一.ASA 基本配置

配置主机名：  ciscoasa#config  terminal

             ciscoasa(config)#hostname asa

二.配置密码

   asa(config)#enable  password  asa802                //配置特权密码

   asa(config)#password  cisco                        //配置远程登录密码

三.接口配置

  asa(config)#int  e0/1

  asa(config-if)#nameif   inside                   //配置为进口 表示端口连接内部区域

  asa(config-if)#security-level  100                 //配置内部区域优先级为 100

防火墙的接口 有物理名称 和逻辑名称  物理名称就是端口的模块和端口号， 逻辑名称 inside 表示内端口   outside  表示外端口 内端口和外端口的优先级不同 在0-100之间 ，内端口优先级高  外端口优先级低

四.不同级别的端口之间互访 默认规则如下

    允许出站，  从高安全级别 到低安全级别流量允许

    禁止入站，  从低安全级别到高安全级别流量禁止

配置ACL

  作用， 一是允许入站   一是控制出站连接

  asa(config)#access-list  out-to-in  permit  ip  host  172.16.1.1  host  10.1.1.1

                 //配置允许  主机172.16.1.1访问  10.1.1.1 主机

  asa(config)#access-group  out-to –in  in  int  outside             //将控制列表应用到外接口   asa(config)#access-list  in-to-out  deny  ip  10.1.1.0  255.255.255.0  any

                 //配置拒绝 10.1.1.0  网段访问

  asa(config)#access-list  in-to-out  permit  ip  any  any          //配置允许其他任何流量

  asa(config)#access-group  in-to-out  in  int  inside              //将控制列表应用到 内接口

配置静态路由

  asa(config)#route  outside  172.16.1.0  255.255.255.0   172.16.2.1     //静态指定outside和 inside 方向

配置允许ping 命令 报文穿越防火墙

  asa(config)#access-list  111  permit  icmp  any  any

  asa(config)#access-group  111  in   int   outside

保存 asa 的配置

  asa#write  memory

清除 运行的配置

  asa(config)#clear  configure  all

清除所哟的access-list  命令

  asa(config)#clear  configure  access-list

删除 starup-config 配置文件

  asa#write  erase

五.远程管理ASA

 配置telnet  接入   一般禁止从外端口使用telnet  只允许在内网使用telnet

  asa(config)#telnet  192.168.0.0  255.255.255.0   inside    

//配置允许inside区域内的 192.168.0.0 网段使用telnet 接入

  asa(config)#telnet  192.168.0.1  255.255.255.255  inside

//配置只允许inside区域内的 192.168.0.1 主机使用telnet 接入

六.配置 SSH 接入

  asa(config)#host  asa802

  asa802(config)#domain-name  asadomain.com                       //配置主机名和域名

  asa802(config)#crypto  key  generate  rse  modulus  1024           //生成RSA 密钥对

  asa802(config)#ssh  192.168.0.0  255.255.255.0  inside              //允许内网端 192.168.0.0 接入ssh

  asa802(config)#ssh   0  0  outside                              //允许任何外部网端接入ssh

  asa802(config)#ssh  version  2                        //配置使用 ssh  版本二

七.配置 ASDM  接入

  需要ASA在中 有  ASDM 映像

asa(config)#http  server  enable               //开启https 服务器功能 默认端口 443

asa(config)#asdm  image  disk0:/asdmfile         //指定asdm 映像位置

asa(config)#username  abc  password  123  privilege  15       //配置登录asdm 的用户名和密码

默认用户名是  admin  密码是asa 特权密码

ASDM 的使用方式

    以应用程序方式运行 或者  Web 方式运行 asdm

防火墙的 DMZ

DMZ  隔离区或者 称非军事化区域

     位于企业内部网络和外部网络之间一个网络区域   一般放置一些必须公开的服务器

八.默认访问规则

   DMZ 安全级别 间于 0  到 100 之间

   inside  可以访问 outside  可以访问 dmz

   outside  不能访问 inside  和  dmz

   dmz  可以访问 outside  不能访问 inside

九.dmz 区域配置

   asa(config)#int  e0/2

   asa(config-if)#nameif  dmz

   asa(config-if)#security-level  50