asa5505思科防火墙.doc

公司网络不断更新，新进一设备名为cisco ASA-5505防火墙。公司准备把四台监控系统服务器通过防火墙与公司现有网络隔离。但是现有的服务器有三台在之前分别在给市煤管局、集团公司、国投总公司提供监控信息。所以更改IP地址的话会很麻烦。所以公司决定将原有三台电脑的IP地址做地址转换。开放相应端口即可。公司现有网络段为 隔离后网络段为 IOS版本为ASA-7.2 与之前版本的配置有一定区别。下面说说具体的操作步骤： 1、将四台监控系统服务器通过普通交换机连接接，交换机接防火墙1口，防火墙0口与公司现有网络交换机连接，用console线将防火墙与PC连接到一起。 2、打开PC运行超级终端，出现新建连接界面，随便输入名称确定，出现借口选择界面，选择相应的COM口即可，确定出现COM口属性设置，恢复默认即可。 3、进入防火墙出现Pre-configure PIX Firewall now through interactive prompts yes? 意思是否进入交互配置对话模式 选择N 4、进入防火墙的命令提示符界面，ciscoasa 在后面输入enable 进入特权模式 ciscoasa#在后面输入conf t 进入全局配置模式。这时。就可以对防火墙进行配置了。 5、配置防火墙名 ciscoasa(config)# hostname dyq 配置防火墙密码 (config)#enable passwordadmin 配置IP dyq(config)# interface vlan1 dyq(config-if)# ip address51 dyq(config-if)# no shutdown dyq(config-if)#security-level 0 dyq(config-if)#nameif outside dyq(config-if)#exit dyq(config)# interface vlan 2 dyq(config-if)#ip address dyq(config-if)#no shutdown dyq(config-if)#security-level 100dyq(config-if)#nameif inside dyq(config-if)#exit 将e0和e1口加入VLAN dyq(config)#interface ethernet 0/0 dyq(config-if)#no shutdowndyq(config-if)# switchport access vlan 1 dyq(config-if)# exitdyq(config)#interface ethernet 0/1 同上配置telnet远程登录 dyq(config)#telnet 0 0 inside 配置telnet远程登录密码 dyq(config)#passwordadmin 配置访问控制列表 dyq(config)#access-list acl_out extended permit tcp any any eq www dyq(config)#access-list acl_out extended permiticmp any any dyq(config)#access-list acl_out extended permit tcp any host eq 1433 dyq(config)#access-list acl_out extended permit tcp any host eq8080 dyq(config)#access-list acl_out extended permit tcp any host eq445 dyq(config)#access-list acl_out extended permit tcp any host eq1433 dyq(config)#access-list acl_out extended permit tcp any host eqwww 允许主机开放80端口 acl_out 为访问控制列表号 验证访问控制列表 show access-list 配置路由 dyq(config)#route outside 0 0 验证 show route 配置静态NAT dyq(config)#static (inside,outside) 0netmask 55 dyq(config)#static (inside,outside) 0netmask 55 dyq(config)#static (inside,outside) 0netmask 55 IP地址转换内网IP172.168.1.x转换为外网IP192.168.0.x 配置动态NAT（PAT）d