您当前的位置:首页 > 电脑百科 > 网络技术 > 网络设置

思科ASA防火墙常用配置

时间:2020-03-19 11:28:10  来源:  作者:

一、设备登录

 

登录方式:

内网使用协议:telnet

内网登录IP地址:192.168.201.6

外网使用协议:ssh

外网登录IP地址:XXX.XXX.XXX.XXX

用户名:cisco

密码:123456

特权密码:123456

 

原创:思科ASA防火墙常用配置

 

二、安全区域及IP地址

 

interface GigabitEthernet0/1 //进入接口

nameif outside1 //配置安全区域名称(可自行编写)

security-level 0 //配置安全区域安全等级(默认outside为0,inside为100,高安全等级能够访问低安全等级,低安全等级不能访问高安全等级内容,除非使用访问控制列表permit)

ip address 218.246.213.75 255.255.255.240 //配置接口IP地址

 

DMZ区也是一个安全区域,创建区域的目的是为了区域之间做访问控制、攻击检测和隔离,外网outside1到inside区域需要做攻击检测,创建DMZ区域的目的是将一部分需要隔离的主机访问其他区域也做检测,类似于交换机的VLAN,内网分为DMZ VLAN和inside VLAN,这样就可以给DMZ VLAN和inside VLAN之间做访问控制策略了。

 

DMZ区域举例:

interface GigabitEthernet0/7 //进入接口

nameif DMZ //配置安全区域名称(可自行编写)

security-level 50 //配置安全区域安全等级(默认outside为0,inside为100,高安全等级能够访问低安全等级,低安全等级不能访问高安全等级内容,除非使用访问控制列表permit)

ip address 172.16.50.1 //配置接口IP地址

 

三、配置路由(路由冗余)

路由优先级数字越小,优先级越高

route outside2 0.0.0.0 0.0.0.0 181.12.111.1 2 //outside2安全区域默认路由

route outside1 0.0.0.0 0.0.0.0 238.201.237.1 3 //outside1安全区域默认路由

route inside 172.16.1.0 255.255.255.0 192.168.202.25 1

//inside安全区域明细路由,访问172.16.1.0网段,下一条为192.168.202.25(核心交换机)

 

四、配置上网NAT

object network internet1 //创建允许上网的网段

subnet 0.0.0.0 0.0.0.0

object network internet2

subnet 0.0.0.0 0.0.0.0

 

object network internet1

nat (inside,outside1) dynamic interface //允许所有网段均可上网

object network internet2

nat (inside,outside2) dynamic interface

 

不允许上网网段通过访问控制列表限制

五、端口映射

object network mailowa110 //创建映射内网地址的object项,名称自取

host 192.168.203.12 //添加需要映射的内网服务器地址

nat (inside,outside1) static 238.106.237.19 service tcp pop3 pop3

//配置端口映射,外网可以通过238.106.237.19地址访问192.168.203.12服务器的pop3(110)端口

 

开放相关访问控制(需要添加在deny条目之前)

access-list outside1-inside extended permit permit tcp any host 238.106.237.19 eq 110

 

access-list outside1-inside extended deny ip any any

 

默认访问控制列表禁用所有IP,端口映射后需要在访问控制列表中添加

六、反向映射(用于内网访问外网端口)

same-security-traffic permit inter-interface

same-security-traffic permit intra-interface //打开反向映射功能

 

object network oa_outside-inside //创建映射内网地址的object项,名称自取

host 192.168.202.53 //添加需要映射的内网服务器地址

object network oa-outside //创建映射外网地址的object项,名称自取

host 238.106.237.19 //添加需要映射的外网服务器地址

object service tcp80 //创建映射的服务object项,名称自取

service tcp destination eq www //添加80端口

 

nat (inside,inside) source static any interface destination static oa-outside oa_outside-inside service tcp80 tcp80

 

//映射服务,调用上面所创建object,让访问inside区域访问outside区域端口映射的主机直接通过内网服务器端口访问

七、访问控制列表

例:内网172.16.110.0段(厂房扫码使用)不允许访问外网

 

access-list inside-outside extended deny ip 172.16.110.0 255.255.255.0 any

//创建名称为"inside-outside"的禁止172.16.110.0段访问任何网络的表项

access-list inside-outside extended permit ip any any

//创建允许所有网段都允许的表项

access-group inside-outside in interface inside

//应用在防火墙"inside"区域"in"方向,即可

 

八、双联路负载(策略路由)

access-list yidong1 extended permit ip 172.16.200.0 255.255.255.0 any

access-list yidong1 extended permit ip 172.16.30.0 255.255.254.0 any

access-list yidong1 extended permit ip 172.16.100.0 255.255.254.0 any

access-list yidong1 extended permit ip 172.16.110.0 255.255.255.0 any

access-list yidong1 extended permit ip 172.16.111.0 255.255.255.0 any

access-list yidong1 extended permit ip 172.16.120.0 255.255.255.0 any

//创建名为yidong1的访问控制列表,列表中为需要指定走那条公网的内网网段

 

route-map yidong permit 10 //创建名为yidong的策略

match ip address yidong1 //匹配上面创建的"yidong1"列表

set ip default next-hop 238.106.237.19 //指定匹配"yiding1"列表的下一条指向"238.106.237.19"(移动IP)

 

interface GigabitEthernet0/0 //进入inside接口

policy-route route-map yidong //调用"yidong"策略,即可

 

九、DHCP配置

防火墙DHCP配置不能配置网关,网关已经被指定为相应安全区域接口地址

dhcpd address 192.168.1.2-192.168.1.254 management

//为management安全区域分配IP地址段为"192.168.1.2到192.168.1.254"

dhcpd enable management

//为management安全区域开启DHCP功能

dhcpd DNS 114.114.114.114 8.8.8.8 interface management

//为management安全区域配置DNS



Tags:思科ASA   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一、设备登录 登录方式:内网使用协议:telnet内网登录IP地址:192.168.201.6外网使用协议:ssh外网登录IP地址:XXX.XXX.XXX.XXX用户名:cisco密码:123456特权密码:123456 二、安全区域...【详细内容】
2020-03-19  Tags: 思科ASA  点击:(467)  评论:(0)  加入收藏
▌简易百科推荐
这几年来,随着国家提速降费政策的执行,百兆网甚至千兆网已经步入千万寻常百姓家,而伴随这几年Wi-Fi技术的发展,Wi-Fi 6路由器也步入了平价时代。但甭管家里用的Wi-Fi 5还是Wi-Fi...【详细内容】
2021-12-16  中关村在线    Tags:Wi-Fi   点击:(12)  评论:(0)  加入收藏
静态NAT有些环境需要单独指定公网IP地址上网,可以使用静态NAT的方式来实现1、AR路由器的配置<Huawei>system-view #进入系统视图Enter system view, return user view with...【详细内容】
2021-12-15  sn7696    Tags:路由器配置   点击:(18)  评论:(0)  加入收藏
华为 1、配置设备间的网络互联。#配置设备各接口的IP地址,配置SwitchA。system-viewsysname switchAvlan batch 100 300interface gigabitethernet 1/0/1port link-type hyb...【详细内容】
2021-12-07  大海的日常随记    Tags:VRRP   点击:(19)  评论:(0)  加入收藏
当今时代,人人离不开网络。出门坐地铁乘公交都需要出示“健康码”,居家点外卖、打游戏、追剧都离不开流量。尤其是游戏玩家,想象一下,当你马上要“五杀”了,结果你的网络亮了红灯...【详细内容】
2021-12-01  限量版Rita    Tags:路由器   点击:(37)  评论:(0)  加入收藏
路由器安装设置共分两个步骤,依次是”路由器与光猫“串联,“宽带账号写入路由器”即可,接下来我就讲解操作步骤。 步骤一首先将路由器与光猫串联,用网线一端连接至“光猫”的LAN...【详细内容】
2021-11-22  电脑技师大明    Tags:路由器   点击:(36)  评论:(0)  加入收藏
无线路由器的使用方法通常是插上网线,让设备发出WIFI无线信号,所有的无线设备都是通过这个WIFI信号接入互联网、或者局域网中,这是把有线转成无线的典型应用,平时我们见到最多的...【详细内容】
2021-11-15  奥赛德邢老师    Tags:WiFi信号   点击:(35)  评论:(0)  加入收藏
当电脑无法上网,显示电脑连不上wifi的时候怎么办呢?很多网友都遇到过这种问题,不知道为什么连不上wifi?导致出现这个问题的原因很多,下面小编就教下大家常见的详解为什么电...【详细内容】
2021-11-10  小白系统    Tags:无线网络   点击:(52)  评论:(0)  加入收藏
如何在windows 10电脑上添加删除静态路由环境和需求:假设本机电脑是192.168.0.0/24网段,现在电脑要访问一个172.16.10.0/24的网段,现在没有可达路由,就需要手动添加静态路由了...【详细内容】
2021-11-05  菜鸟年华记    Tags:静态路由   点击:(60)  评论:(0)  加入收藏
采用VXLAN实现不同站点主机跨三层网络实现二层互通:PCA和PCB分别模拟两个不同站点的主机; PCA和PCB处在不同VLAN,但处于同一个VXLAN; 通过配置VXLAN实现PCA和PCB之间跨三层的二...【详细内容】
2021-11-05  wljslmz    Tags:H3C交换机   点击:(49)  评论:(0)  加入收藏
随着时代的发展,多数朋友家中都已接入有线宽带,在畅游网络的同时也并发着诸多问题。比如部分房间WIFI信号始终只有1至2格,这样将会大大降低无线网络的利用率。这时我们便可以通...【详细内容】
2021-10-29  玩手机的张先生    Tags:有线桥接   点击:(70)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条