ASA防火墙基本配置.docxVIP

PAGE1 / NUMPAGES1 一、基本配置 #hostname name//名字的设置 //进入接口 #nameif outside//配置接口名为outside #security-level 0//设置安全级别。级别从0--100，级别越高安全级别越高#ip address 218.xxx.xxx.xxx48 //设置外部ip地址 #no shutdown //进入接口 #nameif inside//配置接口名为inside #security-level 100//设置安全级别。级别从0--100，级别越高安全级别越高#ip address //设置ip地址 #duplex full//xx #speed 100//速率 #no shutdown //进入接口 #nameif dmz//配置接口名为dmz #security-level 50//设置安全级别。级别从0--100，级别越高安全级别越高#ip address //设置dmz接口ip地址 #no shutdown //进入管理接口 # nameif guanli//接口名 # security-level 100//安全级别 #ip address //IP地址 注意： security-level 配置安全级别。默认外网接口为安全级别默认为0 内网接口为安全级别默认为100 dmz 接口为安全级别默认为50 默认情况下，相同安全级别接口之间不允许通信，可以使用以下命令： #same-security-traffic permit interface//允许相同安全级别接口之间互相通信。 较高安全接口访问较低安全接口： 允许所有基于IP的数据流通过，除非有ACL访问控制列表，认证或授权的限制。 较低安全接口访问较高安全接口： 除非有conduit或acl进行明确的许可，否则丢弃所有的数据包。二、global、nat、static、route命令 1、global命令 if_name: 指的是接口 nat_id: 为地址池的ID标识号 指定的IP地址池范围，也可以是一个地址例： global(outside) 1 47-49//配置一个地址池 48所有子网范围内的地址 2、nat命令 （1）基本用法 if_name: 指的是接口 nat_id: 为地址池的ID标识号，即global中定义的nat_id 哪些地址转换到nat_id这个地址池上。 (2)动态内部nat转换（多对多） 例： global(outside) 1 47-49//配置一个地址池 nat (inside)1//和上面的global配置一起使用，即把 这个网段的地址转换为47-49这个网段 (3) pat (多对一nat) 当多个ip地址转换为一个ip地址时，就自动在外部IP地址的后面加上大于1024的端口号，以区别不同的转换访问。 global(outside) 1 47//配置一个外部地址 nat (inside)1//和上面的global配置一起使用，即把 这个网段的地址转换为47这个外部IP地址。外部人看到的是自动加了端口号的地址。 (4)策略nat global(outside) 1 00//定义一个地址 (5)动态外部nat转换 当低级别的想往高级别的转换时，在后面加outside关键字即可。 nat (dmz) 1 outside //把dmz接口下的地址nat 到inside接口中global(inside) 1 0-0//即dmz接口中的网段的地址访问内网时，将转换为内网地址为0-0 (6)nat 0即nat 免除 nat 0表示穿过防火墙而不进行nat转换。即表示地址不经过转换直接作为源地址发送穿过防火墙达到低级别安全接口。 nat (dmz) 0 55 注意： 执行nat的顺序： nat 0 (nat免除） 静态nat和静态pat (即static命令） 策略动态nat (nat access-list) 正常的动态nat和pat (nat) 3、static映射命令 充许一个位于低安全级别接口的流量，穿过防火墙达到一个较高级别的接口。即数据流从较低安全级别接口到较高安全级别。 (1)常用方法： 较高级别接口名mapped_ifname: 较低级别接口名 mapped_ip: 较低级别接口ip地址interface: 较低级别接口real_ip： 较高级别ip地址扩号内的顺序是： 先高级别后低级别，扩号外的顺序是先低级别后高级别，正好相反。 例： static (insideoutside)34//即把34这个外部地址映射到内部地址上。 (2)静态端口映射 real_ifname : 较高级别接口名mapped