思科防火墙配置命令(详细命令总结归纳)

已于 2022-02-13 15:58:42 修改
阅读量3.6w 收藏 549
点赞数 62
分类专栏: 思科 文章标签: 网络 运维 tcp/ip 网络规划设计
于 2021-10-10 18:42:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/le616616/article/details/120644648
版权

目录

前言

一、防火墙介绍

二、防火墙配置

1、防火墙的基本配置

2、配置特权密码

3、配置远程登录密码(在使用Telnet或SSH时需要输入的密码)

4、配置接口名称和接口安全级别

5、配置ACL

(1)允许入站连接

(2)控制出站连接的流量

(3)ACL其他配置

6、配置静态路由

7、配置命令补充

8、远程管理ASA

(1)Telnet配置实例

(2)配置SSH接入

9、ASA防火墙配置NAT

(1)动态PAT转换配置

(2)静态NAT转换配置

(3)静态PAT转换配置方法

(4)NAT豁免配置方法

结语

前言


     防火墙的实施是每个网络基础设施必要且不可分割的组成部分,传统的防火墙功能已经从最初保护网络免于未授权外部访问的攻击得到了进一步的发展,现在的防火墙通常具备多种功能,下面介绍一下思科防火墙的详细配置方法


一、防火墙介绍


     防火墙用于维护一个关于用户信息的连接表,称为Conn表,表中信息有:源ip地址、目的ip地址、ip协议(如http、ftp等)、ip协议信息(协议端口号等),防火墙能够基于特定的网络、主机和服务(TCP/UDP端口号)控制网络访问


二、防火墙配置


1、防火墙的基本配置

ciscoasa> en
Password:默认特权密码为空,直接回车即可
ciscoasa# conf t
ciscoasa(config)# hostname 防火墙名称

2、配置特权密码

asa(config)# enable password 密码

3、配置远程登录密码(在使用Telnet或SSH时需要输入的密码)

asa(config)# passwd 密码

4、配置接口名称和接口安全级别

asa(config)# in e0/0
asa(config-if)# nameif 接口名称
asa(config-if)# security-level 安全级别{0~100}
如果ASA的型号是5505,则不支持在物理接口上直接进行以上配置,必须通过VLAN虚接口来配置
asa(config)#int vlan 1
asa(config-if)# nameif inside
asa(config-if)# security-level 100
asa(config-if)#ip add 10.1.1.254 255.255.255.0
asa(config-if)# no shut
查看conn表
asa#show conn detail

5、配置ACL

(1)允许入站连接

asa(config)# access-list out_to_in permit ip host 172.16.1.5 host 10.1.1.7允许外网主机172.16.1.5访问内网主机10.1.1.7,out_to_in为ACL组名
asa(config)# access-group out_to_in in int outside将组名为out_to_in的ACL应用在outside接口

(2)控制出站连接的流量

asa(config)# access-list in_to_out deny ip 10.0.0.0 255.0.0.0 any拒绝内网10.0.0.0网段 访问外网所有网段
asa(config)# access-list in_to_out permit ip any any允许其他所有流量通行,因为ACL有隐含的拒绝语句,所以配置ACL时,一般都需要允许所有流量
asa(config)# access-group in_to_out in int inside应用在内网接口

(3)ACL其他配置

ICMP协议
默认情况下,禁止ICMP报文穿越ASA是基于安全性的考虑,有时候为了方便调试,可以配置暂时允许ICMP应答报文穿越ASA

ciscoasa(config)# access-list 111 permit icmp any any定义ACL
ciscoasa(config)# access-group 111 in int outside应用到outside接口

6、配置静态路由

asa(config)# route outside 172.16.0.0 255.255.0.0 10.0.0.1去往外网172.16.0.0网段的流量下一跳为10.0.0.1
asa(config)# route inside 192.168.1.0 255.255.255.0 192.168.2.1去往内网192.168.1.0网段的流量下一跳为192.168.2.1

7、配置命令补充

no在前面,当配置错一条命令后,可以在原先的配置命令前加no即可删除配置错的那条命令

ciscoasa# write memory保存running configuration配置到startup configuration
ciscoasa# copy running-config startup-config保存running configuration配置到startup configuration
ciscoasa(config)# clear configure all清除running configuration的所有配置
ciscoasa(config)# clear configure access-list清除所有acces-list命令的配置
ciscoasa(config)# clear configure access-list in_to_out只清除access-list in_to_out 的配置
ciscoasa# write erase删除startup-config配置文件

8、远程管理ASA

ASA支持三种主要的远程管理接入方式:Telnet 、ssh和ASDM

(1)Telnet配置实例

由于使用Telnet远程管理是不安全的,所以一般禁止从外部接口使用Telnet接入,而只允许在内网使用Telnet

配置允许从inside区域内的192.168.0.0/24网段使用telnet接入
ciscoasa(config-if)# telnet 192.168.0.0 255.255.255.0 inside(接口名字)
或者允许单个主机Telnet防火墙(两者根据需要二选一即可)
ciscoasa(config)# telnet 192.168.0.1 255.255.255.255 inside(接口名字)
配置空闲超时时间为30分钟
ciscoasa(config)# telnet timeout 30(1~1440min,默认5min)

(2)配置SSH接入

配置主机名和域名,因为在生成RSA密钥对的过程中需要用到主机名和域名
ciscoasa(config-if)# host 主机名配置主机名
aaa(config)# domain-name 域名{.com}配置域名
aaa(config)# crypto key generate rsa modulus 1024指定modulus的大小为1024位,大小可以为512位,768位,1024位或2048位,表示生成的RSA密钥的长度
aaa(config)# ssh 192.168.1.0 255.255.255.0 inside允许内网1.0的网段SSH接入
aaa(config)# ssh 0 0 outside允许外网任何主机SSH接入
aaa(config)# ssh timeout 30配置超时时间为30分钟
aaa(config)# ssh version 2启用SSH的版本2,该命令为可选

版本1和版本2,区别是安全机制不一样,配置SSH接入完成后,可以在outside区域内的主机上使用SecureCRT或putty等工具登录ASA的outside接口,注意ASA默认使用用户名为pix,密码为使用password命令设置的密码

9、ASA防火墙配置NAT

(1)动态PAT转换配置

把内部全局地址10.1.1.2转换为30.1.1.100
ASA(config)# nat (×××ide){名称,outside或inside} nat名称 10.1.1.0 255.255.255.0声明内部地址
ASA(config)# global (outside) nat名称 30.1.1.100-30.1.1.200声明全局地址,nat名称与内部nat名称要相同
ASA(config)# show xlate detai查看NAT地址转换表
转换为outside接口的地址
ASA(config)# nat (×××ide){名称,outside或inside} nat名称 10.1.1.0 255.255.255.0声明内部地址,nat-id为1
ASA(config)# global (outside) 1 interface声明内部地址全部转换为outside区域接口地址

(2)静态NAT转换配置

dmz区域的20.1.1.2 映射成公网地址100.1.1.1访问
ASA(config)# static (dmz,outside) 100.1.1.1 20.1.1.2第一个IP地址是公网IP地址,第二地址是dmz区域服务器的真实IP地址
ASA(config)# access-list 100 permit ip host 30.1.1.2 host 100.1.1.1
ASA(config)# access-group 100 in int outside设置ACL允许outside区域访问dmz区域,但是访问的是映射后的地址

(3)静态PAT转换配置方法

将内部的服务器映射到公网同一个IP,不同端口号
ASA(config)# static (dmz,outside) tcp 100.1.1.1 http 20.1.1.2 http
ASA(config)# static (dmz,outside) tcp 100.1.1.1 smtp 20.1.1.3 smtp将内部服务器地址映射到同一个公网地址不同端口号
ASA(config)# access-list out_to_dmz permit ip host 30.1.1.2 host 100.1.1.1
ASA(config)# access-group out_to_dmz in int outside设置ACL允许outside区域访问dmz区域,但是访问的是映射后的地址

(4)NAT豁免配置方法

ASA(config)# nat-control表示通过ASA防火墙的数据包都必须使用NAT地址转换技术
ASA(config)# access-list ACL组名 extended permit ip 10.1.1.0 255.255.255.0 30.1.1.0 255.255.255.0
ASA(config)# nat (×××ide) 0 access-list ACL组名×××ide接口应用ACL,注意nat名称为0 表示使用NAT豁免,优先级最高,就是ACL中的地址经过ASA防火墙时,不需要进行地址转换

结语


     在互联网上防火墙是一种非常有效的网络安全防范设备,通过它可以隔离风险区域 (即Internet或有一定风险的网络)与安全区域 (局域网)的连接 ,所以它一般连接在核心交换机与外网之间,在内部网络与外网之间起到一个把关的作用

1风天云月
关注
  • 62
    点赞
  • 549
    收藏
    觉得还不错? 一键收藏
  • 33
    评论
专栏目录
思科防火墙配置内网地址 配置PAT 思科防火墙还是不能访问外网?
玩人工智能的辣条哥的博客
05-31 292
防火墙上,首先你需要定义内网和外网接口。!!在这个示例中,inside接口被配置为内网,outside接口被配置为连接到公网的接口。
思科防火墙简易配置
10-24
思科防火墙简易配置手册
思科2960交换机详细配置命令.docx
06-21
思科2960交换机配置命令
CISCO ASA思科防火墙常用命令
hu5566798的博客
04-10 2058
asa(config)#nat (inside) 1 0 0 //0 0表示转换网段中的所有地址。asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255 //表示192.168.1.1这个地址不需要转换。将ACL应用在outside端口。asa(config)#global (outside) 1 133.1.0.1-133.1.0.14 //定义的地址池。
防火墙配置命令
Zack_emm的博客
07-27 8183
拓扑图: 目的:PC1和PC2相互ping通。 配置命令: FW1: //添加端口IP [SRG-GigabitEthernet0/0/0]interface GigabitEthernet0/0/1 [SRG-GigabitEthernet0/0/1]ip add 192.168.1.1 24 [SRG]inter g0/0/2 [SRG-GigabitEthernet0/0/2]ip add...
Cisco ASA 防火墙配置WebVPN实例详解
Jian Sun_的博客
02-28 411
另外,SSLVPN 还能细化接入控制功能,易于将不同访问权限赋予不同用户,实现伸缩性访问;随着远程接入需求的不断增长,远程接入IPSec VPN 在访问控制方面受到极大挑战,而且管理和运行支撑成本较高,它是实现点对点连接的最佳解决方案,但要实现任意位置的远程安全接入,SSLVPN 要理想得多。目前市场上VPN 产品很多,而且技术各异,就比如传统的IPSec VPN来讲, SSL能让公司实现更多远程用户在不同地点接入,实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成本。
防火墙操作命令
qq_41667748的博客
05-04 7280
Linux下的防火墙命令
Packet Tracer - Configuring a Zone-Based Policy Firewall (ZPF)
YueXuan_521的博客
02-05 1228
Packet Tracer - Configuring a Zone-Based Policy Firewall (ZPF) Packet Tracer - 配置基于区域的策略防火墙(ZPF) Packet Tracer - 配置基于区域的策略防火墙(ZPF) 目标 在防火墙配置前验证设备之间的连通性。 在路由器R3上配置基于区域的策略(ZPF)防火墙。 使用ping、Telnet和网页浏览器验证ZPF防火墙功能。
Cisco 防火墙基础配置
分享的都是纯自学心得
04-11 585
#设置放行icmp规则。#定义访问控制链表允许任何icmp流量访问任何icmp流量。#应用在这两个区域 Vpc下可以 show ip 查看ip地址。 #透明模式。 #设置在同一个组。
思科防火墙如何查看SSH配置命令
玩人工智能的辣条哥的博客
03-15 780
思科防火墙ASA5555。
【Cisco 思科 Firepower/ASA 系列防火墙策略长链接配置方法】
wzhj891119的博客
05-06 1576
金融行业城市商业银行应用和数据库之间之间长链接保活实现。 思科防火墙 ASA配置命令
虚拟思科防火墙配置 !!!用真正的ios
11-05
1,Cisco实验模拟器 PIX 个人版 v1.9软件是基于Dynamips技术,让我们感谢伟大的Chris! 2,本软件为免费软件,任何喜欢Cisco PIX技术的人都可以免费使用,希望您能够喜欢 3,本软件的版权归作者BluShin所有。使用者不得对本软件产品进行反向工程、反向编译或反汇编,违者属于侵权行为,并自行承担由此产生的不利后果。 4,由于版权限制,本软件不提供Cisco公司IOS文件,请使用者自行解决 5,由使用本软件带来的法律纠纷,由使用者自己负责,作者概不负责 6,如果你无法接受以上声明,请不要使用本软件。谢谢! 另外,作者提供有偿定制软件服务,可根据你设计的网络拓扑图,为你构建网络模拟设备。每台设备均为绿色可执行文件携带方便,不受网络环境变化的限制,能够实现分布式网络虚拟环境的搭建。若有需要,请QQ 46826190。 软件介绍: ====================== 1,本软件是为PIX爱好者制作的,主要用于练习PIX命令 2,本软件为绿色软件,且每个模拟设备只有一个可执行文件,携带方便。 3,经测试本软件可以完成的绝大部门PIX实验 4,本软件为一个模块化软件,可以不断增加模拟设备 软件操作指南: ================================== 1,请把解压缩后的文件和你所用的IOS放在同一目录下,不要修改解压后文件的目录结构 2,请自行下载并安装WinPcap 3,请在命令行下运行“GetMac -v "命令,获取你所用活动网卡的参数信息。如\Device\NPF_{07D829F6-353B-4E92-8371-E286BEF3190D},注意要把“TCP”修改为“NPF” 4,首先运行PIX.exe,然后再运行OutRouter.exe和InSwitch.exe。其中Switch是绑定Router运行的,Switch不能首先单独运行。 5,配置你要桥接PIX的PC网卡参数 在运行PIX时,在出现“请输入您要与PIX桥接的本地活动的网卡参数(例如:\Device\NPF_{07D829F6-353B-4E92-8371-E286BEF3190D}),注意格式!!输入后请按回车键:”提示符后,请输入你在第3步获取的网卡参数 6,配置你选用的IOS文件 在运行Router和Switch时,在出现“请输入您选用路由器的IOS文件(只能是3640系列的IOS!),注意IOS文件要与本程序在同一目录下!!输入后请按回车键:”时,输入你选用的IOS文件名,注意IOS文件要与本程序在同一目录下 7,参数设置完毕!即可启动PIX和路由器了,当PIX出现“QEMU waiting for connection on: :4001,server”和当路由器交换机最后出现“JIT enabled”时,恭喜你!模拟器已经成功启动! 10,你可以通过Telnet或者超级终端登录相应端口进入路由器进行实验了! 注意事项 ================= 1,本软件是基于Dynamips技术,感谢伟大的Chris为我们CiscoFuns开发这么强大的模拟器 2,本软件模拟的是3640系列的路由器,所以IOS选择只能是3640系列的路由器 3,请务必把你选用的IOS文件放到与本程序同一目录下 4,本软件PIX你可以自行通过修改PEMU.INI文件选用PIXos版本,本软件选用的是PIXos8.03和ASDM6.03。并且已经写入到FLASH文件中,如何运行ASDM,请看我写的PIX for ASDM指导 5,请先运行路由器,然后再运行交换机 6,运行本软件之前你需要安装WinPcap程序。 7,本软件虽然已经过多次测试,但是难免存在一些不足,如果在运行中出现任何问题,您可以QQ 46826190或者E-Mail:BluShin@126.com 联系作者 ==================== 作者提供有偿定制软件服务。可根据你设计的网络拓扑图,为你构建网络模拟设备。每台设备均为绿色可执行文件,携带方便,而且可以实现分布式网络虚拟环境的搭建。若有需要,请QQ 46826190或者BluShin@126.com。
思科SAS系列防火墙详细配置教程
01-04
思科Firepower 是集成的网络安全和流量管理产品套件,部署在专用平台上或作为软件解决方案。系 统旨在帮助您以符合组织的安全策略(网络保护准则)的方式处理网络流量。 在典型部署中,安装于各网段的多台流量感应受管设备监控流量以进行分析并向管理器报告。 • Firepower 管理中心 • Firepower 设备管理器 • 自适应安全设备管理器(ASDM) 管理器提供具有图形用户界面的中央管理控制台,供您用于执行行政管理、普通管理、分析和报告 任务。 本指南重点介绍Firepower 管理中心管理设备。有关通过ASDM 管理FirePOWER 服务的Firepower 设备管理器或ASA 的信息,请参阅有关这些管理方法的指南。
思科常用配置命令详细
最新发布
07-15
适用小白,图文并茂,一看就懂
华为与思科常见配置命令
05-11
本文将详述华为和思科设备的一些基本配置命令,主要包括网络协议如OSPF(开放最短路径优先)、RIP(路由信息协议)、VLAN(虚拟局域网)以及STP(生成树协议)的配置,但在这里我们将主要关注交换机和路由器的基础...
思科基本配置命令详解.pdf
07-14
本文将深入解析思科基本配置命令,帮助读者理解和应用这些命令来管理和维护网络设备。 首先,了解一些基本概念至关重要。互联网操作系统(IOS)是思科设备如交换机和路由器的核心,它负责设备的运行和管理。虚拟...
Cisco路由器防火墙配置命令及实例.pdf
12-04
本文档将详细介绍Cisco路由器防火墙配置命令的使用方法和实例,包括清除访问列表规则的统计信息、启用或禁止防火墙配置防火墙的缺省过滤方式、应用规则到接口上等内容。 一、清除访问列表规则的统计信息 clear ...
Cisco ASA5520 配置说明
weixin_33834910的博客
03-14 485
CD-ASA5520# show run: Saved:ASA Version 7.2(2) !hostname CD-ASA5520 //给防火墙命名domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC...
Cisco防火墙基础介绍及配置
weixin_34195364的博客
04-27 3317
一、ASA(状态化防火墙)安全设备介绍: Cisco硬件防火墙技术应用领域: PIX 500 系列安全设备。 ASA 5500系列自适应安全设备。 Catalyst 6500 系列交换机和Cisco 7600 系列路由器的防火墙服务模块。 Cisco ASA 5500 系列自适应安全设备提供了整合防火墙、入 侵保护系统(IPS)、高级自适应威胁防御服务,其中包括应用安全和简化网络安...
思科防火墙配置web命令
07-28
配置思科防火墙的Web命令,您可以按照以下步骤进行操作: 1. 首先,确保您已经连接到防火墙命令行界面。 2. 输入以下命令进入全局配置模式: ``` configure terminal ``` 3. 启用防火墙的Web服务器功能,使用以下命令: ``` ip http server ``` 4. 创建一个用于Web管理的管理员用户,使用以下命令(将"username"替换为您要创建的用户名): ``` username <username> privilege 15 secret <password> ``` 这将创建一个具有最高权限(privilege 15)的管理员用户,并为其设置密码。 5. 为Web管理配置HTTPS访问,使用以下命令: ``` crypto key generate rsa general-keys modulus 2048 ``` 这将生成一个2048位的RSA密钥对,用于加密HTTPS通信。 6. 启用HTTPS服务,并将其绑定到防火墙的特定接口上。使用以下命令(将"<interface>"替换为您要绑定的接口): ``` ip http secure-server interface <interface> ip http server ``` 7. 最后,退出全局配置模式并保存配置更改: ``` end write memory ``` 这样就完成了思科防火墙的Web命令配置。现在您可以通过Web浏览器访问防火墙的管理界面,并使用创建的管理员用户进行登录和配置。请注意,具体命令可能因不同的防火墙型号和软件版本而有所差异,因此请根据您的设备和需求进行相应的调整。
评论 33
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值