ASA防火墙
1:接口名称和安全级别
1.1:ASA的接口名称通常有两种,一种是物理名称一种是逻辑名称
物理名称:通常指的就是与路由器的接口一样,如E0/0 E0/1.
逻辑名称:通常指的就是配置命令的ACL,逻辑名称用来描述安全区域。
1.2:接口的安全级别
ASA的每个接口都有一个安全级别,范围是在0~100之间,并且数值越大其安全级别就越高,当配置接口的名称为inside时,其接口的安全级别自动设置成100。当配置的接口为outside时,其接口的安全级别自动设置成0.
不同安全级别的接口之间的相互访问需遵循以下之间的默认规则
·允许出站(outbount)链接,即允许从高安全级别接口到低安全阶别的接口流量通过。
·禁止入站(inbount)链接,即禁止从低安全级别接口到高安全级别接口的流量通过。
2:ASA的基本配置
2.1挂载并登陆防火墙
# /mnt/disk0/lina_monitor
ciscoasa> enable
Password:#默认没有密码
ciscoasa#
2.2:配置主机名
ciscoasa# configure terminal#进入特权模式
ciscoasa(config)# hostname asa
asa(config)#
2.3:配置密码
可以配置特权密码和远程登陆密码
1)配置特权密码
asa(config)# enable password 123456
2)配置远程登陆密码
asa(config)# passwd 123456
3:ASA的接口配置
1)普通接口
asa(config)# int e0/0
asa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
asa(config-if)# security-level 100
asa(config-if)# ip add 11.0.0.2 255.255.255.0
asa(config-if)# no shut
2)ASA的型号是5505,则不支持物理接口上进行配置,通过WLAN虚拟接口来配置
asa(config)# int vlan 1
asa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
asa(config-if)# security-level 100
asa(config-if)# ip add 11.0.0.2 255.255.255.0
asa(config-if)# no shut
asa(config-if)# int e0/0
asa(config-if)# no shut
asa(config-if)# switchport access vlan 1
4 : ASA中配置ACL
在ASA中配置ACL有两个作用,一个是允许流量入站,另一个是禁止流量入站
· 配置标准ACL
asa(config)# access-list acl_name [standrad] {permit | deny} ip_addr mask
·配置扩展ACL
asa(config)# access-list acl_name [extended] {permit | deny} protocol src_ip_addr src_mask dst_ip_addr dst_mask [operator port]
·将ACL应用到接口
asa(config)# access-group acl_name {in | out} interface interface_ name
需要注意的是,路由器上配置的ACL是使用的反码,而