资料
Cisco ASA 防火墙图文配置实例
本文是基于ASA5540 和ASA5520 的配置
截图所做的一篇配置文档,从最初始的配置开始:
1、连接防火墙登陆
与其他的Cisco 设备一样,用Console 线连接到防火墙,初始特权密码为空。
2、配置内部接口和IP 地址
进入到接口配置模式,配置接口的IP 地址,并指定为inside。防火墙的地址配置好后,进行测试,确认可以和防火墙通讯。
3、用dir 命令查看当前的Image 文件版本。
4、更新Image 文件。
准备好TFTP 服务器和新的Image 文件,开始更新。
5、更新ASDM。
6、更新完成后,再用dir 命令查看
7、修改启动文件。以便于ASA 防火墙能够从新的Image 启动
8、存盘,重启
9、用sh version 命令验证启动文件,可以发现当前的Image 文件就是更新后的
10、设置允许用图形界面来管理ASA 防火墙
表示内部接口的任意地址都可以通过http 的方式来管理防火墙。11、打开浏览器,在地址栏输入防火墙内部接口的IP 地址
选择“是”按钮。
12、出现安装ASDM 的画面
选择“Install ASDM Launcher and Run ASDM”按钮,开始安装过程。
13、安装完成后会在程序菜单中添加一个程序组
14、运行ASDM Launcher,出现登陆画面
15、验证证书
单击“是”按钮后,开始登陆过程
16、登陆进去后,出现防火墙的配置画面,就可以在图形界面下完成ASA 防火墙的配置
17、选择工具栏的“Configuration”按钮
18、选择“Interface”,对防火墙的接口进行配置,这里配置g0/3 接口
选择g0/3 接口,并单击右边的“Edit”按钮
19、配置接口的IP 地址,并将该接口指定为outside
单击OK 后,弹出“Security Level Change”对话框,单击OK 20、编辑g0/1 接口,并定义为DMZ 区域
21、接口配置完成后,要单击apply 按钮,以应用刚才的改变,这一步一定不能忘
22、设置静态路由
单击Routing->Static Route->Add 23、设置enable 密码
24、允许ssh 方式登录防火墙
25、增加用户
定义ssh 用本地数据库验证
26、用ssh 登录测试
登录成功
27、建立动态NAT 转换
选择Add Dynamic NAT Rule
Interface 选择inside,Source 处输入any 单击Manage 按钮
单击add,增加一个地址池
Interface 选择Outside,选择PAT,单击Add 按钮
单击OK
完成了添加动态NAT 转换
Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS
配置要求: 1、分别划分inside(内网)、outside(外网)、dmz(安全区)三个区域。 2、内网可访问外网及dmz内服务器(web),外网可访问dmz内服务器(web)。 3、Dmz服务器分别开放80、21、3389端口。 说明:由于防火墙许可限制“no forward interface Vlan1”dmz内服务器无法访问外网。 具体配置如下:希望对需要的朋友有所帮助 ASA Version 7.2(4) ! hostname asa5505 enable password tDElRpQcbH/qLvnn encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Vlan1 nameif outside security-level 0 ip address 外网IP 外网掩码 ! interface Vlan2 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan3 no forward interface Vlan1 nameif dmz security-level 50 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet0/0 description outside !
interface Ethernet0/1 description inside switchport access vlan 2 ! interface Ethernet0/2 description dmz switchport access vlan 3 ! interface Ethernet0/3 description inside switchport access vlan 2 ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! ftp mode passive object-group service outside-to-dmz tcp port-object eq www port-object eq ftp port-object eq 3389 access-list aaa extended permit tcp any host 外网IP object-group outsid e- to-dmz access-list bbb extended permit tcp host 172.16.1.2 192.168.1.0 255.255. 255.0 ob
CISCO ASA防火墙配置实验 ASA模拟器并不像DynamipsGUI软件那样界面友好、操作方便,若要将ASA防火墙和路由器进行连接构建网络拓扑就需要分别编辑ASA模拟器和路由器的批处理文件才能完成,这就使得简单的网络拓扑搭建变得比较复杂。下面是实验环境拓扑以及搭建步骤: PC1(本地主机)--VMNET1 ----ASA E0/0 WEB(VMwaer WIN2003 虚拟主机) ---VMNET2-----ASA E0/1 ISP ---VMNET3 -----ASA E0/2 一、安装VMware ,启动虚拟网络管理器,选择host virtual adapters,添加VMnet2 vmnet3 虚拟网卡,如下图。
二打开"ASA实验机架"下setup目录,运行“获取网卡参数.cmd"文件获取三块VMware网卡参数,建议先开启一块VMware虚拟网卡关闭其它虚拟网卡,获取参数后再开启第二块,以此类推... ... 避免虚拟网卡与参数对应出错。 三、1 桥接防火墙的各个接口,编辑“启动ASA防火墙.bat"文件,将获取的网卡参数粘贴到如下位置:
2 桥接ISP路由器,编辑ISP目录下"router1.bat"文件,将上图第三行网卡参数替换到如下位置: T96100-FE -s 0:0:gen_eth:"\Device\NPF_{A9D211C2-5ABD-4F47-9BC0-D3F722CB36CC}" ..\unzip-c 2691-advsecurityk9-mz.124 四、双击“开启ASA防火墙.bat" "开启ISP.bat" 文件。运行命令”telnet 127.0.0.1 4000 登陆ASA 运行命令“ telnet 127.0.0.1 4001 登陆ISP路由器。 五 . 1 )ASA基本配置:配置接口名字,接口安全级别,接口IP 地址 conf t int e0/0 nameif inside ip add 192.168.0.254 255.255.255.0 security-level 100 no shut int e0/1 nameif dmz ip add 192.168.1.254 255.255.255.0 security-level 50 no shut int e0/2 nameif outside ip add 200.0.0.2 255.255.255.252 security-level 0 no shut sh int ip b 查看接口状态 sh run | b inter 查看接口配置参数
思科A S A5510防火墙实战配置中文手册
配置设备介绍:(只为做实验实际应用请根据自己具体情况更改相关参数即可) 核心交换机 4507 提供VLAN3 网关地址:192.168.3.254 提供 DNS 服务器连接:192.168.0.1 接入交换机 2960 提供 VLAN3 TURNK 连接, 可用IP 地址为 192.168.3.0-192.168.3.240 掩码:255.255.255.0 网关:192.168.3.254 DNS: 192.168.0.1 内网实验防火墙 CISCO ASA 5510 E0/0 IP:192.168.3.234 E0/1 IP 10.1.1.1 实现配置策略 1. 动态内部 PC1 DHCP 自动获得IP 地址,可访问INTERNET,并PING 通外部网关。 PC1 Ethernet adapter 本地连接: Connection-specific DNS Suffix . : gametuzi Description . . . . . . . . . . . : Broadcom 440x roller Physical Address. . . . . . . . . : 00-13-77-04-9 Dhcp Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes IP Address. . . . . . . . . . . . : 10.1.1.20 Subnet Mask . . . . . . . . . . . : 255.255.0.0 Default Gateway . . . . . . . . . : 10.1.1.1 DHCP Server . . . . . . . . . . . : 10.1.1.1 DNS Servers . . . . . . . . . . . : 192.168.0.1 2. 静态内部 PC2 手动分配地址,可访问 INTERNET ,并PING 通外部网关。 PC1 Ethernet adapter 本地连接: Connection-specific DNS Suffix . : gametuzi Description . . . . . . . . . . . : Broadcom 440x roller Physical Address. . . . . . . . . : 00-13-77-04-9 Dhcp Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes IP Address. . . . . . . . . . . . : 10.1.34.34 Subnet Mask . . . . . . . . . . . : 255.255.0.0 Default Gateway . . . . . . . . . : 10.1.1.1 DHCP Server . . . . . . . . . . . : 10.1.1.1
配置设备介绍:(只为做实验实际应用请根据自己具体情况更改相关参数即可)核心交换机4507 提供VLAN3 网关地址:192。168.3.254 提供DNS 服务器连接:192。168。0.1 接入交换机2960 提供VLAN3 TURNK 连接,可用IP 地址为 192.168.3.0-192.168。3。240 掩码:255.255。255。0 网关:192。168.3。254 DNS:192.168。0。1 内网实验防火墙CISCO ASA 5510 E0/0 IP:192。168.3.234 E0/1 IP 10。1.1.1 实现配置策略 1。动态内部PC1 DHCP 自动获得IP 地址,可访问INTERNET,并PING 通外部网关. PC1 Ethernet adapter 本地连接: Connection-specific DNS Suffix . : gametuzi Description 。 . 。。。。。。 . . 。:Broadcom 440x roller Physical Address。。。。 . . . 。 . :00-13-77—04-9 Dhcp Enabled. 。。。。。。 . . 。 . : Yes Autoconfiguration Enabled 。 . 。 . :Yes IP Address。 . . 。 . 。。 . 。。 . . :10。1.1。20 Subnet Mask . . . . . . . 。 . 。。:255.255。0.0 Default Gateway 。。 . 。。。。。 . :10.1.1。1 DHCP Server . . . . 。 . . 。。 . . :10.1.1.1 DNS Servers 。。 . . 。。 . 。。。 . : 192。168。0.1 2. 静态内部PC2 手动分配地址,可访问INTERNET ,并PING 通外部网关。 PC1 Ethernet adapter 本地连接: Connection—specific DNS Suffix . : gametuzi Description . 。 . 。 . . . . 。 . 。: Broadcom 440x roller Physical Address。。 . 。 . . 。。。:00-13-77—04—9 Dhcp Enabled. 。 . . 。。。。。。 . : Yes Autoconfiguration Enabled 。 . . . :Yes IP Address。。。 . 。。 . . 。。。。:10.1。34.34 Subnet Mask 。 . 。。。 . . 。。 . 。:255。255。0.0 Default Gateway 。 . 。 . 。。 . . . :10。1。1。1 DHCP Server . . . 。 . . 。 . . . . : 10。1.1.1 --—————-—----——-—-----— Page 3-----—-——-——-----—----- DNS Servers . . 。 . . 。 . 。 . . . : 192.168。0。1 3. ASA 5510 启动PAT NAT DNS DHCP 服务好开始连接 ASA 5510 ciscoasa# ciscoasa# conf t 进入全局配置模式 ciscoasa(config)#hos ciscoasa(config)# hostname gametuzi 命名 gametuzi(config)# gametuzi(config)#hostname gametuzi5510 新的名字 gametuzi5510(config)# conf t gametuzi5510(config)#int e0/0 进入E0/0 接口 gametuzi5510(config-if)# n gametuzi5510(config—if)#n?
配置设备介绍:(只为做实验实际应用请根据自己具体情况更改相关参数即可) 核心交换机4507 提供VLAN3 网关地址:192.168。3。254 提供DNS 服务器连接:192。168.0。1 接入交换机2960 提供VLAN3 TURNK 连接, 可用IP 地址为 192。168。3。0-192.168。3.240 掩码:255.255。255.0 网关:192.168.3.254 DNS:192.168。0.1 内网实验防火墙CISCO ASA 5510 E0/0 IP:192.168。3。234 E0/1 IP 10。1。1。1 实现配置策略 1. 动态内部PC1 DHCP 自动获得IP 地址,可访问INTERNET,并PING 通外部网关。 PC1 Ethernet adapter 本地连接: Connection—specific DNS Suffix 。: gametuzi Description . 。 . . . . 。。。。。:Broadcom 440x roller Physical Address。 . . 。 . . 。。。: 00-13-77-04—9 Dhcp Enabled。 . 。。。。 . 。。 . 。:Yes Autoconfiguration Enabled 。。 . . :Yes IP Address. 。。。 . 。 . . . 。。 . :10.1.1。20 Subnet Mask . . . . 。 . 。。。 . 。: 255.255。0.0 Default Gateway . . 。 . 。。。。。: 10.1。1.1 DHCP Server . 。。。 . 。 . 。。。 . : 10。1。1。1 DNS Servers . . . . . 。 . . 。。。: 192.168.0。1 2. 静态内部PC2 手动分配地址,可访问INTERNET ,并PING 通外部网关. PC1 Ethernet adapter 本地连接: Connection—specific DNS Suffix 。: gametuzi Description 。。 . . . 。。。。 . . :Broadcom 440x roller Physical Address。。 . . 。 . 。 . . :00-13—77—04-9 Dhcp Enabled. 。。 . . . 。。 . 。。:Yes Autoconfiguration Enabled 。 . . 。: Yes IP Address。 . . 。。。 . 。 . . 。 . : 10。1.34。34 Subnet Mask 。。 . 。 . . . 。 . . 。:255。255.0。0 Default Gateway . . 。 . . . 。。。: 10.1.1.1 DHCP Server . . . . 。。 . . . . 。:10。1。1.1
CISCO 5520防火墙配置实例 本人在项目中已经两次接触到思科5500系列防火墙的配置应用了,根据项目的需求不同,详细的配置也不一样,因此汇总了一个通用版本的思科5500系列防火墙的配置,不详之处,请各位大虾给予指点,谢谢! CD-ASA5520# show run : Saved : ASA Version 7.2(2) ! hostname CD-ASA5520 &nb sp; //给防火墙命名domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口:
full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口nameif outside //为外部端口命名:外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3
思科ASA防火墙基本配置 思科ASA防火墙基本配置 Fire Wall 防火墙,它是一种位于内部网络与外部网络之间的网络安全系统,当然,防火墙也分软件防火墙与硬件防火墙。 硬件防火墙又分为:基于PC架构与基于ASIC芯片 今天来聊一聊思科的'硬件防火墙 Cisco ASA Cisco ASA 防火墙产品线挺多:Cisco ASA5505 Cisco ASA5510 Cisco ASA5520 Cisco ASA5540 Cisco ASA5550 等等 ASA 的基本配置步骤如下: 配置主机名、域名 hostname [hostname] domain-name xx.xx hostname Cisco-ASA 5520 domain-name https://www.doczj.com/doc/cb19083719.html, 配置登陆用户名密码 password [password] enable password [password] 配置接口、路由 interface interface_name nameif [name] name 有三种接口类型 insdie outside dmz security-level xx(数值) 数值越大接口安全级别越高 注:默认inside 100 ,outside 0 ,dmz 介于二者之间 静态路由 route interface_number network mask next-hop-address route outside 0.0.0.0 0.0.0.0 210.210.210.1 配置远程管理接入 Telnet
telnet {network | ip-address } mask interface_name telnet 192.168.1.0 255.255.255.0 inside telnet 210.210.210.0 255.255.255.0 outside SSH crypto key generate rsa modulus {1024| 2048 } 指定rsa系数,思科推荐1024 ssh timeout minutes ssh version version_number crypto key generate rsa modulus 1024 ssh timeout 30 ssh version 2 配置 ASDM(自适应安全设备管理器)接入 http server enbale port 启用功能 http {networdk | ip_address } mask interface_name asdm image disk0:/asdm_file_name 指定文件位置 username user password password privilege 15 NAT nat-control nat interface_name nat_id local_ip mask global interface_name nat_id {global-ip [global-ip] |interface} nat-control nat inside 1 192.168.1.0 255.255.255.0 global outside 1 interface global dmz 1 192.168.202.100-192.168.202.150 ACL access-list list-name standad permit | deny ip mask access-list list-name extendad permit | deny protocol source-ip mask destnation-ip mask port access-group list-name in | out interface interface_name 如果内网服务器需要以布到公网上
作者:金振宇日期:2008-5-13 19:47:5 实例需求:Cisco ASA 5520 防火墙用于内部多个vlan之间互相通讯。拓扑图: 配置实例: [asa防火墙配置] : Saved : ASA Version 7.0(7) ! hostname ***** enable password GSk/3FjsRAiPoooi encrypted names dns-guard ! interface GigabitEthernet0/0 shutdown nameif outside security-level 0 no ip address ! interface GigabitEthernet0/1
no nameif no security-level no ip address ! interface GigabitEthernet0/1.1 // 启用子接口连接vlan 10,安全及别99,分配地址 vlan 10 nameif Test1 security-level 99 ip address ! interface GigabitEthernet0/1.2 // 启用子接口连接vlan 20,安全及别98,分配地址 vlan 20 nameif Test2 security-level 98 ip address ! interface GigabitEthernet0/1.3 // 启用子接口连接vlan 30,安全及别97,分配地址 vlan 30 nameif Test3 security-level 97 ip address ! interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/3 description LAN Failover Interface ! interface Management0/0 nameif management security-level 100 ip address management-only ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list acl_Test1 extended permit icmp any any // 设置访问列表,允许全通过,为了测试方便access-list acl_Test1 extended permit ip any any access-list acl_Test2 extended permit icmp any any access-list acl_Test2 extended permit ip any any access-list acl_Test3 extended permit icmp any any
ASA的NAT配置 1.nat-control命令解释 pix7.0版本前默认为nat-control,并且不可以更改 pix7.0版本后默认为no nat-control。可以类似路由器一样,直接走路由;如果启用nat-control,那就与pix7.0版本前同。 2.配置动态nat 把内部网段:172.16.25.0/24 转换成为一个外部的地址池 200.1.1.1-200.1.1.99 NAT配置命令 ASA(config)# nat (inside) 1 172.16.25.0 255.255.255.0 (定义源网段) ASA(config)# global (outside) 1 200.1.1.1-200.1.1.99 (定义地址池) 注意:id必须匹配,并且大于1,这里先使用1 检测命令: ASA(config)# show run nat ASA(config)# show run global ASA(config)# show xlate ASA(config)# show connect 3.配置PAT 把内部网段:172.16.26.0/24 转换成为一个外部的一个地址:200.1.1.149 NAT配置命令 ASA(config)# nat (inside) 2 172.16.26.0 255.255.255.0 (定义源网段) ASA(config)# global (outside) 2 200.1.1.149 (定义地址) ASA(config)# global (outside) 2 interface(或者直接转换为外网接口地址) 注意:id必须匹配,并且大于2,这里先使用2 4.配置static NAT 把内部网段:172.16.27.27/24 转换成为一个外部的一个地址:200.1.1.100 NAT配置命令 ASA(config)# static (inside,outside) 200.1.1.100 172.16.27.27 命令格式是内外对应的,红色的接口和红色的地址对应。 实际工作中的应用: static主要是为内部服务器提供服务,如:web、ftp、telnet、mail等等。 access-list WEB perminttcp any host 200.1.1.100 eq 80 access-list WEB in interface outside 应用ACL ASA(config)# static (inside,outside) tcp 200.1.1.100 80 172.16.27.27 80 ASA(config)# static (inside,outside) tcp interface 80 172.16.27.27 80 5.防止DOS攻击 防止外部对172.16.27.27/24 的攻击 ASA(config)# static (inside,outside) 200.1.1.100 172.16.27.27 tcp 100 1000 udp 1000 tcp 100 1000:表示正常tcp连接最大数量为100,半开连接最大的数量为1000。 udp 1000:表示正常udp连接最大的数量为1000,具体值设置为多少需要按工作中而定。 6.route配置 网关:200.1.1.254 LAN的网关:172.16.25.2/24
Cisco ASA5520防火墙配置 前言 ●主要从防火墙穿越的角度,描述Cisco ASA5520防火墙的配置 ●对Pix ASA系列防火墙配置具有参考意义 内容 ●防火墙与NAT介绍 ●基本介绍 ●基本配置 ●高级配置 ●其它 ●案例 防火墙与NAT介绍 ●防火墙 门卫 ●NAT 过道 ●区别 两者可以分别使用 Windows有个人防火墙 Windows有Internet Connect sharing服务 一般防火墙产品,同时带有NAT 基本介绍 ●配置连接 ●工作模式 ●常用命令 ●ASA5520介绍 配置连接 ●初次连接 使用超级终端登陆Console口 Cicso的波特率设置为9600 ●Telnet连接 默认不打开,在使用Console配置后,可以选择开启 开启命令:telnet ip_addressnetmaskif_name 连接命令:telnet 192.168.1.1 ASA5520默认不允许外网telnet,开启比较麻烦 ●ASDM连接 图形界面配置方式 ●SSH连接 工作模式 ●普通模式 连接上去后模式 进入普通模式需要有普通模式密码 Enable 进入特权模式,需要特权密码
●特权模式 Config terminal 进入配置模式 ●配置模式 ●模式转换 exit 或者ctrl-z退出当前模式,到前一模式 也适用于嵌套配置下退出当前配置 常用命令 ●命令支持缩写,只要前写到与其它命令不同的地方即可 config terminal = conf term = conf t Tab键盘补全命令 ?Or help 获取帮助 ●取消配置 no 命令取消以前的配置 Clear 取消一组配置,具体请查看帮助 ●查看配置 Show version show run [all] , write terminal Show xlat Show run nat Show run global ●保存配置 Write memory ASA5520介绍 ●硬件配置:ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz ●1个Console口,一个Aux口,4个千兆网口 ●支持并发:280000个 ●支持VPN个数:150 ●支持双机热备、负载均衡 ●可以通过show version 查看硬件信息 基本配置 ●接口配置 ●NAT配置 ●ACL访问控制 接口配置 ●四个以太网口 GigabitEthernet0/0、gig0/1、gig0/2、gig0/3 进入接口配置: interface if_name ●配置IP ip address ip_address [netmask] ip address ip_addressdhcp
cisco-asa 防火墙配置 hostname CD-ASA5520 //给防火墙命名domain-name default.domain.invalid //定义工作域enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码names dns-guard! interface GigabitEthernet0/0 //内网接口:duplex full //接口作工模式:全双工,半双,自适应nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址! interface GigabitEthernet0/1 //外网接口nameif outside //为外部端口命名:外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表access-list outside_permit extended permit tcp any interface outside range 30000 30010 //允许外部任何用户可以访问outside 接口的30000-30010的端口。 pager lines 24 logging enable //启动日志功能logging asdm informational mtu inside 1500 内部最大传输单元为1500字节mtu outside 1500 mtu dmz 1500 ip local pool vpnclient 192.168.200.1-192.168.200.200 mask 255.255.255.0 //定义一个命名为vpnclient的IP地址池,为remote用户分配IP地址no failover icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-522.bin no asdm history enable arp timeout 14400 //arp 空闲时间为14400秒global (outside) 1 interface //由于没有配置NAT 故
图解Cisco-ASA防火墙SSL-VPN 的配置
图解Cisco ASA防火墙SSL VPN的配置(图)
随着现在互联网的飞速发展,企业规模也越来越大,一些分支企业、在外办公以及SOHO一族们,需要随时随地的接入到我们企业的网络中,来完成我们一些日常的工作,这时我们VPN在这里就成了一个比较重要的一个角色了。 SSL VPN设备有很多。如Cisco 路由器、Cisco PIX防火墙、Cisco ASA 防火墙、Cisco VPN3002 硬件客户端或软件客户端。这极大地简化了远程端管理和配置。说的简单点就是在Server 端配置复杂的策略和密钥管理等命令,而在我们的客户端上只要配置很简单的几条命令就能和Server端建立VPN 链路的一种技术,主要的目的当然就是简化远端设备的配置和管理。 那么今天我们看看我们要实现的是SSL VPN,那什么是SSL VPN呢? SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比,SSL通过简单易用的SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地
方,使更多的员工,在更多的地方,使用更多的设备,安全访问到更多的企业网络资源,同时降低了部署和支持费用;客户端安全检查和授权访问等操作,实现起来更加方便。SSL VPN可以在任何地点,利用任何设备,连接到相应的网络资源上。IPSec VPN通常不能支持复杂的网络,这是因为它们需要克服穿透防火墙、IP地址冲突等困难。所以IPSec VPN 实际上只适用于易于管理的或者位置固定的地方。可以说从功能上讲,SSL VPN是企业远程安全接入的最佳选择。 但是虽然SSL VPN具有以上众多的优点,却由于SSL协议本身的局限性,使得性能远低于使用IPSec协议的设备。用户往往需要在简便使用与性能之间进行痛苦选择。这也是第二代VPN始终无法取代第一代VPN的原因。 SSL VPN的优点 1、方便。实施ssl vpn之需要安装配置好中心网关即可。其余的客户端是免安装的,因此,实施工期很短,如果网络条件具备,连安装带调试,1-2天即可投入运营。
一、思科ASA防火墙精华配置总结 思科防火墙PIX ASA 配置总结一(基础): 下面是我工作以来的配置总结,有些东西是6.3版本的,但不影响在7.*版本的配置。 一:6个基本命令:nameif、interface、ip address 、nat、global、route。 二:基本配置步骤: step1: 命名接口名字 nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 **7版本的配置是先进入接口再命名。 step2:配置接口速率 interface ethernet0 10full auto interface ethernet1 10full auto interface ethernet2 10full step3:配置接口地址 ip address outside 218.106.185.82 ip address inside 192.168.100.1 255.255.255.0 ip address dmz 192.168.200.1 255.255.255.0 step4:地址转换(必须) * 安全高的区域访问安全低的区域(即内部到外部)需NAT和global; nat(inside) 1 192.168.1.1 255.255.255.0 global(outside) 1 222.240.254.193 255.255.255.248 ***nat (inside) 0 192.168.1.1 255.255.255.255 表示192.168.1.1这个地址不需要转换。直接转发出去。 * 如果内部有服务器需要映像到公网地址(外网访问内网)则需要static和conduit或者acl. static (inside, outside) 222.240.254.194 192.168.1.240 static (inside, outside) 222.240.254.194 192.168.1.240 10000 10 后面的10000为限制连接数,10为限制的半开连接数。 conduit permit tcp host 222.240.254.194 eq www any conduit permit icmp any any (这个命令在做测试期间可以配置,测试完之后要关掉,防止不必要的漏洞)