思科AA防火墙命令.docVIP

ASA配置命令 (config)#hostname asa802 配置主机名 (config)#domain-name 配置域名 (config)#enable password asa802 配置特权密码 (config)#passwd cisco 配置远程登录密码（TELNET，SSH） (config-if)#nameif inside 配置接口名字 (config-if)#security-level 100 安全级别（0-100） (config)#route 接口名 目标网段和掩码 下一跳 配置路由 #show route 查看路由表 配置TELNET接入 (config)#telnet (network|ip-address) mask interface-name 例: (config)#telnet inside 允许/24 telnet (config)#telnet timeout minutes（1~1440分钟默认5分钟） 配置空闲超时时间 配置SSH接入 为防火墙分配一个主机名和域名，因为生成RSA密匙对需要用到主机名和域名 生成RSA密匙对（config）#crypto key generate rsa modulus （512 | 768 | 1024 | 2048） （3） 配置防火墙允许SSH接入 (config)#ssh inside (config)#ssh version （1|2） SSH版本 (config)#ssh timeout 30 配置SSH超时 (config)#show ssh session 查看SSH会话 配置ASDM接入（自适应安全设备管理器） 启用防火墙HTTPS服务器功能 (config)#http server enable (port) 默认使用443端口 配置防火墙允许HTTPS接入 (config)#http {network|ip-address} mask interface-name 指定ASDM映像的位置 (config)#asdm image disk0：/asdmfile 配置客户端登录使用的用户名和密码 (config)#username user password password privilege 15 客户端使用ASDM步骤 （1）从网站下载安装jiava runtime environment （JRE），这里下载的是jre-6u10-windows-i586-p.exe (2) 在主机PC1上启动IE浏览器 ，输入ASA的IP地址 NAT网络地址转换 (config)#nat (interface_name) id local_ip mask (启用nat-control，可以使用nat0 指定不需要被转换的流量) 如：(config)#nat （inside）1 GLOBAL命令 (config)#global (interface-name) nat-id (global-ip 【-global-ip】) 如: (config)#global (outside) 1 00-50 (config)#global （outside）1 Internet 查看地址转换条目 show xlate 配置ACL (config)#access-list in_to_out deny ip any 应用到接口(config)#access-group in_to_out in interface inside 启用nat-control后从低安全级别访问高安全级别要配置NAT规则 Static NAT (config)#static (dmz,outside) 53 如要让外网的主机访问DMZ的WEB站点 (config)#static (dmz,outside) 53 (config)#access-list out_to_dmz permit tcp any host 53 eq www (config)#access-group out_to_dmz in interface outside ICMP协议 (config)#access-list 100 permit icmp any any echo-reply (config)#access-list 100 permit icmp any any echo-unreachable (config)#access-list 100 permit icmp any any time-exc