《Cisco ASA 防火墻基礎(chǔ)》由會員分享，可在線閱讀，更多相關(guān)《Cisco ASA 防火墻基礎(chǔ)（26頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,*,Cisco ASA,防火墻基礎(chǔ),臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,2,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,ASA,的基本配置一般包括：,配置主機(jī)名、域名和密碼,配置接口,配置路由,配置遠(yuǎn)程管理接入,為出站流量配置網(wǎng)絡(luò)地址轉(zhuǎn)換,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,配置接口,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,配置接口,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系

2、,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,為出站流量配置網(wǎng)絡(luò)地址轉(zhuǎn)換,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,asa#conf t,asa(config)#hostname asa/,設(shè)置主機(jī)名,asa(config)#enable password cisco/,設(shè)置密碼配置外網(wǎng)的接口，名字是,outside,，安全級別,0,，輸入,ISP,給您提供的地址就行了。,asa(config)#interface GigabitEthernet0/0,asa(config-if)#nameif o

3、utside/,名字是,outside,asa(config-if)#securit-level 0/,安全級別,0,asa(config-if)#ip address*.*.*.*255.255.255.0/,配置公網(wǎng),IP,地址,asa(config-if)#duplex full,asa(config-if)#,asa(config-if)#no shutdown,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,配置內(nèi)網(wǎng)的接口，名字是,inside,，安全級別,100,asa(config)#interface GigabitEthernet0/1,asa(config-if)#nameif inside,a

4、sa(config-if)#securit-level 100,asa(config-if)#duplex full,asa(config-if)#speed 100,asa(config-if)#no shutdown,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,配置,DMZ,的接口,名字是,dmz,，安全級別,50asa(config)#interface GigabitEthernet0/2asa(config-if)#nameif dmzasa(config-if)#securit-level 50asa(config-if)#duplex fullasa(config-if)#asa(config)#

5、no shutdown,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,網(wǎng)絡(luò)部分設(shè)置,asa(config)#nat(inside)1 192.168.1.1 255.255.255.0asa(config)#global(outside)1 222.240.254.193 255.255.255.248asa(config)#nat(inside)0 192.168.1.1 255.255.255.255/,表示,192.168.1.1,這個地址不需要轉(zhuǎn)換。直接轉(zhuǎn)發(fā)出去。,asa(config)#global(outside)1 133.1.0.1-133.1.0.14/,定義的地址池,asa(config)#n

6、at(inside)1 0 0/0 0,表示轉(zhuǎn)換網(wǎng)段中的所有地址。定義內(nèi)部網(wǎng)絡(luò)地址將要翻譯成的全局地址或地址范圍,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,配置靜態(tài)路由,asa(config)#route outside 0 0 133.0.0.2,/,設(shè)置默認(rèn)路由,133.0.0.2,為下一跳,如果內(nèi)部網(wǎng)段不是直接接在防火墻內(nèi)口，則需要配置到內(nèi)部的路由。,asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,地址轉(zhuǎn)換,asa(config)#static(dmz,，,outside)133.1.0.1 1

7、0.65.1.101;,靜態(tài),NAT,asa(config)#static(dmz,，,outside)133.1.0.2 10.65.1.102;,靜態(tài),NAT,asa(config)#static(inside,，,dmz)10.66.1.200 10.66.1.200;,靜態(tài),NAT,如果內(nèi)部有服務(wù)器需要映射到公網(wǎng)地址,(,外網(wǎng)訪問內(nèi)網(wǎng),),則需要,static,asa(config)#static(inside,outside)222.240.254.194 192.168.1.240,asa(config)#static(inside,outside)222.240.254.194

8、192.168.1.240 10000 10,/,后面的,10000,為限制連接數(shù)，,10,為限制的半開連接數(shù),臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,ACL,實現(xiàn)策略訪問,asa(config)#access-list 101 permit ip any host 133.1.0.1 eq www;,設(shè)置,ACL,asa(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;,設(shè)置,ACL,asa(config)#access-list 101 deny ip any any;,設(shè)置,ACL,asa(config)#access-group 101 in interface outside;,將,ACL,應(yīng)用在,outside,端口當(dāng)內(nèi)部主機(jī)訪問外部主機(jī)時，通過,nat,轉(zhuǎn)換成公網(wǎng),IP,，訪問,internet,。當(dāng)內(nèi)部主機(jī)訪問中間區(qū)域,dmz,時，將自己映射成自己訪問服務(wù)器，否則內(nèi)部主機(jī)將會映射成地址池的,IP,，到外部去找。當(dāng)外部主機(jī)訪問中間區(qū)域,dmz,時，對,133.0.0.1,映射成,10.65.1.101,，,static,是雙向的。,PIX,的所有端口默認(rèn)是關(guān)閉的，進(jìn)入,PIX,要經(jīng)過,acl,入口過濾。靜態(tài)路由指示內(nèi)部的主機(jī)和,dmz,的數(shù)據(jù)包從,outside,口出去。,臺州職業(yè)技術(shù)學(xué)院計算機(jī)系,