cisco ASA5510配置实例.doc

cisco ASA5510配置实例2008年11月11日 07:52ASA5510# SHOW RUN: Saved:ASA Version 7.0(6)!hostname ASA5510enable password 2KFQnbNIdI.2KYOU encryptednamesdns-guard!interface Ethernet0/0 此接口为外部网络接口nameif outside 设置为 OUTSIDE 外部接口模式security-level 0 外部接口模式安全级别为最低 0ip address 34 添加外部IP地址 （一般为电信/网通提供）!interface Ethernet0/1此接口为内部网络接口nameif inside设置为 INSIDE 内部接口模式security-level 100内部接口模式安全级别最高为 100ip address 添加内部IP地址!interface Ethernet0/2 没用到shutdownno nameifno security-levelno ip address!interface Management0/0nameif managementsecurity-level 100ip address 没用，用网线连接管理的端口。management-only!passwd 2KFQnbNIdI.2KYOU encryptedftp mode passivepager lines 24logging asdm informationalmtu outside 1500mtu inside 1500mtu management 1500no asdm history enablearp timeout 14400global (outside) 1 interface 一定要打表示 PAT端口扩展：“1”为其NAT IDnat (inside) 1 转换所有 的内部地址route outside 54 1 缺省路由timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00timeout uauth 0:05:00 absolutehttp server enable 打开http serverhttp management 限定能通过http方式访问防火墙的机器no snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstarttelnet timeout 5ssh timeout 5console timeout 0dhcpd address 0-00 inside DHCP 自动提供分配范围 为0200dhcpd address -54 managementdhcpd dns DNS 添加：可以是电信网通提供 直接添加，或者自己的DNS服务器地址。dhcpd lease 3600dhcpd ping_timeout 50dhcpd domain suzhou.jy 域名dhcpd enable inside 打开内部网段自动分配dhcpd enable managementCryptochecksum:6148633dac00f8f7a3418833f98d5ad4access-group icmp_in in interface outside 这两句表示，access-list icmp_in extended permit icmp any any 允许PING包发送或接收: end关于CISCO asa5510防火墙端口映射配置2009-05-21 14:18先进思科防火墙，telnet 54输入密码：系统变成ciscoasa再输入en回车后再次输入密码系统变成ciscoasa#这个时候输入show running-config回车后可以看到端口E0/0配的外网地址是多少，e0/配的内网地址是多少，和没有配的端口地址。还能看见访问列表access-list。再往下看可以看到具体的网络映射地址。可以看到公网地址的那个端口具体映射到内网地址的那个端口。回到ciscoasa# 后在里面输入conf t回车后变成ciscoasa(config)#在到端口里面，再输入int e0/0命令后就到e0/0端口命令下面状态就变成ciscoasa(config-if)#在此状态下再次输入static (inside,outside) tcp 36 5222 32 5222 netmask 55意思就是公网的5222端口映射到内网的32 的5222端口下面.这个时候命令符又变回ciscoasa(config)#这个状态。这个时候你再次输入sh ru回车后就能看到自己编辑的端口映射了。然后再次做个访问列表。在ciscoasa(config)#下面输入access-list outside-inside extended permit tcp any host 36 eq 5222这个时候你就可以把内网的地址的5222端口映射到公网去了再输入wr写入并保存后，在输入exit就可以退出了如果端口映射错了，也可以删除掉，具体做法是在ciscoasa(config)#模式下输入no access-list outside-inside extended permit tcp any host 36 eq 5222就可以先将地址列表中的5222端口删除掉再到ciscoasa(config)#进入e0/0端口下面输入 int e0/0模式就变成e0/0端口编辑状态下cisco asa(asa5510 设置)防火墙的配置详解2010-02-08 10:02asa5510(config)#asa5510(config)# show run: Saved:ASA Version 7.0(7) !hostname asa5510 主机名domain-name 1 域名enable password FgQ836L.2fG/AEir encrypted ASDM的登陆密码namesdns-guard!interface Ethernet0/0 外部接口nameif outside 接口名security-level 0ip address X.X.X.X 48 IP地址!interface Ethernet0/1内部接口nameif insidesecurity-level 100ip address ip地址，内部电脑的网关!interface Ethernet0/2shutdownno nameifno security-levelno ip address! interface Management0/0nameif managementsecurity-level 100ip address management-only 管理接口 可以关闭 默认 !passwd WXjstPgDOxFTLAaA encrypted ftp mode passiveobject-group network Public 定义一个IP组 组名为Public （做ACL的时候可以方便减少ACL条目、这里做的是IP组，其实还可以基于服务来做个组，）network-object host 定义组内的IP network-object host network-object host network-object host network-object host network-object host 这些组里的IP在后面将被引用access-list 102 extended permit icmp any any access-list 102 extended permit ip any any 定义AClaccess-list 111 extended permit ip host 6 any access-list 111 extended permit ip object-group Public any 定义ACL 注意这里的源地址引用的是一个我们前面定义的地址组，access-list 111 extended deny ip any any 这里是拒绝所有，大家应该知道我的ACL的意思了吧 ，拒绝所有人上网。上面允许的除外pager lines 24logging asdm informationalmtu outside 1500mtu inside 1500mtu management 1500asdm image disk0:/asdm-507.bin 指定ASDM路径，开启ASDM的命令之一，至于ASDM版本，大家可以DIR的命令来查看到，no asdm history enablearp timeout 14400global (outside) 1 interfacenat (inside) 1 nAT转换，吧内部接口的所有IP转换到外部的公网IP，让所有内部IP可以上网，access-group 102 in interface outsideaccess-group 111 in interface inside 这2个是引用前面定义的ACL一个外部接口一个内部接口 如果没和我一样的只允许部分IP上网的需求的 可以不要INSIDE的ACL以及ACL 111的条目route outside xx.x.x.x 1外部的默认路由 x.x.x.x为公网的网关timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00timeout uauth 0:05:00 absoluteusername cisco1 password W0ATeFBkCO3ErmVn encrypted privilege 15(asdm SSH登陆用户名和密码)aaa authentication ssh console LOCAL (SSH 登陆启用本地认证,就是上面的cisco1)http server enable(激活ASDM) http outsidehttp inside(在外部和内部借口上启用ASDM)no snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstarttelnet inside启用内部的TELNETtelnet timeout 5ssh outsidessh inside(起用内部和外部接口的SSH)ssh timeout 30 ssh version 2 SSH版本2console timeout 0!class-map inspection_defaultmatch default-inspection-traffic!policy-map global_policyclass inspection_defaultinspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp !service-policy global_policy globalCryptochecksum:5ee69c74afd48da59841097fe14670ad: endASA 5510 基本配置caihuashe# show version Cisco Adaptive Security Appliance Software Version 7.2(3) Detected an old ASDM version. You will need to upgrade it before using ASDM.Compiled on Wed 15-Aug-07 16:08 by buildersSystem image file is disk0:/asa723-k8.binConfig file at boot was startup-configcaihuashe up 358 days 0 hoursHardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHzInternal ATA Compact Flash, 256MBBIOS Flash M50FW080 0xffe00000, 1024KBEncryption hardware device : Cisco ASA-55x0 on-board accelerator (revision 0x0) Boot microcode : CNlite-MC-Boot-Cisco-1.2 SSL/IKE microcode: CNlite-MC-IPSEC-Admin-3.03 IPSec microcode : CNlite-MC-IPSECm-MAIN-2.04 0: Ext: Ethernet0/0 : address is 001d.70df.2cfc, irq 9 1: Ext: Ethernet0/1 : address is 001d.70df.2cfd, irq 9 2: Ext: Ethernet0/2 : address is 001d.70df.2cfe, irq 9 3: Ext: Ethernet0/3 : address is 001d.70df.2cff, irq 9 4: Ext: Management0/0 : address is 001d.70df.2d00, irq 11 5: Int: Not used : irq 11 6: Int: Not used : irq 5Licensed features for this platform:Maximum Physical Interfaces : Unlimited Maximum VLANs : 100 Inside Hosts : Unlimited Failover : Active/ActiveVPN-DES : Enabled VPN-3DES-AES : Enabled Security Contexts : 2 GTP/GPRS : Disabled VPN Peers : 250 WebVPN Peers : 2 This platform has an ASA 5510 Security Plus license. 从上面的硬件和ios，其实硬件配置并不高档，比我们用的普通电脑的档次低多了，我觉得其关键在于其稳定性好、ios系统强；现在市面上也出现一些网友用自己旧PC组装的防火墙，功能和性能也不错，如M0N0、pfsense等； 1.首先配置防火墙的端口 一般会配置两个端口 一个inside口 一个outside口，asa5510有4个网络口，我们可随便使用那个口来设置inside口和outside口，关键在在于配置端口上面来确定是怎样的出口； interface Ethernet0/0 speed 100 duplex full nameif outside 设置外网口 security-level 0 安全级别0-100 ip address 52 !interface Ethernet0/1 nameif inside 设置内网口 security-level 100 安全级别最高100 ip ad