禁止出站
ciscoasa(config)# access-list r1_to_r2 deny ip 192.168.1.0 255.255.255.0 host 202.106.0.2
ciscoasa(config)# access-group r1_to_r2 in int inside
允许入站
ciscoasa(config)# access-list r2_to_r1 permit tcp 202.106.0.0 255.255.255.0 host 192.168.1.2 eq 23
ciscoasa(config)# access-group r1_to_r2 in int outside
允许ping 通
ciscoasa(config)# access-list b206 permit icmp any any
ciscoasa(config)# access-group b206 in int outside
拒绝内网主句 10.0.0.2 访问外网 主机的远程,其他允许
csas(config)# access-list b206 deny tcp host 10.0.0.2 host 61.129.62.2 eq 23
csas(config)# access-list b206 permit ip any any
csas(config)# access-group b206 in int inside
允许ping 通 10.0.0.2 允许远程 10.0.0.3 其他拒绝
csas(config)# access-list abc permit icmp host 61.129.62.2 host 10.0.0.2
csas(config)# access-list abc permit tcp host 61.129.62.2 host 10.0.0.3 eq 23
csas(config)# access-group abc in int outside
防火墙静态路由配置
ciscoasa(config)# route inside 192.168.1.0 255.255.255.0 10.0.0.2
ciscoasa(config)# route outside 172.12.0.0 255.255.255.0 202.106.0.2
当两个区域的时候
内网是 安全级别 100
外网 完全级别 0
dmz 区域 非军事化区域
安全级别 间于 内网和外网之间 一般设成 50
所以 内网可以访问外网 允许出站
外网无法访问内网 禁止入站
安全级别相同的禁止互访
dmz 不能访问 内网
dmz 能访问 外网
内网 可以 dmz
外网 不能访问 dmz
远程防火墙 两种方法
telnet 传输明文 防火墙会允许内网使用telnet
ssh 加密传输 防火墙可以允许外网终端使用
web 管理防火墙
ASDM 就是终端通过网页方式管理
需要 防火墙有asdm 镜像
配置 telnet asa 方法
防火墙里面要配登录密码 passwd 密码
特点模式密码 enable password 密码
telnet 网段地址 子网掩码 inside //允许一个网段访问
telnet 主机地址 255.255.255.255 inside //允许一台主机远程
telnet 0 0 inside //表示任意网段都允许
配置 ssh 远程防火墙的方法
防火墙里面要配登录密码 passwd 密码
特点模式密码 enable password 密码
配置域名 asa(config)#domain-name asadomain.com
生成密钥 asa(config)#crypto key generate rsa modulus 1024
允许网段 asa(config)#ssh 0 0 outside
//表示任意外网地址都可以远程使用 ssh 管理防火墙
ssh 用终端软件去连接 xshell shell secureCRT