思科ASA系列防火墙相关配置--8.0版

思科ASA系列防火墙相关配置

8.0版

1.主机名，ip地址配置
配置完ip地址后直连的设备可以互相ping通
(config)# hostname ASA2  //主机名
(config)# interface gigabitEthernet 0  //进入接口配置
(config-if)# ip address 222.222.222.2 255.255.255.0  //配置ip地址
(config-if)# nameif ouside   //定义接口网络类型(安全级别)，outside(安全级别0)  dmz(安全级别50)  inside(安全级别100)
(config-if)# no shutdown     //激活接口

2.配置路由
路由配置完毕后，高安全级别可以访问低安全级别区域(除icmp外)如：telnet、http等，私有网络访问公网还需要配置NAT
静态路由配置
(config)# route ouside 0.0.0.0 0.0.0.0 222.222.222.1   //防火墙的外部默认路由，默认路由要配置在外部网络
(config)# route inside 192.168.2.0 255.255.255.0  192.168.1.10  //添加内部静态路由

动态路由配置
(config)# router rip    //启用rip路由协议
(config)# version 2     //使用版本2的rip
(config-router)# no auto-summary    //关闭网络边界路由汇总
(config-router)# network 192.168.1.0  //宣告与防火墙直连的网络号

3.NAT配置
asa1# show version  //查看系统版本
Cisco Adaptive Security Appliance Software Version 8.4(2)

1）所有内部主机复用outside接口ip（PAT）

(config)# nat (inside) 1 0 0
(config)# global (ouside) 1 interface

2）内网端口映射
情景1 将outside接口所有端口映射到一台内网主机
(config)# static (inside,ouside) interface 192.168.2.2
WARNING: static redireting all traffics at ouside interface;
WARNING: all services terminating at ouside interface are disabled.

情景2 将outside接口特定端口映射到内网服务器特定端口
static (inside,outside) tcp interface 80 192.168.2.0 80 netmask 255.255.255.255

4.定义ACL，允许ping （内网到外网，可以理解为允许icmp协议通过outside接口返回，但是思科默认不能ping通outside接口）
(config)# access-list 101 extended permit icmp any any   //允许ICMP协议（包含ping）
(config)# access-list 101 extended permit ip any any     //允许所有ip协议通过（包含所有tcp端口、udp 端口流量）

(config)# access-list 101 extended permit tcp any  host 192.168.2.2 eq http  //允许所有网络访问内网主机的HTTP服务
(config)# access-list 101 extended permit tcp any  host 192.168.2.2 range  3000  6000   //允许端口范围
(config)# access-group 101 in interface outside  //应用ACL到 outside接口in方向

5.开启远程管理
1）内网telnet登陆
(config)# telnet  0.0.0.0 0.0.0.0 inside

2）使用ASDM管理
(config)# copy tftp://192.168.2.2/asdm-641.bin  flash:/.private/asdm-641.bin   //下载asdm防火墙端的程序
(config)# username cisco password cisco privilege 15 //添加一个管理用户
(config)# http server enable  //启用http管理
(config)# http 0.0.0.0 0.0.0.0 inside  //设置内网可以使用asdm 的网段或主机

6.QOS流量管理

step 1.
定义ACL
以下两条是针对vlan2网段的ACL
(config)#access-list vlan2 extended permit ip 192.168.2.0 255.255.255.0 any  //匹配上行流量
(config)#access-list vlan2 extended permit ip any 192.168.2.0 255.255.255.0  //匹配下行流量
以下两条是针对vlan3网段的ACL
(config)#access-list vlan3 extended permit ip 192.168.3.0 255.255.255.0 any
(config)#access-list vlan3 extended permit ip any 192.168.3.0 255.255.255.0

step 2.
定义一个类，这个类包含了上一步定义的ACL，针对每个ACL定义一个类(主要作用是对流量分类)
(config)# class-map vlan2
(config-cmap)# match access-list vlan2   //匹配ACL

(config)# class-map vlan3
(config-cmap)# match access-list vlan3

step 3.
定义一条策略，策略可以包含对个类，针对每个类进行速率设置
(config)# policy-map  rate-limt
(config-pmap)# class vlan2  //针对vlan2的设置
(config-pmap-c)# polic input 150000 567000   //设置进入速率，前面是基本速率，后面是突发速率
(config-pmap-c)# polic output 150000 567000  //设置传出速率
(config-pmap-c)# exit  //退出

(config-pmap)# class vlan3   //针对vlan3的设置
(config-pmap-c)# polic input 150000 567000   
(config-pmap-c)# polic output 150000 567000

step 4.
应用策略
(config)# service-policy rate-limt interface inside     //将策略应用到inside接口，outside接口用作PAT不建议在outside接口做。

本文转自秘飞虎51CTO博客，原文链接： http://blog.51cto.com/mifeihu/1263100，如需转载请自行联系原作者