ASA防火墙NAT类型
动态NAT
动态PAT
静态NAT
静态PAT
动态PAT
object network inside(inside为自定义名称)
subnet 10.1.1.0 255.255.255.0
nat(inside,outside)dynamic 119.1.1.201(用于PAT转换的IP地址)
或者基于outside端口上网
nat(inside,outside)dynamic interface
查看NAT转换命令(xlate表)
show xlate
portmap 端口映射
静态NAT
object network ob-out(外网ob-out为自定义名称/)
host 200.8.8.4(配置外网的IP地址)
object network dmz01(隔离区dmz01为自定义名称)
host 192.168.3.100(配置隔离区web服务器的IP地址)
nat (dmz,outside)static ob-out service tcp 80 80(配置外网-->隔离区域WEB服务器的静态地址转换)
object network dmz02(隔离区dmz02为自定义名称)
host 192.168.3.101(配置隔离区ftp服务器的IP地址)
nat (dmz,outside) static ob-out service tcp 21 21(配置外网-->隔离区域WEB服务器的静态地址转换)
access-list out-to-dmz permit tcp any object dmz01 eq http(out-to-dmz为此条acl的自定义名称,dmz01为之前配置隔离区nat的自定义名称)
access-list out-to-dmz permit tcp any object dmz02 eq ftp(out-to-dmz为此条acl的自定义名称,dmz02为之前配置隔离区nat的自定义名称)
access-group out-to-dmz in interface outside(应用上面2条ACL条目,out-to-dmz为上面2条acl条目的自定义名称)
查看关于object的所有配置信息
ciscoasa(config)# show running-config object
查看关于object的某一条ID对应的信息
ciscoasa(config)# show running-config object id dmz02
远程管理ASA
telnet
telnet 10.1.1.0 255.255.255.0 inside(配置10.1.1.0网段的用户去telnet)
telnet 0 0 inside(配置任何内网用户都可以telnet)
outside是不允许telnet防火墙的
SSH
hostname XXX(XXX为自定义名称)
domain-name XXX.com(XXX.com为自定义域名)
crypto key generate rsa moduls 1024
RSA密钥对,默认长度是1024位 modulus:长度
2048位
512位
768位
ssh 0 0 outside(0 0是允许任何用户)
username XXX password XXX(XXX为自定义用户名+自定义密码)
aaa authentication ssh console LOCAL(LOCAL必须大写)
备注:SSH验证的方法是通过CRT来进行验证。
ASDM
http server enable (启用HTTPS服务)
http 0 0 outside (在外网开启ASDM服务,0 0为允许任何外网用户登录)
asdm image disk0:/asdm-649.bin (挂载镜像文件,可用dir命令查询具体.bin系统镜像)
username cisco password cisco privilege 15 (设置用户名和秘钥,并配置优先级,范围0-15.默认1,最好的是15)
备注:ASDM的验证方法是通过网页https://200.8.8.6来进行访问。通过安装java来安装图形化界面监控器
日志服务器
安装firewall analyzer,使用UDP端口514和1514
ASA的两种工作模式
路由模式(默认)
充当一个3层设备,基于目的IP地址转发数据包
透明模式
充当一个2层设备,基于目的MAC地址转发数据帧
透明模式下继续使用应用层智能执行状态检测和各项常规防火墙功能。但只支持2个区域
透明模式下不需要在接口上配置IP地址。这样就不用重新设计现有的IP网络,方便部署
转载于:https://blog.51cto.com/13467772/2067986