ASA-NAT配置指南

ASA配置指南文档属性文档历史序号版本号修订日期修订人修订内容1.V1.0郑鑫文档初定2.3.4.属性内容标题思科ASA防火墙配置指南邮箱zx_network@163.com文档传播范围发布日期2014.7.XX目录一、文档说明....................................................................................................................5二、基础配置....................................................................................................................6(一)查看系统信息............................................................................................................6(二)版本区别简介............................................................................................................6(三)接口配置与安全级别简介........................................................................................7(四)NTP配置...................................................................................................................8(五)SNMP配置.................................................................................................................9(六)telnet配置.................................................................................................................9(七)SSH配置.....................................................................................................................9(八)配置管理..................................................................................................................10(九)常用设备排错命令..................................................................................................10三、NAT静态方向写法..................................................................................................12(一)传统静态NAT配置方向写法.................................................................................12(二)新静态NAT配置方向写法.....................................................................................15四、NAT配置举例..........................................................................................................16(一)DynamicNAT............................................................................................................16(二)StaticNAT.................................................................................................................27(三)IdentityNAT.............................................................................................................34(四)NAT免除..................................................................................................................40(五)TwiceNAT（策略NAT）.........................................................................................40(六)NAT执行顺序..........................................................................................................52五、状态化应用监控......................................................................................................53(一)状态化监控策略配置..............................................................................................53(二)路由、NAT、ACL、策略执行顺序.........................................................................57六、failover.....................................................................................................................65(一)配置failover............................................................................................................65(二)配置A/A...................................................................................................................76一、文档说明本文档主要介绍思科ASA防火墙在版本8.2之前与版本8.3之后配置区别和常用的一些管理和运维命令，如：系统管理、防火墙策略、NAT、日志配置等。思科ASA防火墙目前新出厂的设备都在8.3以后，但有很多老的设备都在8.2以前，所以本文档通过使用ASA8.0与8.4这两个版本来介绍。请读者打开文档中的显示批注功能，文档中有部分批注内容。二、基础配置(一)查看系统信息//ASASoftware8.4//ASASoftware8.0(二)版本区别简介两个版本除了在技术NAT和ACL配置方式有所不同外，其他技术配置方式都相同。NAT：两个版本的NAT配置的动作和效果都是相同的，但配置方式都不通，详细见NAT配置举例。ACL：8.2之前的版本在放行inbound流量时放行的是映射的虚IP，而8.3以后的新版本放行inbound流量时是内网的真实IP，详细见配置举例。(三)接口配置与安全级别简介默认情况下，所有接口都是shutdown，也就是说没有流量可以穿越任何一个接口都必须设置安全级别，范围从0-100，数字越高表示越可信intx/xsecurity-level[0-100]在使用nameif命令配置接口名称时，ASA会给这个接口分配一个预定义的安全级别当名称为inside时级别为100（mosttrust），其它名称都为0（leasttrust）一个接口必须在配置了接口名称（nameif）之后才可转发流量intx/xnameif[name]防火墙默认安全策略Outbound流量：从“高安全级别”到“低安全级别”Inbound流量：从“低安全级别”到“高安全级别”Outbound流量，默认PermitanyInbound流量，默认Denyany状态化包监控：默认对于TCP和UDP协议报文在穿越防火墙时，会自动在出接口形成反向放行策略。该策略优先于接口默认策略。除了TCP/UDP的其他协议默认都不会有状态化表项来创建反向放行策略。(比如ICMP）(四)NTP配置ntptrusted-key1//为所有NTP服务器定义key-id为1ntpauthentication-key1md5cisco123//cisco123是key-id1的密钥ntpserver192.168.10.15key1sourceinside//inside指定ntp服务器在哪个接口方向ntpserver192.168.10.16key1sourceinsideprefer//定义优先的服务器ntpauthenticate//启用认证showntpstatus//查看NTP状态信息(五)SNMP配置snmp-serverhostinside1.1.1.1communitycisco123versionX//定义SNMPserver、字符串、版本snmp-serverenable//启用SNMPsnmp-serverenabletrapsall//发送所有snmp支持的信息showsnmp-serverstatistics//查看输出信息(六)telnet配置usernameciscopasswordciscoaaaauthenticationtelnetconsoleLOCAL//使用本地认证passwdcisco123//使用密码认证telnet1.1.1.1inside//允许inside接口的1.1.1.1telnet到本ASA防火墙上。telnettimeout5//5分钟后超时（根据版本是秒或者是分钟）kill0//断开会话为0的连接(七)SSH配置usernameciscopasswordciscoaaaauthenticationsshconsoleLOCAL//使用本地认证Cryptokeygeneratersa//自动产生密钥对（公钥、私钥），默认长度1024Showcryptokeymypubkeyrsa//查看生成的密钥对Ssh1.1.1.1outside//允许outside源为1.1.1.1的IP使用ssh登陆方式连接ASA。Sshtimeout5//5分钟后超时（根据版本是秒或者是分钟）S