思科ASA防火墙配置

思科ASA防火墙配置要想配置思科的防火墙得先了解这些命令：常用命令有：nameif、interface、ipaddress、nat、global、route、static等。global指定公网地址范围：定义地址池。Global命令的配置语法：global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]其中：(if_name)：表示外网接口名称，一般为outside。nat_id：建立的地址池标识(nat要引用)。ip_address-ip_address：表示一段ip地址范围。[netmarkglobal_mask]：表示全局ip地址的网络掩码。nat地址转换命令，将内网的私有ip转换为外网公网ip。nat命令配置语法：nat(if_name)nat_idlocal_ip[netmark]其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。local_ip：表示内网的ip地址。对于0.0.0.0表示内网所有主机。[netmark]：表示内网ip地址的子网掩码。routeroute命令定义静态路由。语法：route(if_name)00gateway_ip[metric]其中：(if_name)：表示接口名称。00：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。[metric]：路由花费。缺省值是1。static配置静态IP地址翻译，使内部地址与外部地址一一对应。语法：static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address其中：internal_if_name表示内部网络接口，安全级别较高，如inside。external_if_name表示外部网络接口，安全级别较低，如outside。outside_ip_address表示外部网络的公有ip地址。inside_ip_address表示内部网络的本地ip地址。(括号内序顺是先内后外，外边的顺序是先外后内)例如：asa(config)#static(inside，outside)133.0.0.1192.168.0.8表示内部ip地址192.168.0.8，访问外部时被翻译成133.0.0.1全局地址**************************************************************************asa#conftasa(config)#hostnameasa//设置主机名asa(config)#enablepasswordcisco//设置密码配置外网的接口，名字是outside，安全级别0，输入ISP给您提供的地址就行了。asa(config)#interfaceGigabitEthernet0/0asa(config)#nameifoutside//名字是outsideasa(config)#securit-level0//安全级别0asa(config)#ipaddress*.*.*.*255.255.255.0//配置公网IP地址asa(config)#duplexfullasa(config)#asa(config)#noshutdown配置内网的接口，名字是inside，安全级别100asa(config)#interfaceGigabitEthernet0/1asa(config)#nameifinsideasa(config)#securit-level100asa(config)#duplexfullasa(config)#speed100asa(config)#noshutdown配置DMZ的接口,名字是dmz，安全级别50asa(config)#interfaceGigabitEthernet0/2asa(config)#nameifdmzasa(config)#securit-level50asa(config)#duplexfullasa(config)#asa(config)#noshutdown网络部分设置asa(config)#nat(inside)1192.168.1.1255.255.255.0asa(config)#global(outside)1222.240.254.193255.255.255.248asa(config)#nat(inside)0192.168.1.1255.255.255.255//表示192.168.1.1这个地址不需要转换。直接转发出去。asa(config)#global(outside)1133.1.0.1-133.1.0.14//定义的地址池asa(config)#nat(inside)100//00表示转换网段中的所有地址。定义内部网络地址将要翻译成的全局地址或地址范围配置静态路由asa(config)#routeoutside00133.0.0.2//设置默认路由133.0.0.2为下一跳如果内部网段不是直接接在防火墙内口，则需要配置到内部的路由。asa(config)#Routeinside192.168.10.0255.255.255.0192.168.1.11地址转换asa(config)#static(dmz，outside)133.1.0.110.65.1.101;静态NATasa(config)#static(dmz，outside)133.1.0.210.65.1.102;静态NATasa(config)#static(inside，dmz)10.66.1.20010.66.1.200;静态NAT如果内部有服务器需要映射到公网地址(外网访问内网)则需要staticasa(config)#static(inside,outside)222.240.254.194192.168.1.240asa(config)#static(inside,outside)222.240.254.194192.168.1.2401000010//后面的10000为限制连接数，10为限制的半开连接数ACL实现策略访问asa(config)#access-list101permitipanyhost133.1.0.1eq设置ACLasa(config)#access-list101permitipanyhost133.1.0.2eqftp;设置ACLasa(config)#access-list101denyipanyany;设置ACLasa(config)#access-group101ininterfaceoutside;将ACL应用在outside端口当内部主机访问外部主机时，通过nat转换成公网IP，访问internet。当内部主机访问中间区域dmz时，将自己映射成自己访问服务器，否则内部主机将会映射成地址池的IP，到外部去找。当外部主机访问中间区域dmz时，对133.0.0.1映射成10.65.1.101，static是双向的。PIX的所有端口默认是关闭的，进入PIX要经过acl入口过滤。静态路由指示内部的主机和dmz的数据包从outside口出去。思科ASA和PIX防火墙配置手册一、配置基础1.1用户接口思科防火墙支持下列用户配置方式：Console，Telnet，SSH（1.x或者2.0，2.0为7.x新特性，PDM的http方式（7.x以后称为ASDM）和VMS的FirewallManagementCenter。支持进入RomMonitor模式，权限分为用户模式和特权模式，支持Help，History和命令输出的搜索和过滤。注：Catalyst6500的FWSM没有物理接口接入，通过下面CLI命令进入：Switch#sessionslotslot[/i]processor1（FWSM所在slot号）用户模式：Firewall为用户模式，输入enable进入特权模式Firewall#。特权模式下可以进入配置模式，在6.x所有的配置都在一个全局模式下进行，7.x以后改成和IOS类似的全局配置模式和相应的子模式。通过exit，ctrl-z退回上级模式。配置特性：在原有命令前加no可以取消该命令。Showrunning-config或者writeterminal显示当前配置，7.x后可以对showrun的命令输出进行搜索和过滤。Showrunning-configall显示所有配置，包含缺省配置。Tab可以用于命令补全，ctrl-l可以用于重新显示输入的命令（适用于还没有输入完命令被系统输出打乱的情况），help和history相同于IOS命令集。Show命令支持begin，include，exclude，grep加正则表达式的方式对输出进行过滤和搜索。Terminalwidth命令用于修改终端屏幕显示宽度，缺省为80个字符，pager命令用于修改终端显示屏幕显示行数，缺省为24行，pagerlines0命令什么效果可以自己试试。1.2防火墙许可介绍防火墙具有下列几种许可形式，通过使用showversion命令可以看设备所支持的特性：Unrestricted(UR)所有的限制仅限于设备自身的性能，也支持FailoverRestricted(R)防火墙的内存和允许使用的最多端口数有限制，不支持FailoverFailover(FO)不能单独使用的防火墙，只能用于FailoverFailover-Active/Active(FO-AA)只能和UR类型的防火墙一起使用，支持active/activefailover注：FWSM内置UR许可。activation-key命令用于升级设备的许可，该许可和设备的serialnumber有关（showversion输出可以看到），6.x为16字节，7.x为20字节。1.3初始配置跟路由器一样可以使用setup进行对话式的基本配置。二、配置连接性2.1配置接口接口基础：防火墙的接口都必须配置接口名称，接口IP地址和掩码（7.x开始支持IPv6）和安全等级。接口可以是物理接口也可以是逻辑接口（vlan），从6.3贾С?lt;/SPANtrunk，但只支持802.1Q封装，不支持DTP协商。接口基本配置：注：对于FWSM所有的接口都为逻辑接口，名字也是vlan后面加上vlanid。例如FWSM位于6500的第三槽，配置三个接口，分别属于vlan100,200,300.Switch(config)#firewallvlan-group1100,200,300[/i]Switch(config)#firewallmodule3[/i]vlan-group1[/i]Switch(config)#exitSwitch#sessionslot3[/i]processor1经过此配置后形成三个端口vlan100.vlan200,vlan300PIX6.xFirewall(config)#interfacehardware-id[/i][hardware-speed][shutdown]（Hardware-id可以用showversion命令看到）PIX7.xFirewall(config)#interfacehardware-id[/i]Firewall(config-if)#speed{auto|10|100|nonegotiate}Firewall(config-if)#duplex{auto|full|half}Firewall(config-if)#[no]shutdown命名接口FWSM2.xFirewall(config)#nameifvlan-idif_name[/i]securitylevel[/i]PIX6.xFirewall(config)#nameif{hardware-id|vlan-id}[/i]if_namesecuritylevel[/i]PIX