 ! interface Ethernet0/2 nameif outside security-level 1 ip address 200.1.1.2 255.255.255.0 ciscoasa# show nameif Interface Name Security Ethernet0/0 inside 99 Ethernet0/1 dmz 50 Ethernet0/2 outside 1
2、路由器上配置 配置接口地址 路由--默认、静态 配置VTY 远程登录 R3: interface FastEthernet0/0 ip address 200.1.1.1 255.255.255.0 no shutdown 配置去内网络的路由 ip route 192.168.1.0 255.255.255.0 200.1.1.2配置去DMZ区域的路由 ip route 172.161.0 255.255.255.0 200.1.1.2 配置远程登录VTY R3(config)#line vty 0 2 R3(config-line)#password 666 R3(config-line)#login R2: interface FastEthernet0/0 ip address 172.16.1.1 255.255.255.0 no shutdown 配置默认路由 IP route 0.0.0.0 0.0.0.0 172.16.1.2 配置远程登录VTY R3(config)#line vty 0 2 R3(config-line)#password 666 R3(config-line)#login R2: interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 no shutdown 配置默认路由 IP route 0.0.0.0 0.0.0.0 192.168.1.2 配置远程登录VTY R3(config)#line vty 0 2 R3(config-line)#password 666
Network Object NAT配置介绍 1.Dynamic NAT(动态NAT,动态一对一) 实例一: 传统配置方法: nat (Inside) 1 10.1.1.0 255.255.255.0 global (Outside) 1 202.100.1.100-202.100.1.200 新配置方法(Network Object NAT) object network Outside-Nat-Pool range 202.100.1.100 202.100.1.200 object network Inside-Network subnet 10.1.1.0 255.255.255.0 object network Inside-Network nat (Inside,Outside) dynamic Outside-Nat-Pool 实例二: object network Outside-Nat-Pool range 202.100.1.100 202.100.1.200 object network Outside-PAT-Address host 202.100.1.201 object-group network Outside-Address network-object object Outside-Nat-Pool network-object object Outside-PAT-Address object network Inside-Network (先100-200动态一对一,然后202.100.1.201动态PAT,最后使用接口地址动态PAT) nat (Inside,Outside) dynamic Outside-Address interface 教主认为这种配置方式的好处是,新的NAT命令绑定了源接口和目的接口,所以不会出现传统配置影响DMZ的问题(当时需要nat0 + acl来旁路)2.Dynamic PAT (Hide)(动态PAT,动态多对一) 传统配置方式: nat (Inside) 1 10.1.1.0 255.255.255.0 global(outside) 1 202.100.1.101 新配置方法(Network Object NAT) object network Inside-Network subnet 10.1.1.0 255.255.255.0 object network Outside-PAT-Address host 202.100.1.101 object network Inside-Network nat (Inside,Outside) dynamic Outside-PAT-Address
Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS
Cisco ASA 5500不同安全级别区域实现互访实验 一、 网络拓扑 二、 实验环境 ASA 防火墙eth0接口定义为outside 区,Security-Level:0,接Router F0/0;ASA 防火墙eth1接口定义为insdie 区,Security-Level:100,接Switch 的上联口;ASA 防火墙Eth2接口定义为DMZ 区,Security-Level:60,接Mail Server 。 三、 实验目的 实现inside 区域能够访问outside ,即Switch 能够ping 通Router 的F0/0(202.100.10.2);dmz 区能够访问outside ,即Mail Server 能够ping 通Router 的F0/0(202.100.10.2); outside 能够访问insdie 区的Web Server 的http 端口(80)和dmz 区的Mail Server 的pop3端口(110)、smtp 端口(25). 最新【 2009 C C I E R S L a b (160,N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视 频 Q Q :986942623 C C I E s e r v i c e 提供
四、 详细配置步骤 1、端口配置 CiscoASA(config)# interface ethernet 0 CiscoASA(config)#nameif ouside CiscoASA(config-if)# security-level 0 CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 1 CiscoASA(config)#nameif inside CiscoASA(config-if)# security-level 100 CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 2 CiscoASA(config)#nameif dmz CiscoASA(config-if)# security-level 50 CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0 CiscoASA(config-if)# no shut 2、路由配置 CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由 CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由 3、定义高安全接口区域需要进行地址转换的IP 范围CiscoASA(config)# nat (inside) 1 0 0 CiscoASA(config)# nat (dmz) 1 0 0 4、定义低安全接口区域用于高安全接口区域进行IP 转换的地址范围CiscoASA(config)# global (outside) 1 interface CiscoASA(config)# global (dmz) 1 interface 5、定义静态IP 映射(也称一对一映射)CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255 #实现从outside 区访问inside 区10.1.1.1的80端口时,就直接访问10.1.1.1:80 对outside 区的映射202.100.10.1:80 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的110时,就直接访问172.16.1.2:110 对outside 区的映射202.100.10.1:110 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的25时,就直接访问172.16.1.2:25 对outside 区的映射202.100.10.1:25 6、定义access-list CiscoASA(config)# access-list 101 extended permit ip any any CiscoASA(config)# access-list 101 extended permit icmp any any CiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq www CiscoASA(config)# access-list 102 extended permit icmp any any CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3 CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp 最新【 2009 C C I E R S L a b (160,N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视频 Q Q :986942623 C C I E s e r v i c e 提供
思科PIX防火墙简单配置实例 在本期应用指南中,管理员可以学到如何设置一个新的PIX防火墙。你将设置口令、IP地址、网络地址解析和基本的防火墙规则。 假如你的老板交给你一个新的PIX防火墙。这个防火墙是从来没有设置过的。他说,这个防火墙需要设置一些基本的IP地址、安全和一些基本的防火墙规则。你以前从来没有使用过PIX防火墙。你如何进行这种设置?在阅读完这篇文章之后,这个设置就很容易了。下面,让我们看看如何进行设置。 基础 思科PIX防火墙可以保护各种网络。有用于小型家庭网络的PIX防火墙,也有用于大型园区或者企业网络的PIX防火墙。在本文的例子中,我们将设置一种PIX 501型防火墙。PIX 501是用于小型家庭网络或者小企业的防火墙。 PIX防火墙有内部和外部接口的概念。内部接口是内部的,通常是专用的网络。外部接口是外部的,通常是公共的网络。你要设法保护内部网络不受外部网络的影响。 PIX防火墙还使用自适应性安全算法(ASA)。这种算法为接口分配安全等级,并且声称如果没有规则许可,任何通信都不得从低等级接口(如外部接口)流向高等级接口(如内部接口)。这个外部接口的安全等级是“0”,这个内部接口的安全等级是“100”。 下面是显示“nameif”命令的输出情况: pixfirewall# show nameif nameif ethernet0 outside security0 nameif ethernet1 inside security100 pixfirewall# 请注意,ethernet0(以太网0)接口是外部接口(它的默认名字),安全等级是0。另一方面,ethernet1(以太网1)接口是内部接口的名字(默认的),安全等级是100。 指南 在开始设置之前,你的老板已经给了你一些需要遵守的指南。这些指南是: ·所有的口令应该设置为“思科”(实际上,除了思科之外,你可设置为任意的口令)。 ·内部网络是10.0.0.0,拥有一个255.0.0.0的子网掩码。这个PIX防火墙的内部IP地址应该是10.1.1.1。
CISCO ASA防火墙ASDM安装和配置 准备工作: 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口,通过开始——>程序——> 附件——>通讯——>超级终端 输入一个连接名,比如“ASA”,单击确定。 选择连接时使用的COM口,单击确定。 点击还原为默认值。 点击确定以后就可能用串口来配置防火墙了。 在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。 在串口下输入以下命令: ciscoasa> ciscoasa> en Password: ciscoasa# conf t 进入全局模式 ciscoasa(config)# webvpn 进入WEBVPN模式 ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口 ciscoasa(config-if)# ip address 192.168.4.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字 ciscoasa(config-if)# no shutdown 激活接口 ciscoasa(config)#q 退出管理接口 ciscoasa(config)# http server enable 开启HTTP服务 ciscoasa(config)# http 192.168.4.0 255.255.255.0 guanli 在管理口设置可管理的IP 地址 ciscoasa(config)# show run 查看一下配置 ciscoasa(config)# wr m 保存 经过以上配置就可以用ASDM配置防火墙了。 首先用交叉线把电脑和防火墙的管理口相连,把电脑设成和管理口段的IP地址,本例中设为192.168.4.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.4.1 弹出一下安全证书对话框,单击“是” 输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“确定”。出现也下对话框,点击“Download ASDM Launcher and Start ASDM”开始安装ASDM管理器,安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上Java 版本),进入https://www.doczj.com/doc/66109799.html,下载安装,安装完后点击下面的“R un ASDM as a Java Applet ”。 出现以下对话框,点击“是”。 出现以下对话框,输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“是”。 出现以下对话框,点击“是”。 进入ASDM管理器。 这样就可以通过ASDM来配置防火墙了。 以后就可以直接使用ASDM来管理防火墙了。
AAA详解收藏 Authentication:用于验证用户的访问,如login access,ppp network access等。Authorization:在Autentication成功验证后,Authorization用于限制用户可以执行什么操作,可以访问什么服务。 Accouting:记录Authentication及Authorization的行为。 Part I. 安全协议 1>Terminal Access Controller Access Control System Plus (TACACS+) Cisco私有的协议。加密整个发给tacacs+ server的消息,用户的keys。 支持模块化AAA,可以将不同的AAA功能分布于不同的AAA Server甚至不同的安全协议,从而可以实现不同的AAA Server/安全协议实现不同的AAA功能。 配置命令: Router(config)# tacacs-server host IP_address [single-connection] [port {port_#}] [timeout {seconds}] [key {encryption_key}] Router(config)# tacacs-server key {encryption_key} 注: (1)single-connection:为Router与AAA Server的会话始终保留一条TCP链接,而不是默认的每次会话都打开/关闭TCP链接。 (2)配置两个tacacs-server host命令可以实现tacacs+的冗余,如果第一个server fail了,第二个server可以接管相应的服务。第一个tacacs-server host命令指定的server为主,其它为备份。 (3)配置inbound acl时需要permit tacacs+的TCP port 49。 (4) 如果两个tacacs-server使用不同的key,则需要在tacacs-server host命令中指定不同的encryption_key,否则可以使用tacacs-server key统一定制。但tacacs-server host命令中的key 定义优先于tacacs-server key命令。 Troubleshooting: 命令: #show tacacs #debug tacacs 关于TACACS+的操作信息。 #debug tacacs events 比debug tacacs更详细的信息,包括router上运行的TACACS+ processes 消息。 Router# show tacacs Tacacs+ Server : 10.0.0.10/49 Socket opens: 3 Socket closes: 3 Socket aborts: 0 Socket errors: 0 Socket Timeouts: 0 Failed Connect Attempts: 0 Total Packets Sent: 42 Total Packets Recv: 41 Expected Replies: 0
一、基本配置 #hostname name //名字的设置 #interface gigabitethernet0/0 //进入接口0/0 #nameif outside //配置接口名为outside #security-level 0 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown #interface ethernet0/1 //进入接口0/1 #nameif inside //配置接口名为inside #security-level 100 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 192.168.10.1 255.255.255.0 //设置ip地址 #duplex full //全双工 #speed 100 //速率 #no shutdown #interface ethernet0/2 //进入接口0/2 #nameif dmz //配置接口名为dmz #security-level 50 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址 #no shutdown #interface Management0/0 //进入管理接口 # nameif guanli //接口名 # security-level 100 //安全级别 #ip address 192.168.1.1 255.255.255.0 //IP地址 注意:security-level 配置安全级别。默认外网接口为0/0 安全级别默认为0 内网接口为0/1 安全级别默认为100 dmz 接口为0/2 安全级别默认为50 默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令: #same-security-traffic permit interface //允许相同安全级别接口之间互相通信。 较高安全接口访问较低安全接口:允许所有基于IP的数据流通过,除非有ACL访问控制列表,认证或授权的限制。 较低安全接口访问较高安全接口:除非有conduit或acl进行明确的许可,否则丢弃所有的数据包。
Cisco ASA 5505配置详解 (2011-06-10 09:46:21) 分类:IT 标签: it 在配ASA 5505时用到的命令 2009-11-22 22:49 nat-control命令 在6.3的时候只要是穿越防火墙都需要创建转换项,比如:nat;static等等,没有转换项是不能穿越防火墙的,但是到了7.0这个规则有了变化,不需要任何转换项也能正常的像路由器一样穿越防火墙。但是一个新的命令出现了!当你打上nat-control这个命令的时候,这个规则就改变得和6.3时代一样必须要有转换项才能穿越防火墙了。7.0以后开始nat-control 是默认关闭的,关闭的时候允许没有配置NAT规则的前提下和外部主机通信,相当于路由器一样,启用NAT开关后内外网就必须通过NAT转换才能通信 1、定义外口 interface Ethernet0/0 进入端口 nameif outside 定义端口为外口 security-level 0 定义安全等级为0 no shut 激活端口 ip address ×.×.×.× 255.255.255.248 设置IP 2、定义内口 interface Ethernet0/1 nameif inside 定义端口为内 security-level 100 定义端口安去昂等级为100 no shut ip address 192.168.1.1 255.255.255.0 3、定义内部NAT范围。 nat (inside) 1 0.0.0.0 0.0.0.0 任何IP都可以NAT,可以自由设置范围。 4、定义外网地址池 global (outside) 1 10.21.67.10-10.21.67.14 netmask 255.255.255.240 或 global (outside) 1 interface 当ISP只分配给一个IP是,直接使用分配给外口的IP地址。5、设置默认路由 route outside 0 0 218.17.148.14 指定下一条为IPS指定的网关地址 查看NAT转换情况 show xlate --------------------------------------------------- 一:6个基本命令:nameif、interface、ip address 、nat、global、route。 二:基本配置步骤:
Cisco 交换机SHOW 命令详解! show cdp entry * 同show cdpneighbordetail命令一样,但不能用于1900交换机show cdp interface 显示启用了CDP的特定接口 show cdp neighbor 显示直连的相邻设备及其详细信息 show cdp neighbor detail 显示IP地址和IOS版本和类型,并且包括show cdp neighbor命令显示的所有信息 show cdp traffic 显示设备发送和接收的CDP分组数以及任何出错信息 Show controllers s 0 显示接口的DTE或DCE状态 show dialer 显示拨号串到达的次数、B信道的空闲超时时间值、呼叫长度以及接口所连接的路由器的名称 show flash 显示闪存中的文件 show frame-relay Imi 在串行接口上设置LMI类型 show frame-relay map 显示静态的和动态的网络层到PVC的映射 show frame-relay pvc 显示路由器上己配置的PVC和DLCI号 show history 默认时显示最近输人的10个命令 show hosts 显示主机表中的内容
show int fO/26 显示抑/26的统汁 show inter e0/l 显示接口e0/l的统计 show interface So 显示接口serial上的统计信息 show ip 显示该交换机的IP配置 show ip access-list 只显示IP访问列表 show ip interface 显示哪些接口应用了IP访问列表 show ip interface 显示在路由器上配置的路由选择协议及与每个路由选择协议相关的定时器 show ip route 显示IP路由表 show ipx access-list 显示路由器上配置的IPX访问列表 trunk on 将一个端口设为永久中继模式 usemame name password 为了Cisco路由器的身份验证创建用户名和口令password variance 控制最佳度量和最坏可接受度量之间的负载均衡 vlan 2 name Sales 创建一个名为Sales的VLAN2 lan-membership static 2 给端口分配一个静态VLAN
Cisco ASA5520防火墙配置 前言 ●主要从防火墙穿越的角度,描述Cisco ASA5520防火墙的配置 ●对Pix ASA系列防火墙配置具有参考意义 内容 ●防火墙与NAT介绍 ●基本介绍 ●基本配置 ●高级配置 ●其它 ●案例 防火墙与NAT介绍 ●防火墙 门卫 ●NAT 过道 ●区别 两者可以分别使用 Windows有个人防火墙 Windows有Internet Connect sharing服务 一般防火墙产品,同时带有NAT 基本介绍 ●配置连接 ●工作模式 ●常用命令 ●ASA5520介绍 配置连接 ●初次连接 使用超级终端登陆Console口 Cicso的波特率设置为9600 ●Telnet连接 默认不打开,在使用Console配置后,可以选择开启 开启命令:telnet ip_addressnetmaskif_name 连接命令:telnet 192.168.1.1 ASA5520默认不允许外网telnet,开启比较麻烦 ●ASDM连接 图形界面配置方式 ●SSH连接 工作模式 ●普通模式 连接上去后模式 进入普通模式需要有普通模式密码 Enable 进入特权模式,需要特权密码
●特权模式 Config terminal 进入配置模式 ●配置模式 ●模式转换 exit 或者ctrl-z退出当前模式,到前一模式 也适用于嵌套配置下退出当前配置 常用命令 ●命令支持缩写,只要前写到与其它命令不同的地方即可 config terminal = conf term = conf t Tab键盘补全命令 ?Or help 获取帮助 ●取消配置 no 命令取消以前的配置 Clear 取消一组配置,具体请查看帮助 ●查看配置 Show version show run [all] , write terminal Show xlat Show run nat Show run global ●保存配置 Write memory ASA5520介绍 ●硬件配置:ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz ●1个Console口,一个Aux口,4个千兆网口 ●支持并发:280000个 ●支持VPN个数:150 ●支持双机热备、负载均衡 ●可以通过show version 查看硬件信息 基本配置 ●接口配置 ●NAT配置 ●ACL访问控制 接口配置 ●四个以太网口 GigabitEthernet0/0、gig0/1、gig0/2、gig0/3 进入接口配置: interface if_name ●配置IP ip address ip_address [netmask] ip address ip_addressdhcp
cisco ASA5510配置实例 2008年11月11日 07:52 ASA5510# SHOW RUN : Saved : ASA Version 7.0(6) ! hostname ASA5510 enable password 2KFQnbNIdI.2KYOU encrypted names dns-guard ! interface Ethernet0/0 此接口为外部网络接口 nameif outside 设置为 OUTSIDE 外部接口模式 security-level 0 外部接口模式安全级别为最低 0 ip address 192.168.3.234 255.255.255.0 添加外部IP地址(一般为电信/网通提供) ! interface Ethernet0/1此接口为内部网络接口 nameif inside设置为 INSIDE 内部接口模式 security-level 100内部接口模式安全级别最高为 100 ip address 10.1.1.1 255.255.0.0添加内部IP地址 ! interface Ethernet0/2 没用到 shutdown no nameif no security-level no ip address ! interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 没用,用网线连接管理的端口。management-only ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive pager lines 24 logging asdm informational mtu outside 1500 mtu inside 1500 mtu management 1500 no asdm history enable arp timeout 14400
第二章ASA防火墙 实验案例一ASA防火墙基本配置 一、实验目的: 熟悉ASA基本配置 二、实验环境和需求 在WEB上建立站点https://www.doczj.com/doc/66109799.html,.,在Out上建立站点https://www.doczj.com/doc/66109799.html,,并配置DNS服务,负责解析https://www.doczj.com/doc/66109799.html,(202.0.0.253/29)和https://www.doczj.com/doc/66109799.html,(IP为202.2.2.1),PC1的DNS 指向200.2.2.1 只能从PC1通过SSH访问ASA 从PC1可以访问outside和dmz区的网站,从Out主机可以访问DMZ区的Web站点从PC1可以ping通Out主 三、实验拓扑图 四、配置步骤 (一)路由器配置 int f1/0 ip add 200.0.0.1 255.255.255.252 no sh
int f0/0 ip add 200.2.2.254 255.255.255.0 no sh exit ip route 0.0.0.0 0.0.0.0 200.0.0.2 end (二) ASA基本属性配置 1、接口配置 Interface E 0/0 Ip address 192.168.0.254 255.255.255.0 Nameif inside //设置内接口名字 Security-level 100 //设置内接口安全级别 No shutdown Interface E 0/1 Ip add 192.168.1.254 255.255.255.0 Nameif dmz //设置接口为DMZ Security-level 50 //设置DMZ接口的安全级别 No shutdown Interface E 0/2 Ip address 200.0.0.2 255.255.255.252 Nameif outside //设置外接口名字 Security-level 0 //设置外接口安全级别 No shutdown 2、ASA路由配置:静态路由方式 (config)#Route outside 0.0.0.0 0.0.0.0 200.0.0.1 3、从PC1上可以PING通OUT主机 默认情况下不允许ICMP流量穿过,从内Ping外网是不通的,因为ICMP应答的报文返回时不能穿越防火墙,可以配置允许几种报文通过, (Config)# Access-list 111 permit icmp any any
实验10 思科ASA防火墙的NAT配置 一、实验目标 1、掌握思科ASA防火墙的NAT规则的基本原理; 2、掌握常见的思科ASA防火墙的NAT规则的配置方法。 二、实验拓扑 根据下图搭建拓扑通过配置ASA防火墙上的NAT规则,使得inside区能单向访问DMZ区和outside区,DMZ区和outside区能够互访。 三、实验配置 1、路由器基本网络配置,配置IP地址和默认网关 R1#conf t R1(config)#int f0/0 R1(config-if)#ip address 192.168.2.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#ip default-gateway 192.168.2.254 //配置默认网关 R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254 //添加默认路由R1(config)#exit R1#write R2#conf t R2(config)#int f0/0 R2(config-if)#ip address 202.1.1.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit R2(config)#ip default-gateway 202.1.1.254 R2(config)#exit
R2#write Server#conf t Server(config)#no ip routing //用路由器模拟服务器,关闭路由功能Server(config)#int f0/0 Server(config-if)#ip address 192.168.1.1 255.255.255.0 Server(config-if)#no shutdown Server(config-if)#exit Server(config)#ip default-gateway 192.168.1.254 Server(config)#exit Server#write *说明:实际配置中最好在三台路由器上都添加一条通往防火墙的默认路由,但在本实验中Server和R2不配置不影响实验效果。 2、防火墙基本配置,配置端口IP地址和定义区域 ciscoasa# conf t ciscoasa(config)# int g0 ciscoasa(config-if)# nameif inside ciscoasa(config-if)# ip address 192.168.2.254 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit ciscoasa(config)# int g1 ciscoasa(config-if)# nameif dmz ciscoasa(config-if)# security-level 50 ciscoasa(config-if)# ip address 192.168.1.254 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit ciscoasa(config)# int g2 ciscoasa(config-if)# nameif outside ciscoasa(config-if)# ip address 202.1.1.254 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit 3、防火墙NAT规则配置 *说明:思科ASA 8.3 版本以后,NAT配置的方法发生了很大的改变。本文档会对改版前后的命令作比较,便于读者的理解和运用。 *可以通过show version命令来查看防火墙当前的版本。 (1)配置协议类型放行 //状态化icmp流量,让icmp包能回包。fixup命令作用是启用、禁止、改变一个服务或协议通过防火墙。