2-2.3ASA防火墙配置介绍.ppt

ASA Firewall 课程目标 WHY TO ASA5500 ASA与PIX(早期产品)比较 WHY TO ASA5500 ASA与PIX(早期产品)比较 ASA防火墙的初始连接 ASA防火墙的初始连接 利用专用的配置线缆将PC机和防火墙的console端口相连。然后打 开超级终端，选择使用COM1端口连接。（如果有多个COM端口也可以选择其它空闲的端口），端口属性如下图： ASA防火墙的初始连接 防火墙出厂配置：为了简化配置，可以采用图形界面管理（ASDM） ASA防火墙的初始连接 ASDM（Adaptive Security Device Manager） ASA防火墙基本配置 防火墙的工作模式 router模式 ： 具有路由器功能，默认模式 transparent模式 ：执行数据链路层的数据转发 开启transparent模式： hostname(config)# firewall transparent 关闭transparent模式： hostname(config)#no firewall transparent ASA防火墙基本配置 防火墙的接口配置 hostname(config)# interface physical_interface $进入接口模式后，可以对接口的很多基本参数作设置： hostname(config-if)# speed {auto | 10 | 100 | 1000 | nonegotiate} $配置接口的速度，其中auto是默认的，而nonegotiate表示关闭链路流通。 hostname(config-if)# duplex {auto | full | half} $配置接口的工作模式是否是自动、全双工或半双工，默认模式是auto。 hostname(config-if)# no shutdown $激活接口 hostname(config-if)# nameif name $命名防火墙接口，name可以是不超过48字符的字符串； hostname(config-if)# security-level number $设置防火墙接口的安全等级，number是一个0到100之间的整数，0级别 最低，100级别最高。 hostname(config-if)# ip address ip_address [mask] $设置防火墙接口的IP地址 ASA防火墙基本配置 防火墙基本全局参数设置 hostname(config)# {passwd | password} password $更改防火墙的远程登录密码，一般针对Telnet和SSH远程登录方式，默认密码是cisco。更改后密码的长度最长是16字符，而且大小写敏感，不允许出现？和空格。 hostname(config)# enable password password $设置进入防火墙特权模式的密码，该密码格式要求和远程登录密码一样。 hostname(config)# hostname name $设置防火墙的主机名，主机名必须以字母或数字开头或结束的并可以带有连接符的字符串，该字符串的最大长度是63。 ASA防火墙基本配置 防火墙IP路由设置 添加一条静态路由的命令如下： hostname(config)# route if_name dest_ip mask gateway_ip 而缺省路由的命令格式如下： hostname(config)# route if_name gateway_ip 缺省路由忽略了所有的目的网络地址和它的子网掩码，表示所有的数据包都转发给了gateway。 例如： hostname(config)# route outside 表示建立一条从outside接口出去经过到达目标网络/24的静态路由。 hostname(config)# route outside 0 0 表示建立一条从outside接口出去经过到达任何目的地的缺省路由。 ASA防火墙安全策略设置 访问控制列表 标准访问控制列表 hostname(config)#access-list access_list_name standard {deny | permit} {any | ip_address mask} 扩展访问控制列表 hostname(config)# access-list a