ASA 配置笔记

于 2021-07-16 10:16:25 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 网络系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pimg2005/article/details/118786335
版权

司最近增加一台CISCO ASA 5510-K8 防火墙设备,也算是初次接触吧,一波三折,折腾了一个多星期也算基本摸清,现为这一个多星期的折腾记录一下,日后少做一些无用功。这次ASA主要用于远程接入及一部分服务器外网访问,按此需求也列出以下ASA需配置的项目:
1、远程接入,IPSec *** 或SSL *** ,因购买此型号的防火墙SSL ***授权只有两个,只有选择IPsec ***使用了;
2、做NAT 实现外网访问,相关ACL控制指定服务器连接外网;
3、端口映射,把相关需要使用的服务器端口映射到公网使用,如25、110等。

简单拓扑图如下:

151409680.jpg


h3c s5500-ei 配置主要点:

ip route-static 0.0.0.0 0.0.0.0 172.65.3.1 description to asa
ip route-static 10.0.0.0 255.0.0.0 192.168.193.1 description to qq
ip route-static 172.0.0.0 255.0.0.0 192.168.193.1 description overto qq
ip route-static 192.0.0.0 255.0.0.0 192.168.193.1 description to qq


ASA配置:


ciscoasa(config)# sh run 
: Saved
:
ASA Version 8.2(5) 
!
hostname ciscoasa
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address xxx.xxx.xxx.xxx 255.255.255.248   \\外网接口IP
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.65.3.1 255.255.255.0   \\内网接口IP
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
ftp mode passive
clock timezone CST 8
access-list test***_splitTunnelAcl standard permit 172.65.0.0 255.255.0.0   

\\***接入时上述IP流量做隧道分割,如不开启隧道分割技术***接入的用户就不能使用本地internet了。这里需注意的
access-list permitwww extended permit ip host 172.65.12.24 any   \\控制部分服务器访问外网
access-list permitwww extended permit icmp any any  \\icmp 流量容许通过
access-list inside_nat0_outbound extended permit ip 172.65.0.0 255.255.0.0 172.65.3.0 255.255.255.0   \\nat免除,表示从172.65.0.0/16网段通过172.65.3.0/24时不进行nat转换 
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
ip local pool ipsecpool 172.65.3.100-172.65.3.200 mask 255.255.255.0  \\接入***客户端地址池
icmp unreachable rate-limit 1 burst-size 1
asdm p_w_picpath disk0:/asdm-645.bin

最低0.47元/天 解锁文章
pimg2005
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cisco ASA配置笔记
01-16
一份非常实用的关于思科ASA配置笔记
Cisco ASA5505-k9 IPSec 真实项目配置实例 8.2或以前版本
IT技术小Home
08-31 2170
ASA Version 8.2(5) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0/0 switchport access vlan 10 ! interface Ethernet0/1 swit...
CCSP实验:PIX 8.0(2)防火墙实现从低安全区域到高安全区域访问配置实验
chentaocba的专栏
06-30 5100
CCSP实验:PIX 8.0(2)防火墙实现从低安全区域到高安全区域访问配置实验 网络拓扑: 实验环境描述:PIX防火墙E0接口定义为inside区,Security-Level:100,接LAN-Router F0/0;PIX防火墙E1接口定义为outside区,Security-Level:0,接WAN-Router F0/0;PIX防火墙E3接口定义为dmz区,Security-
ASA站点×××,远程站点通过主站上网之配置
weixin_33733810的博客
09-29 160
前两天有个帖子提到这个问题,并且说只要加入隧道分离列表就可以实现,这个案例以前从来没有见过,很有挑战意味。通过本人仔细分析,发现那位朋友的说法站不住脚,并且实际配置也不能实现。按照我对隧道分离列表的理解,那个是为了远程客户端拨入用的,也就是说对站点的配置不起作用,如果更深入探讨隧道分离列表,其实该列表的作用并不是在防火墙上,而是作用在客户端上,也就是对客户端加了敏感流量,...
ASA5512X IPS模块高级配置
weixin_34208283的博客
10-28 759
实验一:在单模式防火墙中,把不同流量送往不同的虚拟Sensor实验一实验拓扑:ASA配置:ASAVersion9.1(1)4!hostnameASAenablepassword8Ry2YjIyt7RRXU24encryptedpasswd2KFQnbNIdI.2KYOUencryptednames!interfaceGigabitEthernet0/0nameifOutsid...
ASA防火墙配置笔记
06-29
ASA防火墙配置笔记,参加思科培训时记的笔记,绝对有价值。
CISCO ASA防火墙配置笔记
11-21
CISCO ASA防火墙配置笔记, 文档说明ASA配置实例
ASA学习笔记
12-07
CISCO ASA学习笔记 学习cisco的ASA
ASA防火墙完全配置笔记.pdf
11-01
ASA防火墙完全配置笔记.pdf
11-思科防火墙:MPF基本状态监控特性
weixin_33724046的博客
07-07 939
一、实验拓扑:二、实验要求:ICMP默认是没有监控的,所以R2 Ping R1不通(注意:R1、R2分别有默认路由下一跳为对应的ASA接口地址);原因:有很多原因,R1开启Debug,查看Ping包是否可以到达R1;能到达说明ASA没有监控ICMP,没有状态化信息;TCP默认是监控的,有状态化信息,记录源目IP、源目端口等这些信息,形成映射,所以回包的时候会对比这些映射信息,符合就放行了。ICMP...
ASA变端口映射
suzathlan的博客
02-06 1472
为了能将内网部分服务映射到外网,有时候不得不进行端口的改变,在变端口映射的时候,需要进行下面的步骤(以变换端口以实现13389能实现RDP为例): 1. 静态映射:     static (inside,outside) tcp interface 13389 100.1.1.3 3389 netmask 255.255.255.255  2.  建立访问控制列表使得外网信息能通过变换后的端口
ASA LAB-ASA NAT配置大全
weixin_33982670的博客
10-08 328
ASA LAB-ASA NAT配置大全两种NAT配置方式 :1- Auto(object)NAT2- Twice NATNAT分类 :Static natDynamic natStatic PATDynamic PATNat exmption今天抽空做了下八大类NAT的实验,这个文档比较常用,愿大家共同进步实验:先看下 ASA的基本配置和环境ciscoasa# sh run:...
Cisco ASA 5585防火墙ASDM配置_七夕小子_新浪博客
七夕小子的博客
11-16 264
1. 基础配置 ASA(config)#hostname ASA ASA(config)#telnet 0.0.0.0 0.0.0.0 inside //允许内网telnet防火墙 ASA(config)#password cisco //设置远程密码 ASA(config)#enable password cisco123 //设置特权模式密码 ASA(config)#telnet 0....
第十八期 ASA各类NAT配置
weixin_33895657的博客
02-05 302
实验目的:1.配置动态NAT2.配置静态NAT实验步骤:1.配置动态NAT:【基本配置已配好,详见ASA配置实验报告】asa(config)# object network ob-inasa(config-network-object)# subnet 10.2.2.0 255.255.255.0asa(config-network-object)#nat(inside,outside)dyna...
面对思科ASA与DNS冲突 我们如何应对
Galdys的专栏
01-19 1426
在本文中,思科专家洛里·海德将向你介绍,在思科自适应安全产品(ASA)默认配置丢弃数据包的情况下,如何对域名系统信息进行替换使得用户可以访问内部网络资源。     --------------------------------------------------------------------------------------------   设定的环境:你拥有一家小型公司或者一个
EVE-NG 连接ASA ASDM
GhostRaven的博客
12-22 3983
说在前面的话     Cisco Adaptive Security Device Manager (ASDM)是思科提供的基于图形化的自适应安全设备管理器。在我看来就是ASA图像界面管理的。这两天在倒腾ASA,发现书上好多介绍ASDM的,所以今天特意查了下文档,EVE-ng 模拟器连接ASDM。写下来,留个纪念。 配置    ...
思科ASA防火墙让内网用户能通过域名访问内网WEB服务器
海笑天涯
04-08 7340
当主机与某WEB服务器同在防火墙的INSIDE口,但DNS服务器只存在于公网中,(OUTSIDE口)且防火墙上对内网的WEB服务器进行了静态NAT映射以与外界通信并被外界DNS解析,为了防止本地用户在访问WEB服务器URL时被外网解析DNS为防火墙映射公网地址,需要对外网DNS reply进行修改。 1.用户穿过查询web服务器DNS 2.DNS回应给用户WEB服务器的公网地址 3.
ASA防火墙笔记及原理
最新发布
05-17
下面是ASA防火墙的一些基本原理和笔记: 1. ASA防火墙的基本原理是基于ACL(访问控制列表)和NAT(网络地址转换)实现的。 2. ACL是ASA防火墙的基本过滤规则,它可以根据源和目标IP地址、端口号、协议类型、报文...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值