Cisco ASA防火墙简易配置与调试手册


一、 基础配置
1.1 密码配置 ciscoasa(config)#passwd password 一般用于telnet登陆ASA的登录密码
1.2 Enable密码配置 ciscoasa(config)#enable password password 用于进入enable特权模式的密码
1.3 设备命名 ciscoasa(config)#hostname hostname 用于设备命名管理
二、 接口配置
2.1 接口命名 ciscoasa(config)#interface interface_id 进入接口配置模式
ciscoasa(config-if)#nameif interface_name 配置接口名称
2.2 配置接口安全级别
ciscoasa(config-if)#security-level security_level 安全级别为0-100,0为最低
2.3 配置IP地址
ciscoasa(config-if)#ip address ip_address netmask 配置接口IP地址与掩码
2.4 关闭/激活接口
ciscoasa(config-if)#shutdown
//关闭接口
ciscoasa(config-if)#no shutdown
//激活接口
2.5 范例
ciscoasa(config)#interface g0/0
//进入g0/0接口
ciscoasa(config-if)#nameif outside
//配置g0/0接口名称为outside
ciscoasa(config-if)#security-level 0
//配置outside接口安全级别为0(outside接口默认安全级别为0)
ciscoasa(config-if)#ip address 218.21.217.161 255.255.255.252
//配置outside接口IP地址为218.21.217.162,掩码为255.255.255.252
ciscoasa(config-if)#no shutdown
//激活该接口
三、 路由配置
3.1 静态路由配置
ciscoasa(config)#route interface_name destination_network netmask gateway_address
interface_name:路由方向的接口名称
destination_network:目的网络地址
netmask:目的网络掩码
gateway_address:下一跳网关地址
3.2 外口默认路由配置
ciscoasa(config)#route outside 0 0 gateway_address
3.3 范例
ciscoasa(config)#route inside 172.16.0.0 255.255.0.0 192.168.100.1
//在inside接口上创建一条到172.16.0.0/16网络走192.168.100.1的路由,ASA会将到172.16.0.0/16网络的所有数据包转发给下一跳网关192.168.100.1
ciscoasa(config)#route outside 0 0 218.21.217.161
//创建一条外网的默认路由,ASA将所有的互联网流量发给internet网关218.21.217.161
四、 网络地址转换(NAT)配置
4.1 关于NAT
随着接入Internet的计算机数量的不断猛增,IP地址资源也就愈加显得捉襟见肘,即使是拥有几百台计算机的大型局域网用户,当他们申请IP地址时,所分配的地址也不过只有一个或几个IP地址,显然,这样少的IP地址根本无法满足网络用户的需求,于是也就产生了NAT技术。
借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。
NAT的实现方式有三种:动态NAT、静态NAT、PAT
动态NAT:指将内部网络的私有IP地址转换为公用IP地址时,IP地址对是不确定的,而是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。
静态NAT:指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。
PAT: 指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
4.2 动态NAT的配置
ciscoasa(config)#nat (if_name) nat_id network netmask
if_name:激活NAT的接口,一般是inside
nat_id:NAT转换的序号,对应global序号
network:需要做NAT转换的网络
netmask:需要转换网络的掩码
ciscoasa(config)#global (if_name) nat_id address_range netmask netmask
if_name:NAT转换后的出接口名,一般是outside
nat_id:对应NAT转换的序号
address_range:用作NAT的地址池
netmask:地址池的掩码
范例:
ciscoasa(config)#nat (inside) 1 network 172.16.0.0 255.255.0.0
//在inside接口为172.16.0.0/16网络激活NAT
ciscoasa(config)#global (outside) 1 10.78.139.129-10.78.139.254 netmask 255.255.255.0
//把来自inside接口172.16.0.0/16网络的地址动态转换为10.78.139.129-254/24中的地址
4.3 静态NAT的配置
ciscoasa(config)#nat (if_name) nat_id host 255.255.255.255
if_name:激活NAT的接口,一般是inside
nat_id:NAT转换的序号,对应global序号
host:被转换的主机IP地址
ciscoasa(config)#global (if_name) nat_id address netmask
if_name:NAT转换后的出接口名,一般是outside
nat_id:对应NAT转换的序号
address:转换后的IP地址
netmask:转换后地址的掩码
范例:
ciscoasa(config)#nat (inside) 2 10.78.224.9 255.255.255.255
//为来自inside接口的10.78.224.9这个地址激活NAT
ciscoasa(config)#global (outside) 2 218.21.217.162 255.255.255.252
//将10.78.224.9这个地址转换为218.21.217.162
4.4 PAT的配置
ciscoasa(config)#nat (if_name) nat_id network netmask
if_name:激活NAT的接口,一般是inside
nat_id:NAT转换的序号,对应global序号
network:需要做NAT转换的网络
netmask:需要转换网络的掩码
ciscoasa(config)#global (if_name) nat_id interface
if_name:NAT转换后的出接口名,一般是outside
nat_id:对应NAT转换的序号
范例:
ciscoasa(config)#nat (inside) 3 172.16.0.0 255.255.0.0
//为来自inside接口的172.16.0.0/16网络激活NAT
ciscoasa(config)#global (outside) 3 interface
//把来自inside接口172.16.0.0/16网络的地址做PAT转换为outside接口的地址
4.5 端口映射的配置
4.5.1. 什么时候需要做端口映射
当外网需要访问内网中的一台服务器时,ASA并不知道访问的是哪一台内网中的机器,这时就需要做静态的端口映射。
4.5.2. 端口映射的配置 ciscoasa(config)#access-list list_name extended permit tcp/udp any host outside_address eq port_num(具体内容详见访问控制配置)
list_name:访问控制列表名称
tcp/udp:需要映射的协议类型
outside_address:outside接口IP地址
port_num:需要映射的端口号
ciscoasa(config)#static (inside,outside) tcp/udp interface port_num local_address port_num netmask 255.255.255.255
tcp/udp:需要映射的协议类型
port_num:映射前的端口号
local_address:映射后的内网主机IP地址
Port_num:映射后的端口号
ciscoasa(config)#access-group 100 in interface outside
//在outside接口in方向调用名称为100的访问控制列表
4.5.3. 范例:
ciscoasa(config)#access-list 100 extended permit tcp any host 218.21.217.162 eq 80
//允许外网访问218.21.217.162的tcp 80端口
ciscoasa(config)#static (inside,outside) tcp interface 80 10.78.224.10 80 netmask 255.255.255.255
//外网访问218.21.217.162的tcp 80端口时启用静态PAT映射至内网10.78.224.10的TCP 80端口
ciscoasa(config)#access-group 100 in interface outside inbound
//访问必须调用ACL
五、 访问控制(ACL)配置
5.1. 配置访问控制列表的一般步骤
配置访问控制列表
接口方向的调用
5.2. 标准访问控制列表
ciscoasa(config)#access-list list_name standard deny/permit des_address netmask
list_name:标准访问控制列表的名称
deny/permit:阻止/允许符合此条规则的流量
des_address:需要做控制的目的地址
netmask:需要做控制的目的地址的掩码
ciscoasa(config)#access-group list_name in/out interface interface_name
in/out:调用接口的入/出方向
interface_name:调用控制列表的接口名
5.3. 扩展访问控制列表
ciscoasa(config)#access-list list_name extended deny/permit tcp/udp sour_address sour_netmask des_address des_netmask eq port_num
list_name:扩展访问控制列表名称
deny/permit:阻止/允许符合此条规则的流量
tcp/udp:此条规则匹配的协议
sour_address:此条规则匹配的源地址
sour_netmask:此条规则匹配的源地址掩码
des_address:此条规则匹配的目的地址
des_netmask:此条规则匹配的目的地址掩码
port_num:此条规则所匹配的端口号
ciscoasa(config)#access-group list_name in/out interface interface_name
in/out:调用接口的入/出方向
interface_name:调用控制列表的接口名
5.4. 范例
ciscoasa(config)#access-list 400 extended deny udp 10.78.224.0 255.255.255.0 61.134.1.4 255.255.255.255 eq 53
//阻止源地址10.78.224.0/24网段对目的地址61.134.1.4主机UDP 53端口
ciscoasa(config)#access-group 400 in interface inside
//在inside接口的入方向调用
六、 ASA防火墙工作状态调试
6.1. 防火墙健康检查
查看当前ASA配置
ciscoasa#show run
查看CPU利用率
ciscoasa#show cpu usage (show cpu usage context all 正常应该在80%以下)
内存利用:
ciscoasa#show memory
Xlate 表大小:
ciscoasa#show xlate count
Conn 表大小:
ciscoasa#show conn count
端口状态:
ciscoasa#show interface interface_name
6.2. 验证防火墙的连接性
ping测试:
ciscoasa#ping ip_address
traceroute测试:
ciscoasa#traceroute ip_address
查看路由表:
ciscoasa#show route
ASA防火墙ACL检查:
ciscoasa#show access-list
阅读更多
想对作者说点什么?

博主推荐

换一批

没有更多推荐了,返回首页