思科ASA防火墙笔记

防火墙命令

1、可以在config下面直接show run int，而路由器是do show run int

2、查看路由表show route 而路由器是show ip route

3、查看接口状态show int ip b 而路由器是show ip int b

4、防火墙检测是a、初始化状态化检测b、access-list c、默认防火墙策略MPF模

块化策略框架class-map match -----> policy-map class inspect -----> service-policy

5、Icmp包中的id和序列号，一般是把id当做端口号

6、可以在config下面clear config all 清除running-configure或者叫做出厂重置，wr erase

清空start-config而路由器不能清除running-configure

7、网管telnet23 ssh22 snmp(get set trap ) asdm（ASA设备管理，java程序，通过https443）

在configure模式下telnet 0 0 inside 表示从inside进来的所有的源允许telnet，注意telnet不能从接口级别最低的接口

AAA authentication telnet console LOCAL

8、SSH 路由器需要hostname+domain-name，而防火墙不需要

9、Managerment-only把防火墙的任何接口都变成纯网管管理接口，不能穿越ASA

10、redundant冗余接口不能起子接口

11、channel捆绑接口带宽叠加ON LACP( ACTIVE PASSIVE)公有PAgp私有捆绑接口根据源MAC做HASH 可以起子接口

12、静态路由route nameif 前缀掩码next-hop

13、防火墙所有的都是正掩码比如是255.255.255.0 255.255.255.224

14、SLA(service-level Aggrement服务等级协议探测probe线路是否可用，依托ipicmpecho 即ping包测试) ECMP (equal cost mutil path等价开销多路径)

15、防火墙配置PBR解决浮动静态路由(调整管理距离)问题，既主备又流量分担的问题。

16.sla结合pbr

17、ASA ACL特点不区分数字和命令，既有标准列表和扩展列表全局调用acl 而路由器在接口调用、ACL调用可以是出接口和入接口（即是一个接口有两个方向）

18、show run acess-list 用于查看acl配置= show access-list 用于查看匹配和序号show access-group 查看调用

19、如果要删除整个acl命令: clear configure access-list XXX 不能no access-list XXX 而路由器可以

20、object-group 1、network 2、protocol 3、icmp-type 4、base service 5、enhance service

21、先路由后转换先转换后路由正向转源就是反向转目

22、动态转换一对一（NAT+Global）PAT端口地址转换PolicyNAT策略NAT

23、Static静态一对一Net Static网络静态转换Static PAT端口转换

总之一句话动态NAT 动态PAT 静态NAT 动态PAT

24、nat-control没有转换项是不能穿越防火墙ctrl+shift+6 X 表示挂起会话

25、nat免除（nat 0 +acl）等同转换（nat 0 +address）

26、ASA 8.3新配置（object下面只有network和service）

NAT分为两大类network object nat （自动nat）和twice nat （手动nat,可以理解为旧版本策略NAT）

“失去自我”防火墙身后地址指防火墙自身的身后地址

27、在老版本的防火墙中，INBOUND流量先做ACL在做NAT,在新版本的防火墙中，INBOUND 流量先做NAT在做ACL.

28 show run nat show nat show xlate show run object-group

29、DMZ提供服务，outside访问存在的疑问为什么不写nat（outside，dmz）？而写nat （dmz，outside）？

30、route-lookup参数no-proxy-arp参数description参数inactive参数

31、nat回流和DNS重写（ip name -server no ip domain-lookup ）

Ip nat enable会生成nvi0的一个接口

32、透明墙bvi虚拟接口配置ip以后brige-group内的接口才会通

33、透明墙建立ospf邻居放组播224.0.0.5 224.0.0.6，必须是双向放，还必须放单播

34、虚拟墙show mode单模多模show firwall 路由透明disk0与flash区别是什么？flash=硬盘sys全局admin管理子墙mac-address auto

35、防火墙FO同步配置和statful 同步状态化项可以单独个一根，也可以使用一根网线

36、异步路由asr-group解决