ciscoASA防火墻如何配置
思科cisco是全球高端頂尖的通訊廠商,其出產的路由器功能也是世界級的,那么你知道cisco ASA防火墻如何配置的嗎?下面是學習啦小編整理的一些關于cisco ASA防火墻如何配置的相關資料,供你參考。
cisco ASA防火墻配置的方法:
常用命令有:nameif、interface、ip address、nat、global、route、static等。
global
指定公網地址范圍:定義地址池。
Global命令的配置語法:
global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中:
(if_name):表示外網接口名稱,一般為outside。
nat_id:建立的地址池標識(nat要引用)。
ip_address-ip_address:表示一段ip地址范圍。
[netmark global_mask]:表示全局ip地址的網絡掩碼。
nat
地址轉換命令,將內網的私有ip轉換為外網公網ip。
nat命令配置語法:nat (if_name) nat_id local_ip [netmark]
其中:
(if_name):表示接口名稱,一般為inside.
nat_id: 表示地址池,由global命令定義。
local_ip: 表示內網的ip地址。對于0.0.0.0表示內網所有主機。
[netmark]:表示內網ip地址的子網掩碼。
route
route命令定義靜態路由。
語法:
route (if_name) 0 0 gateway_ip [metric]
其中:
(if_name):表示接口名稱。
0 0 :表示所有主機
Gateway_ip:表示網關路由器的ip地址或下一跳。
[metric]:路由花費。缺省值是1。
static
配置靜態IP地址翻譯,使內部地址與外部地址一一對應。
語法:
static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address
其中:
internal_if_name表示內部網絡接口,安全級別較高,如inside。
external_if_name表示外部網絡接口,安全級別較低,如outside。
outside_ip_address表示外部網絡的公有ip地址。
inside_ ip_address表示內部網絡的本地ip地址。
(括號內序順是先內后外,外邊的順序是先外后內)
例如:
asa(config)#static (inside,outside) 133.0.0.1 192.168.0.8
表示內部ip地址192.168.0.8,訪問外部時被翻譯成133.0.0.1全局地址
**************************************************************************
asa#conf t
asa(config)# hostname asa //設置主機名
asa(config)#enable password cisco //設置密碼
配置外網的接口,名字是outside,安全級別0,輸入ISP給您提供的地址就行了。
asa(config)#interface GigabitEthernet0/0
asa(config)#nameif outside //名字是outside
asa(config)#securit-level 0 //安全級別0
asa(config)#ip address *.*.*.* 255.255.255.0 //配置公網IP地址
asa(config)#duplex full
asa(config)#
asa(config)#no shutdown
配置內網的接口,名字是inside,安全級別100
asa(config)#interface GigabitEthernet0/1
asa(config)#nameif inside
asa(config)#securit-level 100
asa(config)#duplex full
asa(config)#speed 100
asa(config)#no shutdown
配置DMZ的接口,名字是dmz,安全級別50
asa(config)#interface GigabitEthernet0/2
asa(config)#nameif dmz
asa(config)#securit-level 50
asa(config)#duplex full
asa(config)#
asa(config)#no shutdown
網絡部分設置
asa(config)#nat(inside) 1 192.168.1.1 255.255.255.0
asa(config)#global(outside) 1 222.240.254.193 255.255.255.248
asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255 //表示192.168.1.1這個地址不需要轉換。直接轉發出去。
asa(config)#global (outside) 1 133.1.0.1-133.1.0.14 //定義的地址池
asa(config)#nat (inside) 1 0 0 //0 0表示轉換網段中的所有地址。定義內部網絡地址將要翻譯成的全局地址或地址范圍
配置靜態路由
asa(config)#route outside 0 0 133.0.0.2 //設置默認路由 133.0.0.2為下一跳
如果內部網段不是直接接在防火墻內口,則需要配置到內部的路由。
asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
地址轉換
asa(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ;靜態NAT
asa(config)#static (dmz,outside) 133.1.0.2 10.65.1.102 ;靜態NAT
asa(config)#static (inside,dmz) 10.66.1.200 10.66.1.200 ;靜態NAT
如果內部有服務器需要映射到公網地址則需要static
asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240
asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240 10000 10 //后面的10000為限制連接數,10為限制的半開連接數
ACL實現策略訪問
asa(config)#access-list 101 permit ip any host 133.1.0.1 eq www;設置ACL
asa(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;設置ACL
asa(config)#access-list 101 deny ip any any ;設置ACL
asa(config)#access-group 101 in interface outside ;將ACL應用在outside端口
當內部主機訪問外部主機時,通過nat轉換成公網IP,訪問internet。
當內部主機訪問中間區域dmz時,將自己映射成自己訪問服務器,否則內部主機將會映射成地址池的IP,到外部去找。
當外部主機訪問中間區域dmz時,對133.0.0.1映射成10.65.1.101,static是雙向的。
PIX的所有端口默認是關閉的,進入PIX要經過acl入口過濾。
靜態路由指示內部的主機和dmz的數據包從outside口出去。
看過文章“cisco ASA防火墻如何配置"的人還看了: