配置要求:
1、分别划分inside(内网)、outside(外网)、dmz(安全区)三个区域。
2、内网可访问外网及dmz内服务器(web),外网可访问dmz内服务器(web)。
3、Dmz服务器分别开放80、21、3389端口。
说明:由于防火墙许可限制“no forward interface Vlan1”dmz内服务器无法访问外网。
具体配置如下:希望对需要的朋友有所帮助
ASA Version 7.2(4)
!
hostname asa5505
enable password tDElRpQcbH/qLvnn encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Vlan1
nameif outside
security-level 0
ip address 外网IP 外网掩码
!
interface Vlan2
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan3
no forward interface Vlan1
nameif dmz
security-level 50
ip address 172.16.1.1 255.255.255.0
!
interface Ethernet0/0
description outside
!
interface Ethernet0/1
description inside
switchport access vlan 2
!
interface Ethernet0/2
description dmz
switchport access vlan 3
!
interface Ethernet0/3
description inside
switchport access vlan 2
!
interface Ethernet0/4
shutdown
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
shutdown
!
interface Ethernet0/7
shutdown
!
ftp mode passive
object-group service outside-to-dmz tcp
port-object eq www
port-object eq ftp
port-object eq 3389
access-list aaa extended permit tcp any host 外网IP object-group outsid e-
to-dmz
access-list bbb extended permit tcp host 172.16.1.2 192.168.1.0 255.255. 255.0 ob
ject-group outside-to-dmz
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
global (dmz) 1 172.16.1.10-172.16.1.254 netmask 255.255.255.0
nat (inside) 1 192.168.1.0 255.255.255.0
nat (dmz) 1 172.16.1.0 255.255.255.0
alias (inside) 221.203.36.86 172.16.1.2 255.255.255.255
static (dmz,outside) tcp interface www 172.16.1.2 www netmask 255.255.2 55.255 d
ns
static (dmz,outside) tcp interface ftp 172.16.1.2 ftp netmask 255.255.2 55.255 d
ns
static (dmz,outside) tcp interface 3389 172.16.1.2 3389 netmask 255.255. 255.255
dns
static (inside,dmz) 172.16.1.2 192.168.1.0 netmask 255.255.255.255 dns access-group aaa in interface outside
access-group bbb in interface dmz
route outside 0.0.0.0 0.0.0.0 外网网关 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect http
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:9d2a6010d4fc078cf026f98dcec96007 : end
asa5505(config)#
Cisco ASA 5500 系列防火墙 产品介绍 Cisco®ASA 5500 系列自适应安全设备是思科专门设计的解决方案,将最高的安全性和出色VPN服务与创新的可扩展服务架构有机地结合在一起。作为思科自防御网络的核心组件,Cisco ASA 5500系列能够提供主动威胁防御,在网络受到威胁之前就能及时阻挡攻击,控制网络行为和应用流量,并提供灵活的VPN连接。思科强大的多功能网络安全设备系列不但能为保护家庭办公室、分支机构、中小企业和大型企业网络提供广泛而深入的安全功能,还能降低实现这种新安全性相关的总体部署和运营成本及复杂性。 Cisco ASA 5500 系列在一个平台中有力地提供了多种已经获得市场验证的技术,无论从运营角度还是从经济角度看,都能够为多个地点部署各种安全服务。利用其多功能安全组件,企业几乎不需要作任何两难选择,也不会面临任何风险,既可以提供强有力的安全保护,又可以降低在多个地点部署多台设备的运营成本。Cisco ASA 5500系列包含全面的服务,通过为中小企业和大型企业定制的产品版本,能满足各种部署环境的特定需求。这些版本为各地点提供了相应的服务,从而达到出色的保护效果。每个版本都综合了一套Cisco ASA 5500系列的重点服务(如防火墙、IPSec和SSL VPN、IPS,以及Anti-X服务),以符合企业网络中特定环境的需要。通过确保满足每个地点的安全需求,网络整体安全性也得到了提升。 Cisco ASA 5500系列自适应安全设备 Cisco ASA 5500 系列能够通过以下关键组件帮助企业更有效地管理网络并提供出色的投资保护: 经过市场验证的安全与VPN功能- 全特性、高性能的防火墙,入侵防御系统(IPS), Anti-X和IPSec/SSL VPN 技术提供了强大的应用安全性、基于用户和应用的访问控制、蠕虫与病毒防御、恶意软件防护、内容过滤以及远程用户/站点连接。 可扩展的自适应识别与防御服务架构-利用Cisco ASA 5500系列的一个模块化服务处理和策略框架,企业可根据每个流量的情况,应用特定的安全或网络服务,提供高度精确的策略控制和各种防御服务,并简化流量处理。该架构具有出色的效率,安全服务模块(SSM)和安全服务卡则提供了软件和硬件可扩展性,因此无需更换平台,也不会降低性能,即能扩展现有服务和部署新服务。Cisco ASA 5500系列支持高度可定制的安全策略和前所未有的服务可扩展性,来为威胁程度迅速提高的环境提供保护。 降低部署和运营成本-多功能的Cisco ASA 5500系列可实现平台、配置和管理的标准化,从而降低部署与日常运营本。 Cisco ASA 5500系列简介 Cisco ASA 5500系列包括Cisco ASA 5505、5510、5520、5540和5550自适应安全设备-这些定制的高性能安全解决方案充分利用了思科系统公司在开发业界领先、屡获大奖的安全和VPN解决方案方面的丰富经验。该系列集成了Cisco PIX® 500系列安全设备、Cisco IPS 4200系列传感器和Cisco VPN 3000系列集中器的最新技术。通过结合上述技术,Cisco ASA 5500系列提供了一个无与伦比的优秀解决方案,能防御范围最为广泛的威胁,为企业提供灵活、安全的连接选项。作为思科自防御网络的核心组件,Cisco ASA 5500系列提供了主动的威胁防御,能够在攻击蔓延到整个网络之前进行阻止,控制网络活动和应用流量,并提供灵活的VPN连接。这些功能的结合打造了强大的多功能网络安全产品系列,不但能为中小企业(SMB)、大企业和电信运营商网络提供广泛深入的安全保护,还降低了提供如此出色的安全性所涉及的部署和运营成本以及复杂性。 Cisco ASA 5500系列具有可扩展的思科AIM服务架构和灵活的多处理器设计,使这些自适应安全设备能在提供多项并发安全服务时获得前所未有的性能,且同时实现出色的投资保护。Cisco ASA 5500系列自适应安全设备结合了多个协同工作的高性能处理器,以提供高级防火墙服务、IPS服务、Anti-X/内容安全服务、IPSec和SSL VPN服务等。企业能通过安装Cisco ASA 5500系列安全服务模块-例如提供入侵防御服务的高级检测和防御安全服务模块(AIP SSM)或提供高级Anti-X服务的Cisco ASA 5500系列内容安全和控制安全服务模块(CSC SSM),添加更多高性能安全服务。这种灵活的设计使Cisco ASA 5500系列能够独特地应对新威胁、在快速发展的威胁环境中提供保护,并通过可编程硬件使该平台适应未来几年的变化,从而实现出色的投资保护。Cisco ASA 5500系列结合了这些高性能、经过市场验证的安全和VPN功能,以及集成化千兆以太网连接和基于闪存的无磁盘架构,非常适用于需要高性能、灵活、可靠且能保护投资的最佳安全解决方案的企业。
Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS
配置要求: 1、分别划分inside(内网)、outside(外网)、dmz(安全区)三个区域。 2、内网可访问外网及dmz内服务器(web),外网可访问dmz内服务器(web)。 3、Dmz服务器分别开放80、21、3389端口。 说明:由于防火墙许可限制“no forward interface Vlan1”dmz内服务器无法访问外网。 具体配置如下:希望对需要的朋友有所帮助 ASA Version 7.2(4) ! hostname asa5505 enable password tDElRpQcbH/qLvnn encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Vlan1 nameif outside security-level 0 ip address 外网IP 外网掩码 ! interface Vlan2 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan3 no forward interface Vlan1 nameif dmz security-level 50 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet0/0 description outside !
interface Ethernet0/1 description inside switchport access vlan 2 ! interface Ethernet0/2 description dmz switchport access vlan 3 ! interface Ethernet0/3 description inside switchport access vlan 2 ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! ftp mode passive object-group service outside-to-dmz tcp port-object eq www port-object eq ftp port-object eq 3389 access-list aaa extended permit tcp any host 外网IP object-group outsid e- to-dmz access-list bbb extended permit tcp host 172.16.1.2 192.168.1.0 255.255. 255.0 ob
ASA 5505 配置手册 1. 初始配置 ciscoasa> enable 从进入用户模式进入特权模式 ciscoasa# configure terminal 从特权模式进入全局配置模式 ciscoasa(config)# hostname A YKJ-FW 更改防火墙名称 AYKJ-FW(config)# passwd aykj 配置远程登录密码 AYKJ-FW(config)# enable password aykj 配置enable密码 2. 端口配置 AYKJ-FW(config)# interface Vlan2 创建SVI口,ASA5505必须通过SVI口配置地址AYKJ-FW(config)# nameif outside 定义为outside口,即连接外网接口 AYKJ-FW(config)# security-level 0 定义安全级别,范围0~100,其中inside、outside 口安全级别为系统自动定义和生成 AYKJ-FW(config)# ip address 221.226.186.58 255.255.255.252 配置运营商分配公网地址AYKJ-FW(config)# interface Vlan3 AYKJ-FW(config)# nameif inside 定义为inside口,即连接内网接口 AYKJ-FW(config)# security-level 100 inside口默认安全级别100 AYKJ-FW(config)# ip address 10.0.0.1 255.255.255.0 配置内网口地址 3. 管理配置 AYKJ-FW(config)# telnet 0.0.0.0 0.0.0.0 inside 允许内网所有地址通过telnet登录防火墙AYKJ-FW(config)# ssh 0.0.0.0 0.0.0.0 outside 允许外网所有地址通过ssh登录防火墙AYKJ-FW(config)# ssh version 1 使用ssh版本1 AYKJ-FW(config)# http server enable 开启web页面,即开启asdm,与传统的如ASA5520等有专门管理口的防火墙不同,ASA5505只要启用服务,并应用到端口,那么只要网络通畅就可以通过asdm管理,更加灵活 AYKJ-FW(config)# http 0.0.0.0 0.0.0.0 inside AYKJ-FW(config)# http 0.0.0.0 0.0.0.0 outside 这两条命令意味着所有只要能够访问防火墙的地址均可以通过asdm管理防火墙 4. 路由配置 AYKJ-FW(config)# route outside 0.0.0.0 0.0.0.0 221.226.186.57 配置上网默认路由,下一条为运营商分配的网关 AYKJ-FW(config)# route inside [内网网段] [掩码] [防火墙内网口] 配置内网路由,由于本次内网与防火墙在一个地址段,所以不需要
增加一台服务器具体要求。新增一台服务器地址:10.165.127.15/255.255.255.128。需要nat 转换成公网地址16.152.91.223 映射出去,并对外开通这台服务器的80端口。 在对外pix525上面增加如下:access-list acl_out permit tcp any host 16.52.91.223 eq www //开放外网对新服务器80端口 static (inside,outside) 16.152.91.223 10.165.127.15 netmask 255.255.255.255 0 0 ////外高桥新服务器地址转换16.152.91.223 可是为什么转换后,不能访问16.52.91.223的网页,但确可以ping通16.52.91.223,但是访问10.165.127.15的主页是正常的?? 具体配置如下: pix-525> enable Password: ***** pix-525# sh run : Saved : PIX Version 6.3(5) interface ethernet0 100full interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password FVHQD7n.FuCW78fS level 7 encrypted enable password 2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname wgqpix-525 fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list acl_out permit tcp any host 16.152.91.221 eq www access-list acl_out permit icmp any any access-list acl_out permit tcp any host 16.152.91.220 eq https access-list acl_out permit tcp any host 16.152.91.223 eq www
CISCO ASA防火墙配置实验 ASA模拟器并不像DynamipsGUI软件那样界面友好、操作方便,若要将ASA防火墙和路由器进行连接构建网络拓扑就需要分别编辑ASA模拟器和路由器的批处理文件才能完成,这就使得简单的网络拓扑搭建变得比较复杂。下面是实验环境拓扑以及搭建步骤: PC1(本地主机)--VMNET1 ----ASA E0/0 WEB(VMwaer WIN2003 虚拟主机) ---VMNET2-----ASA E0/1 ISP ---VMNET3 -----ASA E0/2 一、安装VMware ,启动虚拟网络管理器,选择host virtual adapters,添加VMnet2 vmnet3 虚拟网卡,如下图。
二打开"ASA实验机架"下setup目录,运行“获取网卡参数.cmd"文件获取三块VMware网卡参数,建议先开启一块VMware虚拟网卡关闭其它虚拟网卡,获取参数后再开启第二块,以此类推... ... 避免虚拟网卡与参数对应出错。 三、1 桥接防火墙的各个接口,编辑“启动ASA防火墙.bat"文件,将获取的网卡参数粘贴到如下位置:
2 桥接ISP路由器,编辑ISP目录下"router1.bat"文件,将上图第三行网卡参数替换到如下位置: T96100-FE -s 0:0:gen_eth:"\Device\NPF_{A9D211C2-5ABD-4F47-9BC0-D3F722CB36CC}" ..\unzip-c 2691-advsecurityk9-mz.124 四、双击“开启ASA防火墙.bat" "开启ISP.bat" 文件。运行命令”telnet 127.0.0.1 4000 登陆ASA 运行命令“ telnet 127.0.0.1 4001 登陆ISP路由器。 五 . 1 )ASA基本配置:配置接口名字,接口安全级别,接口IP 地址 conf t int e0/0 nameif inside ip add 192.168.0.254 255.255.255.0 security-level 100 no shut int e0/1 nameif dmz ip add 192.168.1.254 255.255.255.0 security-level 50 no shut int e0/2 nameif outside ip add 200.0.0.2 255.255.255.252 security-level 0 no shut sh int ip b 查看接口状态 sh run | b inter 查看接口配置参数
配置asa 5505防火墙 1.配置防火墙名 ciscoasa> enable ciscoasa# configure terminal ciscoasa(config)# hostname asa5505 2.配置Http.telnet和ssh管理
Cisco ASA5500系列防火墙基本配置手册 一、配置基础 1.1用户接口 思科防火墙支持下列用户配置方式: Console,Telnet,SSH(1.x或者2.0,2.0为7.x新特性),ASDM的http方式,VMS的Firewall Management Center。 支持进入Rom Monitor模式,权限分为用户模式和特权模式,支持Help,History和命令输出的搜索和过滤。 用户模式: Firewall> 为用户模式,输入enable进入特权模式Firewall#。特权模式下输入config t 可以进入全局配置模式。通过exit,ctrl-z退回上级模式。 配置特性: 在原有命令前加no可以取消该命令。Show running-config 或者 write terminal显示当前配置。Show running-config all显示所有配置,包含缺省配置。Tab可以用于命令补全,ctrl-l可以用于重新显示输入的命令(适用于还没有输入完命令被系统输出打乱的情况),help和history相同于IOS命令集。 Show命令支持 begin,include,exclude,grep 加正则表达式的方式对输出进行过滤和搜索。 Terminal width 命令用于修改终端屏幕显示宽度,缺省为80个字符,pager命令用于修改终端显示屏幕显示行数,缺省为24行。 1.2初始配置 跟路由器一样可以使用setup进行对话式的基本配置。 二、配置连接性 2.1配置接口 接口基础: 防火墙的接口都必须配置接口名称,接口IP地址和掩码和安全等级。接口基本配置:Firewall(config)# interface hardware-id 进入接口模式Firewall(config-if)# speed {auto | 10 | 100 | nonegotiate} 设置接口速率Firewall(config-if)# duplex {auto | full | half} 接口工作模式
5 5 2 0 防火墙配置实例 本人在项目中已经两次接触到思科5500系列防火墙的配置应用了,根据项目的需求不同,详细的配置也不一样,因此汇总了一个通用版本的思科5500 系列防火墙的配置,不详之处,请各位大虾给予指点,谢谢! CD-ASA5520# show run : Saved ASA Version (2) ! hostname CD-ASA5520&nb sp; // 给防火墙命名 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码names dns-guard ! interface GigabitEthernet0/0 // 内网接口: duplex full // 接口作工模式:全双工,半双,自适应 nameif inside // 为端口命名:内部接口inside security-level 100 // 设置安全级别0~100 值越大越安全 ! interface GigabitEthernet0/1 // 外网接口 nameif outside // 为外部端口命名:外部接口outside security-level 0 interface GigabitEthernet0/2 nameif dmz security-level 50
! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 // 防火墙管理地址 shutdown no nameif no security-level no ip address ! passwd encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS access-list outside_permit extended permit tcp any interface outside eq 3389 // 访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010 // 允许外部任何用户可以访问outside 接口的30000-30010 的端口。 pager lines 24 logging enable // 启动日志功能 logging asdm informational mtu inside 1500 内部最大传输单元为1500字节 mtu outside 1500 mtu dmz 1500
思科ASA防火墙基本配置 思科ASA防火墙基本配置 Fire Wall 防火墙,它是一种位于内部网络与外部网络之间的网络安全系统,当然,防火墙也分软件防火墙与硬件防火墙。 硬件防火墙又分为:基于PC架构与基于ASIC芯片 今天来聊一聊思科的'硬件防火墙 Cisco ASA Cisco ASA 防火墙产品线挺多:Cisco ASA5505 Cisco ASA5510 Cisco ASA5520 Cisco ASA5540 Cisco ASA5550 等等 ASA 的基本配置步骤如下: 配置主机名、域名 hostname [hostname] domain-name xx.xx hostname Cisco-ASA 5520 domain-name https://www.doczj.com/doc/1c19323687.html, 配置登陆用户名密码 password [password] enable password [password] 配置接口、路由 interface interface_name nameif [name] name 有三种接口类型 insdie outside dmz security-level xx(数值) 数值越大接口安全级别越高 注:默认inside 100 ,outside 0 ,dmz 介于二者之间 静态路由 route interface_number network mask next-hop-address route outside 0.0.0.0 0.0.0.0 210.210.210.1 配置远程管理接入 Telnet
telnet {network | ip-address } mask interface_name telnet 192.168.1.0 255.255.255.0 inside telnet 210.210.210.0 255.255.255.0 outside SSH crypto key generate rsa modulus {1024| 2048 } 指定rsa系数,思科推荐1024 ssh timeout minutes ssh version version_number crypto key generate rsa modulus 1024 ssh timeout 30 ssh version 2 配置 ASDM(自适应安全设备管理器)接入 http server enbale port 启用功能 http {networdk | ip_address } mask interface_name asdm image disk0:/asdm_file_name 指定文件位置 username user password password privilege 15 NAT nat-control nat interface_name nat_id local_ip mask global interface_name nat_id {global-ip [global-ip] |interface} nat-control nat inside 1 192.168.1.0 255.255.255.0 global outside 1 interface global dmz 1 192.168.202.100-192.168.202.150 ACL access-list list-name standad permit | deny ip mask access-list list-name extendad permit | deny protocol source-ip mask destnation-ip mask port access-group list-name in | out interface interface_name 如果内网服务器需要以布到公网上
Cisco ASA 5505配置详解 (2011-06-10 09:46:21) 分类:IT 标签: it 在配ASA 5505时用到的命令 2009-11-22 22:49 nat-control命令 在6.3的时候只要是穿越防火墙都需要创建转换项,比如:nat;static等等,没有转换项是不能穿越防火墙的,但是到了7.0这个规则有了变化,不需要任何转换项也能正常的像路由器一样穿越防火墙。但是一个新的命令出现了!当你打上nat-control这个命令的时候,这个规则就改变得和6.3时代一样必须要有转换项才能穿越防火墙了。7.0以后开始 nat-control 是默认关闭的,关闭的时候允许没有配置NAT规则的前提下和外部主机通信,相当于路由器一样,启用NAT开关后外网就必须通过NAT转换才能通信 1、定义外口 interface Ethernet0/0 进入端口 nameif outside 定义端口为外口 security-level 0 定义安全等级为0 no shut 激活端口 ip address ×.×.×.× 255.255.255.248 设置IP 2、定义口 interface Ethernet0/1 nameif inside 定义端口为 security-level 100 定义端口安去昂等级为100 no shut ip address 192.168.1.1 255.255.255.0 3、定义部NAT围。 nat (inside) 1 0.0.0.0 0.0.0.0 任何IP都可以NAT,可以自由设置围。 4、定义外网地址池 global (outside) 1 10.21.67.10-10.21.67.14 netmask 255.255.255.240 或 global (outside) 1 interface 当ISP只分配给一个IP是,直接使用分配给外口的IP地址。 5、设置默认路由 route outside 0 0 218.17.148.14 指定下一条为IPS指定的网关地址 查看NAT转换情况 show xlate --------------------------------------------------- 一:6个基本命令: nameif、 interface、 ip address 、nat、 global、 route。
asa防火墙ipsec配置 cisco思科是全球领先的大品牌,相信很多人也不陌生,那么你知道asa防火墙ipsec 配置吗?下面是店铺整理的一些关于asa防火墙ipsec 配置的相关资料,供你参考。 asa防火墙ipsec 配置的方法: 第一步:在外部接口启用IKE协商 crypto isakmp enable outside 第二步:配置isakmp协商策略 isakmp 策略两边要一致,可设置多个策略模板,只要其中一个和对方匹配即可 isakmp policy 5 authentication pre-share//配置认证方式为预共享密钥 isakmp policy 5 encryption des//配置isakmp 策略的加密算法isakmp policy 5 hash md5 //配置isakmp 策略的哈希算法 isakmp policy 5 group 2//配置Diffie-Hellman组 isakmp policy 5 lifetime 86400//默认的有效时间 第三步:配置需要加密的数据流 192.168.241.0为本地内网地址,10.10.10.0为对方内网地址 access-list ipsec- extended permit ip 192.168.241.0 255.255.255.0 10.10.10.0 255.255.255.0 第四步:设置到对方私网地址的路由 配置静态路由指向outside接口x.x.x.x为ASA防火墙outside接口地址 route outside 10.10.10.0 255.255.255.0 x.x.x.x 第五步:配置ipsec的数据转换格式集 crypto ipsec transform-set my_trans esp-des esp-none 第六步:建立加密静态映射图 crypto map _to_test 10 match address ipsec-//配置哪些数据流会启用IPSEC加密
asa5505思科防火墙 公司网络不断更新,新进一设备名为cicoASA-5505防火墙。公司准备把四台监控系统服务器通过防火墙与公司现有网络隔离。但是现有的服务器有三台在之前分别在给市煤管局、集团公司、国投总公司提供监控信息。所以更改IP地址的话会很麻烦。所以公司决定将原有三台电脑的IP 地址做地址转换。开放相应端口即可。公司现有网络段为192.168.0.0隔离后网络段为 172.168.1.0IOS版本为ASA-7.2与之前版本的配置有一定区别。下面说说具体的操作步骤: 1、将四台监控系统服务器通过普通交换机连接接,交换机接防火墙1口,防火墙0口与公司现有网络交换机连接,用conole线将防火墙与PC连接到一起。 2、打开PC运行超级终端,出现新建连接界面,随便输入名称确定,出现借口选择界面,选择相应的COM口即可,确定出现COM口属性设置,恢复默认即可。 3、进入防火墙出现Pre-configurePI某Firewallnowthroughinteractiveprompt[ye]意思是否进入交互配置对话模式选择N 4、进入防火墙的命令提示符界面,cicoaa>在后面输入enable 进入特权模式cicoaa#在后面输入conft进入全局配置模式。这时。就可以对防火墙进行配置了。 5、配置防火墙名cicoaa(config)#hotnamedyq配置防火墙密码(config)#enablepawordadmin配置 IPdyq(config)#interfacevlan1dyq(config- if)#ipaddre192.168.0.251255.255.255.0
实验四 ASA 5505 从内网访问DMZ区服务器 (真实防火墙) 一、实验目标 在这个实验中朋友你将要完成下列任务: 1.创建vlan 2.给vlan命名 3.给vlan分配IP 4.把接口加入到相应的VLAN,并配置接口的速率、双工(半工) 5.配置内部转化地址池(nat)外部转换地址globla 6.配置WWW和FTP服务器 二、实验拓扑 ------------------------------------------------------------------------------------------------------------------------
三、实验过程 1. ASA 5505基本配置: ciscoasa> ciscoasa> enable Password: ciscoasa# ciscoasa# configure terminal ciscoasa(config)# interface vlan44 *建立ID为44的虚拟局域网(vlan) ciscoasa(config-if)# nameif dmz *把vlan44的接口名称配置为dmz ciscoasa(config-if)# security-level 50 *配置dmz 安全级别为50 ciscoasa(config-if)# ip address 11.0.0.1 255.0.0.0 *给vlan44配置IP地址 ciscoasa(config-if)# interface vlan33 *建立ID为33的虚拟局域网(vlan)ciscoasa(config-if)# nameif inside *把vla33的接口名称配置为inside,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。在默认情况下,inside安全级别为100。INFO: Security level for "inside" set to 100 by default. ciscoasa(config-if)# ip address 192.168.0.211 255.255.255.0 *给vlan33配置IP地址 ciscoasa(config-if)# exit ciscoasa(config)# interface ethernet0/2 *进入e0/2接口的配置模式 ciscoasa(config-if)# switchport access vlan 44 *把e0/2接口划分到vlan22中 ciscoasa(config-if)# speed auto *设置e0/2接口的速率为自动协商 ciscoasa(config-if)# duplex auto *设置e0/2接口的工作模式为自动协商ciscoasa(config-if)# no shutdown *打开e0/2接口 ciscoasa(config-if)# interface e0/0 *进入e0/1接口的配置模式 ciscoasa(config-if)# switchport access vlan 33 *把e0/0接口划分到vlan33中 ciscoasa(config-if)# speed auto *设置e0/0接口的速率为自动协商 ciscoasa(config-if)# duplex auto *设置e0/0接口的工作模式为自动协商ciscoasa(config-if)# no shutdown *打开e0/0接口 ciscoasa(config-if)# exit ciscoasa(config)# 2. ASA 5505本身接口的连通性测试 ①测试防火墙本身vlan44接口连通性 ciscoasa# ping 11.0.0.1 Sending 5, 100-byte ICMP Echos to 11.0.0.1, timeout is 2 seconds: Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms ②测试防火墙本身vlan33接口连通性 ciscoasa# ping 192.168.0.211 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.0.211, timeout is 2 seconds: 3. 配置PC: 具体网络参数如拓扑图所示。
实验10-思科ASA防火墙的NAT 配置
实验10 思科ASA防火墙的NAT配置 一、实验目标 1、掌握思科ASA防火墙的NAT规则的基本原理; 2、掌握常见的思科ASA防火墙的NAT规则的配置方法。 二、实验拓扑 根据下图搭建拓扑通过配置ASA防火墙上的NAT规则,使得inside 区能单向访问DMZ区和outside区,DMZ区和outside区能够互访。 三、实验配置 1、路由器基本网络配置,配置IP地址和默认网关 R1#conf t R1(config)#int f0/0 R1(config-if)#ip address 192.168.2.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#ip default-gateway 192.168.2.254 //配置默认网关 R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254 //添加默认路由R1(config)#exit R1#write R2#conf t R2(config)#int f0/0 R2(config-if)#ip address 202.1.1.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit R2(config)#ip default-gateway 202.1.1.254 R2(config)#exit
//用ACL实现允许外网访问DMZ区的服务器 ciscoasa(config)# access-list outside-to-dmz permit ip host 202.1.1.1 host 192.168.1.1 ciscoasa(config)# access-group outside-to-dmz in interface outside ciscoasa(config)# exit ciscoasa# write 四、实验验证 1、查看NAT转换规则。 ●命令:show run nat 2、ping测试。 ●R1 ping 202.1.1.1、192.168.1.1,均可ping通。 ●R2 ping 202.1.1.20可通,但ping 不通192.168.2.1和192.168.1.1。 ●Server ping 202.1.1.1可通,但ping 不通192.168.2.1。