思科ASA系列防火墙相关配置

8.4版

1.主机名，ip地址配置

配置完ip地址后直连的设备可以互相ping通

(config)# hostname ASA2  //主机名

(config)# interface gigabitEthernet 0  //进入接口配置

(config-if)# ip address 222.222.222.2 255.255.255.0  //配置ip地址

(config-if)# nameif ouside   //定义接口网络类型(安全级别)，outside(安全级别0)  dmz(安全级别50)  inside(安全级别100)

(config-if)# no shutdown     //激活接口

2.配置路由

路由配置完毕后，高安全级别可以访问低安全级别区域(除icmp外)如：telnet、http等，私有网络访问公网还需要配置NAT

静态路由配置

(config)# route ouside 0.0.0.0 0.0.0.0 222.222.222.1   //防火墙的外部默认路由，默认路由要配置在外部网络

(config)# route inside 192.168.2.0 255.255.255.0  192.168.1.10  //添加内部静态路由

动态路由配置

(config)# router rip    //启用rip路由协议

(config)# version 2     //使用版本2的rip

(config-router)# no auto-summary    //关闭网络边界路由汇总

(config-router)# network 192.168.1.0  //宣告与防火墙直连的网络号

3.NAT配置

asa1# show version  //查看系统版本

Cisco Adaptive Security Appliance Software Version 8.4(2)

1）所有内部主机复用outside接口ip（PAT）

(config)# object network inside-ouside-all   //定义一个网络

(config-network-object)# subnet 0.0.0.0 0.0.0.0  //定义网络范围

(config-network-object)# nat (inside,outside) dynamic interface   //启用PAT

2）内网端口映射

情景1 将outside接口所有端口映射到一台内网主机

step 1.

定义一个网络名称（包含一台主机）

(config)# object network web-sever

(config-network-object)# host  192.168.2.2

step 2.

配置静态网络转换

(config)# nat (inside,outside) source static web-sever interface

WARNING: All traffic destined to the IP address of the outside interface is being redirected.   //所有outside接口的网络流量将被重定向

WARNING: Users may not be able to access any service enabled on the outside interface.          //outside接口的

情景2 将outside接口特定端口映射到内网服务器特定端口

(config)# object network web-server        //定义一个网络名称

(config-network-object)# host 192.168.2.2  //指定包含的主机

(config-network-object)# nat (inside,outside) static interface service tcp  8080 8080   //转换规则

4.定义ACL，允许ping （内网到外网，可以理解为允许icmp协议通过outside接口返回，但是思科默认不能ping通outside接口）

(config)# access-list 101 extended permit icmp any any   //允许ICMP协议（包含ping）

(config)# access-list 101 extended permit ip any any     //允许所有ip协议通过（包含所有tcp端口、udp 端口流量）

(config)# access-list 101 extended permit tcp any  host 192.168.2.2 eq http  //允许所有网络访问内网主机的HTTP服务

(config)# access-list 101 extended permit tcp any  host 192.168.2.2 range  3000  6000   //允许端口范围

(config)# access-group 101 in interface outside  //应用ACL到 outside接口in方向

5.开启远程管理

1）内网telnet登陆

(config)# telnet  0.0.0.0 0.0.0.0 inside

2）使用ASDM管理

(config)# copy  http://192.168.2.2/asdm-713.bin  flash:/asdm-713.bin   //上传asdm防火墙端的程序，也可以使用tftp（未测试成功）

(config)# username cisco password cisco privilege 15 //添加一个管理用户

(config)# http server enable  //启用http管理

(config)# http 0.0.0.0 0.0.0.0 inside  //设置内网可以使用asdm 的网段或主机

6.QOS流量管理

step 1.

定义ACL

以下两条是针对vlan2网段的ACL

(config)#access-list vlan2 extended permit ip 192.168.2.0 255.255.255.0 any  //匹配上行流量

(config)#access-list vlan2 extended permit ip any 192.168.2.0 255.255.255.0  //匹配下行流量

以下两条是针对vlan3网段的ACL

(config)#access-list vlan3 extended permit ip 192.168.3.0 255.255.255.0 any

(config)#access-list vlan3 extended permit ip any 192.168.3.0 255.255.255.0

step 2.

定义一个类，这个类包含了上一步定义的ACL，针对每个ACL定义一个类(主要作用是对流量分类)

(config)# class-map vlan2

(config-cmap)# match access-list vlan2   //匹配ACL

(config)# class-map vlan3

(config-cmap)# match access-list vlan3

step 3.

定义一条策略，策略可以包含对个类，针对每个类进行速率设置

(config)# policy-map  rate-limt

(config-pmap)# class vlan2  //针对vlan2的设置

(config-pmap-c)# polic input 150000 567000   //设置进入速率，前面是基本速率，后面是突发速率

(config-pmap-c)# polic output 150000 567000  //设置传出速率

(config-pmap-c)# exit  //退出

(config-pmap)# class vlan3   //针对vlan3的设置

(config-pmap-c)# polic input 150000 567000

(config-pmap-c)# polic output 150000 567000

step 4.

应用策略

(config)# service-policy rate-limt interface inside     //将策略应用到inside接口，outside接口用作PAT不建议在outside接口做。

本文转自秘飞虎51CTO博客，原文链接：http://blog.51cto.com/mifeihu/1262931 ，如需转载请自行联系原作者