CISCO ASA思科防火墙常用命令

已于 2024-02-22 12:45:41 修改
阅读量1.6k 收藏 10
点赞数 2
文章标签: 网络 服务器 运维
于 2023-04-10 12:58:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hu5566798/article/details/130057457
版权

CISCO ASA防火墙常用命令有:nameif、interface、ip address、nat、global、route、static等。
global
指定公网地址范围:定义地址池。
Global命令的配置语法:
global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中:
(if_name):表示外网接口名称,一般为outside。
nat_id:建立的地址池标识(nat要引用)。
ip_address-ip_address:表示一段ip地址范围。
[netmark global_mask]:表示全局ip地址的网络掩码。
nat
地址转换命令,将内网的私有ip转换为外网公网ip。
nat命令配置语法:nat (if_name) nat_id local_ip [netmark]
其中:
(if_name):表示接口名称,一般为inside.
nat_id: 表示地址池,由global命令定义。
local_ip: 表示内网的ip地址。对于0.0.0.0表示内网所有主机。
[netmark]:表示内网ip地址的子网掩码。
route
route命令定义静态路由。
语法:
route (if_name) 0 0 gateway_ip [metric]
其中:
(if_name):表示接口名称。
0 0 :表示所有主机
Gateway_ip:表示网关路由器的ip地址或下一跳。
[metric]:路由花费。缺省值是1。
static
配置静态IP地址翻译,使内部地址与外部地址一一对应。
语法:
static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address
其中:
internal_if_name表示内部网络接口,安全级别较高,如inside。
external_if_name表示外部网络接口,安全级别较低,如outside。
outside_ip_address表示外部网络的公有ip地址。
inside_ ip_address表示内部网络的本地ip地址。
(括号内序顺是先内后外,外边的顺序是先外后内)
例如:
asa(config)#static (inside,outside) 133.0.0.1 192.168.0.8
表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址

asa#conf t
asa(config)# hostname asa   //设置主机名
asa(config)#enable password cisco     //设置密码
  配置外网的接口,名字是outside,安全级别0,输入ISP给您提供的地址就行了。
asa(config)#interface GigabitEthernet0/0
asa(config)#nameif outside                      //名字是outside
asa(config)#securit-level 0                    //安全级别0
asa(config)#ip address *.*.*.* 255.255.255.0   //配置公网IP地址
asa(config)#duplex full
asa(config)#
asa(config)#no shutdown
  配置内网的接口,名字是inside,安全级别100
asa(config)#interface GigabitEthernet0/1
asa(config)#nameif inside
asa(config)#securit-level 100
asa(config)#duplex full
asa(config)#speed 100
asa(config)#no shutdown
  配置DMZ的接口,名字是dmz,安全级别50
asa(config)#interface GigabitEthernet0/2
asa(config)#nameif dmz
asa(config)#securit-level 50
asa(config)#duplex full
asa(config)#
asa(config)#no shutdown
  网络部分设置
asa(config)#nat(inside) 1 192.168.1.1 255.255.255.0
asa(config)#global(outside) 1 222.240.254.193 255.255.255.248
asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255     //表示192.168.1.1这个地址不需要转换。直接转发出去。
asa(config)#global (outside) 1 133.1.0.1-133.1.0.14      //定义的地址池
asa(config)#nat (inside) 1 0 0                           //0 0表示转换网段中的所有地址。定义内部网络地址将要翻译成的全局地址或地址范围
  配置静态路由
asa(config)#route outside 0 0 133.0.0.2                        //设置默认路由  133.0.0.2为下一跳
如果内部网段不是直接接在防火墙内口,则需要配置到内部的路由。
asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
  地址转换
asa(config)#static (dmz,outside) 133.1.0.1 10.65.1.101        ;静态NAT
asa(config)#static (dmz,outside) 133.1.0.2 10.65.1.102        ;静态NAT
asa(config)#static (inside,dmz) 10.66.1.200 10.66.1.200       ;静态NAT
如果内部有服务器需要映射到公网地址(外网访问内网)则需要static
asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240
asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240 10000 10   //后面的10000为限制连接数,10为限制的半开连接数
ACL实现策略访问
asa(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置ACL
asa(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;设置ACL
asa(config)#access-list 101 deny ip any any                    ;设置ACL
asa(config)#access-group 101 in interface outside     ;将ACL应用在outside端口
    当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。
    当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会映射成地址池的IP,到外部去找。
    当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101,static是双向的。

    PIX的所有端口默认是关闭的,进入PIX要经过acl入口过滤。
    静态路由指示内部的主机和dmz的数据包从outside口出去。


 

hu5566798
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
思科防火墙命令
一起努力共同进步,为了未来一起奋斗吧!
11-19 4704
思科防火墙相关命令
思科防火墙基本命令解析
09-28
思科防火墙基本配置命令行解析,参照后可操作配置一般的防火墙及其功能。
pix防火墙基本配置命令
weixin_34346099的博客
10-31 308
一、PIX防火墙的认识PIX是Cisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。PIX有很多型号,并发连接数是PIX防火墙的重要参数。PIX25是典型的设备。PIX防火墙常见接口有:console、Failover、Ethernet、USB。 网络区域:内部网络:inside外部网络:outside中间区域:称DMZ(停火区)。放置对外开放的服务器。二、防火墙...
思科ASA防火墙端口映射
01-07
需求将内网主机10.24.11.216的80端口映射到外网19909端口 ASA5506X> en Password: ******** ASA5506X# conf t ASA5506X(config)# object network serverMES216_port80_map ASA5506X(config-network-object)# host 10.24.11.216 ASA5506X(config-network-object)# nat (inside,outside) static interface service tcp 80 19909 ASA5506X(conf
思科ASA防火墙镜像文件 asa825
02-10
希望可以帮到各位
思科防火墙命令详解
07-02
本文介绍了PIX防火墙的所有常用配置命令,推荐大家学习.
思科防火墙配置命令(详细命令总结归纳)
热门推荐
1风天云月的博客
10-10 3万+
前言 防火墙的实施是每个网络基础设施必要且不可分割的组成部分,传统的防火墙功能已经从最初保护网络免于未授权外部访问的攻击得到了进一步的发展,现在的防火墙通常具备多种功能,下面介绍一下思科防火墙的详细配置方法 一、防火墙介绍 防火墙用于维护一个关于用户信息的连接表,称为Conn表,表中信息有:源ip地址、目的ip地址、ip协议(如http、ftp等)、ip协议信息(协议端口号等),防火墙能够基于特定的网络、主机和服务(TCP/UDP端口号)控制网络访问 二、防火墙配置 ...
Cisco防火墙命令大全
12-13
Cisco防火墙命令大全
ASA常用简单命令
tan19900212的专栏
02-21 2282
Show ver  查看版本 http server enable    允许用图形界面来管理ASA防火墙  http 0 0 inside 内部接口的任意地址都可以通过http的方式管理防火墙 路由配置 route IF-name ip_address netmask  gateway_ip [metric]配置静态路由  DHCPServer配置参数 Dhcpd enable i
思科ASA防火墙部署和基本配置
Hhhhhhdj的博客
05-14 1万+
项目案例拓扑分析: 整个网络拓扑分三个部分:企业边界网络、DMZ区域和Inside区域,分析如下 (1)企业边界网络:路由器出接口IP可以是固定的,也有可能不固定的,IP通过DHCP获得的或拨号获得的,R1配置为PAT服务器。根据需要R1和防火墙ASA1可以合二为一,防火墙直接连入互联网。 (2)核心安全设备ASA1是路由+NAT部署模式或路由模式。接口逻辑名称,安全级别如图示配置,G2接口需要划分两个子接口G2.2和G2.3,分别封装成VLAN2和VLAN3;ASA1也可配置动态PAT。 (3)DMZ区.
cisco asa 命令行下配置说明9.4(中文)
08-31
cisco asa 命令下配置指南-中文 cisco asa 命令行下配置说明9.4
思科、华为网络设备命令抓包
04-08
针对思科路由器、ASA防火墙、华为设备和天融信防火墙使用命令抓包的配置方法
思科ASA防火墙镜像文件 asa843
02-10
希望可以帮助到各位!
思科ASA 9.14防火墙配置文档
04-29
Cisco ASA Series Firewall CLI Configuration Guide, 9.14 思科2019年4月最新发布文档,用于思科ASA 9.14防火墙特性命令行配置,共464页。
思科ASA防火墙镜像文件 asa842
02-10
希望可以帮助到各位!
沪深websocket level2/level1行情推送接入示例
04-28 416
【代码】沪深websocket level2/level1行情推送接入示例。
SD-WAN怎样保障网络稳定
TIANGEKUAJING的博客
04-25 570
随着企业网络的日益复杂,如何确保线路的稳定性和高效性成为了网络管理的一大挑战。尤其是在线路出现故障、质量下降或拥塞时,如何快速响应并切换到最佳线路,就显得尤为重要。SD-WAN,作为一种新型的网络架构,为用户提供了灵活应对各种网络问题的能力。
FR-TSN4206获得“时间敏感网络产业链名录计划”测试认证证书,TSN交换机助力智能工业发展
最新发布
fiberroad的博客
04-30 236
TSN技术,即时间敏感网络技术,已成为智能工业、自动驾驶等领域的核心。它通过时钟同步、数据调度等功能,确保低延迟、高可靠性的数据传输。为推动TSN技术在我国的发展,工业互联网产业联盟联合多家单位启动了“时间敏感网络产业链名录计划”。光路科技的FR-TSN4206交换机成功通过该计划认证
java线上问题排查之磁盘和网络查看分析(二)
wayne_youlu的博客
04-30 228
overflowed 标识全连接队列溢出的次数,最前面是0,标识没有队列溢出的情况,网络环境正常。来查看网络是否连接。如果出现下图内容,则证明网络已经连接。
思科ASA防火墙巡检命令
01-17
以下是一些思科ASA防火墙的巡检命令: 1. 显示设备的基本信息: ```shell show version ``` 2. 显示设备的硬件信息: ```shell show hardware ``` 3. 显示设备的接口信息: ```shell show interface ``` 4. 显示设备的路由表信息: ```shell show route ``` 5. 显示设备的NAT配置信息: ```shell show nat ``` 6. 显示设备的ACL配置信息: ```shell show access-list ``` 7. 显示设备的VPN配置信息: ```shell show vpn-sessiondb ``` 8. 显示设备的日志信息: ```shell show logging ``` 9. 显示设备的连接状态信息: ```shell show conn ``` 10. 显示设备的安全策略信息: ```shell show run access-group ``` 11. 显示设备的用户认证信息: ```shell show run aaa ``` 12. 显示设备的SSL VPN配置信息: ```shell show webvpn ``` 13. 显示设备的DHCP配置信息: ```shell show dhcpd ``` 14. 显示设备的ARP表信息: ```shell show arp ``` 15. 显示设备的监控信息: ```shell show monitor ``` 16. 显示设备的系统资源使用情况: ```shell show resource usage ``` 17. 显示设备的HA(高可用性)配置信息: ```shell show failover ``` 18. 显示设备的网页管理配置信息: ```shell show http ``` 19. 显示设备的时间配置信息: ```shell show clock ``` 20. 显示设备的SNMP配置信息: ```shell show snmp-server ``` 21. 显示设备的SSL证书信息: ```shell show crypto ca certificates ``` 22. 显示设备的IPsec VPN配置信息: ```shell show crypto ipsec sa ``` 23. 显示设备的IKE配置信息: ```shell show crypto ikev1 sa ``` 24. 显示设备的SSL VPN用户信息: ```shell show vpn-sessiondb webvpn ``` 25. 显示设备的SSL VPN连接信息: ```shell show vpn-sessiondb detail webvpn ``` 26. 显示设备的SSL VPN统计信息: ```shell show vpn-sessiondb summary webvpn ``` 27. 显示设备的SSL VPN网关信息: ```shell show vpn-sessiondb gateway ``` 28. 显示设备的SSL VPN网关统计信息: ```shell show vpn-sessiondb summary gateway ``` 29. 显示设备的SSL VPN网关用户信息: ```shell show vpn-sessiondb detail gateway ``` 30. 显示设备的SSL VPN网关用户统计信息: ```shell show vpn-sessiondb summary detail gateway ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hu5566798

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值