asa5520常用配置.docVIP

asa5520常用配置 asa5520 基本配置 2011-05-10 13:22:49| 分类： 默认分类 | 标签： |字号大中小 订阅 . 一般网络机构来理解asa5520 外网asa5520分别是内网和dmz asa配置都在全局模式下配置，很多跟cisco路由交换的一样（大同小异） 第一次连接防火墙时有个初始化配置 主要有配置密码，时间，内部ip，和管理ip 1、配置主机名、域名、和密码 主机名：ciscoasa5520（config）#hostname 5520 域名： 5520（config）#domain—name 123.com 密码：5520（config）#enable password asa5520 （特权密码） 5520（config）#password cisco （telnet密码） 2、配置接口名字、安全级别 5520（config）#int f0/1 5520（config）#nameif inside (内网，dmz，outside) 5520（config）#security-level 100 （安全级别为100，dmz：50，outside：0） 5520（config）#ip add (配置ip地址) 5520（config）#no shut 5520（config）#exit 查看接口 show interface ipbrief show interface f/0 3、配置路由 5520（config）#route 接口名 目标网段 掩码 下一跳 例 上网的缺省路由 5520（config）#route outside 1 5520（config）#route inside 55 54 查看路由 show route 4、管理（启用telnet或者ssh） 5520（config）#telnet ip或网段 掩码 接口 例：5520（config）#telnet 0 inside（表示只允许这个ip地址telnet asa） 5520（config）#telnet inside （表示允许这个ip段telnet asa） 设置telnet超时 5520（config）#telnet timeout 30 单位为分 ssh为密文传送（RSA密钥对） 5520（config）#cryto key generate rsa modulus 1024 连接 5520（config）#ssh inside 5520（config）#ssh 0 0 outside 允许外网任意ip连接 配置空闲超时 ssh timeout 30 ssh version 2 5、远程接入ASDM（cisco的自适应安全管理器） 客户端可以用cisco自带的软件也可以装jre走https 启用https服务器功能 5520（config）#http server enable 端口号（越大越好） 设置允许接入网段 5520（config）#http 网段|ip 掩码 接口名 （http 0 0 outside 外网任何ip接入） 指定ASDM的映像位置 5520（config）#asdm image disk0:/asdmfilse(这个一般用show version产看版本号) 配置客户端登录使用的用户名和密码 5520（config）# username 用户名 password 密码 privilege 15 6、nat的配置（这个好像与pix类似） 5520（config）# nat （interface-名） nat-id 本地ip 掩码 5520（config）#global （接口名） nat-id 全局ip、网段或接口 例：5520（config）#nat-control （启用nat） 5520（config）#nat（inside）1 0 0 （可以指定一个网段或者全部） 5520（config）#global （outside）1 interface （这就称了pat，当然也可以写一个ip段或者一个ip） 5520（config）# global（dmz）1 00-10 意思与上差不多 这里要注意：内网到dmz区域都应是nat 如果内网到dmz用路由的话，这样可能导致黑客先攻击dmz，然后长区直入到内网。 7、acl 跟路由差不多 标准（只限定原地址） asa5520（config）#access-list acl-name standed ｛premit|deny｝ip-add mask 扩展 5520（config）#access-list acl-name extended ｛permit | deny｝protocol 源ip 源掩码 目标ip