思科ASA系列防火墙相关配置--8.0版

简介:

思科ASA系列防火墙相关配置

8.0版

 

1.主机名,ip地址配置
配置完ip地址后直连的设备可以互相ping通
(config)# hostname ASA2  //主机名
(config)# interface gigabitEthernet 0  //进入接口配置
(config-if)# ip address 222.222.222.2 255.255.255.0  //配置ip地址
(config-if)# nameif ouside   //定义接口网络类型(安全级别),outside(安全级别0)  dmz(安全级别50)  inside(安全级别100)
(config-if)# no shutdown     //激活接口

2.配置路由
路由配置完毕后,高安全级别可以访问低安全级别区域(除icmp外)如:telnet、http等,私有网络访问公网还需要配置NAT
静态路由配置
(config)# route ouside 0.0.0.0 0.0.0.0 222.222.222.1   //防火墙的外部默认路由,默认路由要配置在外部网络
(config)# route inside 192.168.2.0 255.255.255.0  192.168.1.10  //添加内部静态路由

动态路由配置
(config)# router rip    //启用rip路由协议
(config)# version 2     //使用版本2的rip
(config-router)# no auto-summary    //关闭网络边界路由汇总
(config-router)# network 192.168.1.0  //宣告与防火墙直连的网络号


3.NAT配置
asa1# show version  //查看系统版本
Cisco Adaptive Security Appliance Software Version 8.4(2)

1)所有内部主机复用outside接口ip(PAT)

(config)# nat (inside) 1 0 0
(config)# global (ouside) 1 interface

2)内网端口映射
情景1 将outside接口所有端口映射到一台内网主机
(config)# static (inside,ouside) interface 192.168.2.2
WARNING: static redireting all traffics at ouside interface;
WARNING: all services terminating at ouside interface are disabled.

情景2 将outside接口特定端口映射到内网服务器特定端口
static (inside,outside) tcp interface 80 192.168.2.0 80 netmask 255.255.255.255


4.定义ACL,允许ping (内网到外网,可以理解为允许icmp协议通过outside接口返回,但是思科默认不能ping通outside接口)
(config)# access-list 101 extended permit icmp any any   //允许ICMP协议(包含ping)
(config)# access-list 101 extended permit ip any any     //允许所有ip协议通过(包含所有tcp端口、udp 端口流量)

(config)# access-list 101 extended permit tcp any  host 192.168.2.2 eq http  //允许所有网络访问内网主机的HTTP服务
(config)# access-list 101 extended permit tcp any  host 192.168.2.2 range  3000  6000   //允许端口范围
(config)# access-group 101 in interface outside  //应用ACL到 outside接口in方向

5.开启远程管理
1)内网telnet登陆
(config)# telnet  0.0.0.0 0.0.0.0 inside


2)使用ASDM管理
(config)# copy tftp://192.168.2.2/asdm-641.bin  flash:/.private/asdm-641.bin   //下载asdm防火墙端的程序
(config)# username cisco password cisco privilege 15 //添加一个管理用户
(config)# http server enable  //启用http管理
(config)# http 0.0.0.0 0.0.0.0 inside  //设置内网可以使用asdm 的网段或主机

6.QOS流量管理

step 1.
定义ACL
以下两条是针对vlan2网段的ACL
(config)#access-list vlan2 extended permit ip 192.168.2.0 255.255.255.0 any  //匹配上行流量
(config)#access-list vlan2 extended permit ip any 192.168.2.0 255.255.255.0  //匹配下行流量
以下两条是针对vlan3网段的ACL
(config)#access-list vlan3 extended permit ip 192.168.3.0 255.255.255.0 any
(config)#access-list vlan3 extended permit ip any 192.168.3.0 255.255.255.0

step 2.
定义一个类,这个类包含了上一步定义的ACL,针对每个ACL定义一个类(主要作用是对流量分类)
(config)# class-map vlan2
(config-cmap)# match access-list vlan2   //匹配ACL

(config)# class-map vlan3
(config-cmap)# match access-list vlan3

step 3.
定义一条策略,策略可以包含对个类,针对每个类进行速率设置
(config)# policy-map  rate-limt
(config-pmap)# class vlan2  //针对vlan2的设置
(config-pmap-c)# polic input 150000 567000   //设置进入速率,前面是基本速率,后面是突发速率
(config-pmap-c)# polic output 150000 567000  //设置传出速率
(config-pmap-c)# exit  //退出

(config-pmap)# class vlan3   //针对vlan3的设置
(config-pmap-c)# polic input 150000 567000   
(config-pmap-c)# polic output 150000 567000

step 4.
应用策略
(config)# service-policy rate-limt interface inside     //将策略应用到inside接口,outside接口用作PAT不建议在outside接口做。

















本文转自秘飞虎51CTO博客,原文链接: http://blog.51cto.com/mifeihu/1263100,如需转载请自行联系原作者



相关文章
|
1月前
|
网络安全 数据中心
百度搜索:蓝易云【Proxmox软件防火墙的配置教程】
现在,你已经完成了Proxmox软件防火墙的配置。请确保你的防火墙规则设置正确,以保护你的Proxmox VE环境免受未经授权的访问和网络攻击。
84 5
|
5月前
|
开发框架 网络协议 Ubuntu
【Linux】配置网络和firewall防火墙(超详细介绍+实战)
【Linux】配置网络和firewall防火墙(超详细介绍+实战)
892 0
|
2月前
|
网络协议 Shell Linux
系统初始化shell,包括:挂载镜像、搭建yum、设置主机名及IP地址和主机名映射、配置动态IP、关闭防火墙和selinux
系统初始化shell,包括:挂载镜像、搭建yum、设置主机名及IP地址和主机名映射、配置动态IP、关闭防火墙和selinux
22 2
|
4月前
|
网络协议 Linux 网络安全
suse 12 配置ip,dns,网关,hostname,ssh以及关闭防火墙
suse 12 配置ip,dns,网关,hostname,ssh以及关闭防火墙
90 0
|
6月前
|
网络协议 Linux 网络安全
百度搜索:蓝易云【Linux 防火墙配置(iptables和firewalld)详细教程。】
以上只是一些常见的iptables和firewalld命令示例,你可以根据自己的需求进行修改和扩展。请注意,在配置防火墙时务必小心,确保不会阻塞你所需要的合法流量,并确保保存和加载配置以使其永久生效。另外,建议在配置防火墙之前备份现有的防火墙规则以防止意外情况发生。
565 2
|
6月前
|
安全 网络安全 网络虚拟化
有配置云防火墙,那么防火墙自然无法发挥其防护功能
有配置云防火墙,那么防火墙自然无法发挥其防护功能
39 2
|
6月前
|
网络协议 安全 Linux
如何在 CentOS 8 上安装和配置配置服务器防火墙 (CSF)?
如何在 CentOS 8 上安装和配置配置服务器防火墙 (CSF)?
141 0
如何在 CentOS 8 上安装和配置配置服务器防火墙 (CSF)?
|
7月前
|
运维 Shell 网络安全
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(三)
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(三)
875 0
|
7月前
|
运维 网络协议 网络安全
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(二)
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(二)
127 0
|
7月前
|
运维 网络协议 Linux
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(一)
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)
588 0