Cisco ASA防火墙简易配置与调试手册

一、 基础配置
1.1 密码配置 ciscoasa(config)#passwd password 一般用于telnet登陆ASA的登录密码
1.2 Enable密码配置 ciscoasa(config)#enable password password 用于进入enable特权模式的密码
1.3 设备命名 ciscoasa(config)#hostname hostname 用于设备命名管理
二、 接口配置
2.1 接口命名 ciscoasa(config)#interface interface_id 进入接口配置模式
ciscoasa(config-if)#nameif interface_name 配置接口名称
2.2 配置接口安全级别
ciscoasa(config-if)#security-level security_level 安全级别为0-100，0为最低
2.3 配置IP地址
ciscoasa(config-if)#ip address ip_address netmask 配置接口IP地址与掩码
2.4 关闭/激活接口
ciscoasa(config-if)#shutdown
//关闭接口
ciscoasa(config-if)#no shutdown
//激活接口
2.5 范例
ciscoasa(config)#interface g0/0
//进入g0/0接口
ciscoasa(config-if)#nameif outside
//配置g0/0接口名称为outside
ciscoasa(config-if)#security-level 0
//配置outside接口安全级别为0（outside接口默认安全级别为0）
ciscoasa(config-if)#ip address 218.21.217.161 255.255.255.252
//配置outside接口IP地址为218.21.217.162，掩码为255.255.255.252
ciscoasa(config-if)#no shutdown
//激活该接口
三、 路由配置
3.1 静态路由配置
ciscoasa(config)#route interface_name destination_network netmask gateway_address
interface_name：路由方向的接口名称
destination_network：目的网络地址
netmask：目的网络掩码
gateway_address：下一跳网关地址
3.2 外口默认路由配置
ciscoasa(config)#route outside 0 0 gateway_address
3.3 范例
ciscoasa(config)#route inside 172.16.0.0 255.255.0.0 192.168.100.1
//在inside接口上创建一条到172.16.0.0/16网络走192.168.100.1的路由，ASA会将到172.16.0.0/16网络的所有数据包转发给下一跳网关192.168.100.1
ciscoasa(config)#route outside 0 0 218.21.217.161
//创建一条外网的默认路由，ASA将所有的互联网流量发给internet网关218.21.217.161
四、 网络地址转换（NAT）配置
4.1 关于NAT
随着接入Internet的计算机数量的不断猛增，IP地址资源也就愈加显得捉襟见肘，即使是拥有几百台计算机的大型局域网用户，当他们申请IP地址时，所分配的地址也不过只有一个或几个IP地址，显然，这样少的IP地址根本无法满足网络用户的需求，于是也就产生了NAT技术。
借助于NAT，私有(保留)地址的"内部"网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。
NAT的实现方式有三种：动态NAT、静态NAT、PAT
动态NAT：指将内部网络的私有IP地址转换为公用IP地址时，IP地址对是不确定的，而是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。
静态NAT：指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。
PAT： 指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。
4.2 动态NAT的配置
ciscoasa(config)#nat (if_name) nat_id network netmask
if_name：激活NAT的接口，一般是inside
nat_id：NAT转换的序号，对应global序号
network：需要做NAT转换的网络
netmask：需要转换网络的掩码
ciscoasa(config)#global (if_name) nat_id address_range netmask netmask
if_name：NAT转换后的出接口名，一般是outside
nat_id：对应NAT转换的序号
address_range：用作NAT的地址池
netmask：地址池的掩码
范例：
ciscoasa(config)#nat (inside) 1 network 172.16.0.0 255.255.0.0
//在inside接口为172.16.0.0/16网络激活NAT
ciscoasa(config)#global (outside) 1 10.78.139.129-10.78.139.254 netmask 255.255.255.0
//把来自inside接口172.16.0.0/16网络的地址动态转换为10.78.139.129-254/24中的地址
4.3 静态NAT的配置
ciscoasa(config)#nat (if_name) nat_id host 255.255.255.255
if_name：激活NAT的接口，一般是inside
nat_id：NAT转换的序号，对应global序号
host：被转换的主机IP地址
ciscoasa(config)#global (if_name) nat_id address netmask
if_name：NAT转换后的出接口名，一般是outside
nat_id：对应NAT转换的序号
address：转换后的IP地址
netmask：转换后地址的掩码
范例：
ciscoasa(config)#nat (inside) 2 10.78.224.9 255.255.255.255
//为来自inside接口的10.78.224.9这个地址激活NAT
ciscoasa(config)#global (outside) 2 218.21.217.162 255.255.255.252
//将10.78.224.9这个地址转换为218.21.217.162
4.4 PAT的配置
ciscoasa(config)#nat (if_name) nat_id network netmask
if_name：激活NAT的接口，一般是inside
nat_id：NAT转换的序号，对应global序号
network：需要做NAT转换的网络
netmask：需要转换网络的掩码
ciscoasa(config)#global (if_name) nat_id interface
if_name：NAT转换后的出接口名，一般是outside
nat_id：对应NAT转换的序号
范例：
ciscoasa(config)#nat (inside) 3 172.16.0.0 255.255.0.0
//为来自inside接口的172.16.0.0/16网络激活NAT
ciscoasa(config)#global (outside) 3 interface
//把来自inside接口172.16.0.0/16网络的地址做PAT转换为outside接口的地址
4.5 端口映射的配置
4.5.1. 什么时候需要做端口映射
当外网需要访问内网中的一台服务器时，ASA并不知道访问的是哪一台内网中的机器，这时就需要做静态的端口映射。
4.5.2. 端口映射的配置 ciscoasa(config)#access-list list_name extended permit tcp/udp any host outside_address eq port_num（具体内容详见访问控制配置）
list_name：访问控制列表名称
tcp/udp：需要映射的协议类型
outside_address：outside接口IP地址
port_num：需要映射的端口号
ciscoasa(config)#static (inside,outside) tcp/udp interface port_num local_address port_num netmask 255.255.255.255
tcp/udp：需要映射的协议类型
port_num：映射前的端口号
local_address：映射后的内网主机IP地址
Port_num：映射后的端口号
ciscoasa(config)#access-group 100 in interface outside
//在outside接口in方向调用名称为100的访问控制列表
4.5.3. 范例：
ciscoasa(config)#access-list 100 extended permit tcp any host 218.21.217.162 eq 80
//允许外网访问218.21.217.162的tcp 80端口
ciscoasa(config)#static (inside,outside) tcp interface 80 10.78.224.10 80 netmask 255.255.255.255
//外网访问218.21.217.162的tcp 80端口时启用静态PAT映射至内网10.78.224.10的TCP 80端口
ciscoasa(config)#access-group 100 in interface outside inbound
//访问必须调用ACL
五、 访问控制（ACL）配置
5.1. 配置访问控制列表的一般步骤
配置访问控制列表
接口方向的调用
5.2. 标准访问控制列表
ciscoasa(config)#access-list list_name standard deny/permit des_address netmask
list_name：标准访问控制列表的名称
deny/permit：阻止/允许符合此条规则的流量
des_address：需要做控制的目的地址
netmask：需要做控制的目的地址的掩码
ciscoasa(config)#access-group list_name in/out interface interface_name
in/out：调用接口的入/出方向
interface_name：调用控制列表的接口名
5.3. 扩展访问控制列表
ciscoasa(config)#access-list list_name extended deny/permit tcp/udp sour_address sour_netmask des_address des_netmask eq port_num
list_name：扩展访问控制列表名称
deny/permit：阻止/允许符合此条规则的流量
tcp/udp：此条规则匹配的协议
sour_address：此条规则匹配的源地址
sour_netmask：此条规则匹配的源地址掩码
des_address：此条规则匹配的目的地址
des_netmask：此条规则匹配的目的地址掩码
port_num：此条规则所匹配的端口号
ciscoasa(config)#access-group list_name in/out interface interface_name
in/out：调用接口的入/出方向
interface_name：调用控制列表的接口名
5.4. 范例
ciscoasa(config)#access-list 400 extended deny udp 10.78.224.0 255.255.255.0 61.134.1.4 255.255.255.255 eq 53
//阻止源地址10.78.224.0/24网段对目的地址61.134.1.4主机UDP 53端口
ciscoasa(config)#access-group 400 in interface inside
//在inside接口的入方向调用
六、 ASA防火墙工作状态调试
6.1. 防火墙健康检查
查看当前ASA配置
ciscoasa#show run
查看CPU利用率
ciscoasa#show cpu usage (show cpu usage context all 正常应该在80%以下)
内存利用：
ciscoasa#show memory
Xlate 表大小：
ciscoasa#show xlate count
Conn 表大小：
ciscoasa#show conn count
端口状态：
ciscoasa#show interface interface_name
6.2. 验证防火墙的连接性
ping测试：
ciscoasa#ping ip_address
traceroute测试：
ciscoasa#traceroute ip_address
查看路由表：
ciscoasa#show route
ASA防火墙ACL检查：
ciscoasa#show access-list