思科防火墙配置命令（详细命令总结归纳）

您所在的位置：网站首页 › 思科vlan配置地址 › 思科防火墙配置命令（详细命令总结归纳）

思科防火墙配置命令（详细命令总结归纳）

#思科防火墙配置命令（详细命令总结归纳）| 来源: 网络整理| 查看: 265

前言

一、防火墙介绍

二、防火墙配置

1、防火墙的基本配置

2、配置特权密码

3、配置远程登录密码（在使用Telnet或SSH时需要输入的密码）

4、配置接口名称和接口安全级别

5、配置ACL

（1）允许入站连接

（2）控制出站连接的流量

（3）ACL其他配置

6、配置静态路由

7、配置命令补充

8、远程管理ASA

（1）Telnet配置实例

（2）配置SSH接入

9、ASA防火墙配置NAT

（1）动态PAT转换配置

（2）静态NAT转换配置

（3）静态PAT转换配置方法

（4）NAT豁免配置方法

结语

前言

防火墙的实施是每个网络基础设施必要且不可分割的组成部分，传统的防火墙功能已经从最初保护网络免于未授权外部访问的攻击得到了进一步的发展，现在的防火墙通常具备多种功能，下面介绍一下思科防火墙的详细配置方法

一、防火墙介绍

防火墙用于维护一个关于用户信息的连接表，称为Conn表，表中信息有：源ip地址、目的ip地址、ip协议（如http、ftp等）、ip协议信息（协议端口号等），防火墙能够基于特定的网络、主机和服务（TCP/UDP端口号）控制网络访问

二、防火墙配置 1、防火墙的基本配置 ciscoasa> enPassword:默认特权密码为空，直接回车即可ciscoasa# conf tciscoasa(config)# hostname 防火墙名称 2、配置特权密码 asa(config)# enable password 密码 3、配置远程登录密码（在使用Telnet或SSH时需要输入的密码） asa(config)# passwd 密码 4、配置接口名称和接口安全级别 asa(config)# in e0/0asa(config-if)# nameif 接口名称asa(config-if)# security-level 安全级别{0~100}如果ASA的型号是5505，则不支持在物理接口上直接进行以上配置，必须通过VLAN虚接口来配置asa(config)#int vlan 1asa(config-if)# nameif insideasa(config-if)# security-level 100asa(config-if)#ip add 10.1.1.254 255.255.255.0asa(config-if)# no shut查看conn表asa#show conn detail 5、配置ACL （1）允许入站连接 asa(config)# access-list out_to_in permit ip host 172.16.1.5 host 10.1.1.7允许外网主机172.16.1.5访问内网主机10.1.1.7，out_to_in为ACL组名asa(config)# access-group out_to_in in int outside将组名为out_to_in的ACL应用在outside接口（2）控制出站连接的流量 asa(config)# access-list in_to_out deny ip 10.0.0.0 255.0.0.0 any拒绝内网10.0.0.0网段访问外网所有网段asa(config)# access-list in_to_out permit ip any any允许其他所有流量通行，因为ACL有隐含的拒绝语句，所以配置ACL时，一般都需要允许所有流量asa(config)# access-group in_to_out in int inside应用在内网接口（3）ACL其他配置

ICMP协议默认情况下，禁止ICMP报文穿越ASA是基于安全性的考虑，有时候为了方便调试，可以配置暂时允许ICMP应答报文穿越ASA

ciscoasa(config)# access-list 111 permit icmp any any定义ACLciscoasa(config)# access-group 111 in int outside应用到outside接口 6、配置静态路由 asa(config)# route outside 172.16.0.0 255.255.0.0 10.0.0.1去往外网172.16.0.0网段的流量下一跳为10.0.0.1asa(config)# route inside 192.168.1.0 255.255.255.0 192.168.2.1去往内网192.168.1.0网段的流量下一跳为192.168.2.1 7、配置命令补充

no在前面，当配置错一条命令后，可以在原先的配置命令前加no即可删除配置错的那条命令

ciscoasa# write memory保存running configuration配置到startup configurationciscoasa# copy running-config startup-config保存running configuration配置到startup configurationciscoasa(config)# clear configure all清除running configuration的所有配置ciscoasa(config)# clear configure access-list清除所有acces-list命令的配置ciscoasa(config)# clear configure access-list in_to_out只清除access-list in_to_out 的配置ciscoasa# write erase删除startup-config配置文件 8、远程管理ASA

ASA支持三种主要的远程管理接入方式：Telnet 、ssh和ASDM

（1）Telnet配置实例

由于使用Telnet远程管理是不安全的，所以一般禁止从外部接口使用Telnet接入，而只允许在内网使用Telnet

配置允许从inside区域内的192.168.0.0/24网段使用telnet接入ciscoasa(config-if)# telnet 192.168.0.0 255.255.255.0 inside(接口名字)或者允许单个主机Telnet防火墙（两者根据需要二选一即可）ciscoasa(config)# telnet 192.168.0.1 255.255.255.255 inside(接口名字) 配置空闲超时时间为30分钟ciscoasa(config)# telnet timeout 30(1~1440min,默认5min) （2）配置SSH接入配置主机名和域名，因为在生成RSA密钥对的过程中需要用到主机名和域名ciscoasa(config-if)# host 主机名配置主机名aaa(config)# domain-name 域名{.com}配置域名aaa(config)# crypto key generate rsa modulus 1024指定modulus的大小为1024位，大小可以为512位,768位,1024位或2048位，表示生成的RSA密钥的长度aaa(config)# ssh 192.168.1.0 255.255.255.0 inside允许内网1.0的网段SSH接入aaa(config)# ssh 0 0 outside允许外网任何主机SSH接入aaa(config)# ssh timeout 30配置超时时间为30分钟aaa(config)# ssh version 2启用SSH的版本2，该命令为可选

版本1和版本2，区别是安全机制不一样，配置SSH接入完成后，可以在outside区域内的主机上使用SecureCRT或putty等工具登录ASA的outside接口，注意ASA默认使用用户名为pix，密码为使用password命令设置的密码

9、ASA防火墙配置NAT （1）动态PAT转换配置把内部全局地址10.1.1.2转换为30.1.1.100ASA(config)# nat (×××ide){名称，outside或inside} nat名称 10.1.1.0 255.255.255.0声明内部地址ASA(config)# global (outside) nat名称 30.1.1.100-30.1.1.200声明全局地址，nat名称与内部nat名称要相同ASA(config)# show xlate detai查看NAT地址转换表转换为outside接口的地址ASA(config)# nat (×××ide){名称，outside或inside} nat名称 10.1.1.0 255.255.255.0声明内部地址，nat-id为1ASA(config)# global (outside) 1 interface声明内部地址全部转换为outside区域接口地址（2）静态NAT转换配置 dmz区域的20.1.1.2 映射成公网地址100.1.1.1访问ASA(config)# static (dmz,outside) 100.1.1.1 20.1.1.2第一个IP地址是公网IP地址，第二地址是dmz区域服务器的真实IP地址ASA(config)# access-list 100 permit ip host 30.1.1.2 host 100.1.1.1ASA(config)# access-group 100 in int outside设置ACL允许outside区域访问dmz区域，但是访问的是映射后的地址（3）静态PAT转换配置方法将内部的服务器映射到公网同一个IP，不同端口号ASA(config)# static (dmz,outside) tcp 100.1.1.1 http 20.1.1.2 httpASA(config)# static (dmz,outside) tcp 100.1.1.1 smtp 20.1.1.3 smtp将内部服务器地址映射到同一个公网地址不同端口号ASA(config)# access-list out_to_dmz permit ip host 30.1.1.2 host 100.1.1.1ASA(config)# access-group out_to_dmz in int outside设置ACL允许outside区域访问dmz区域，但是访问的是映射后的地址（4）NAT豁免配置方法 ASA(config)# nat-control表示通过ASA防火墙的数据包都必须使用NAT地址转换技术ASA(config)# access-list ACL组名 extended permit ip 10.1.1.0 255.255.255.0 30.1.1.0 255.255.255.0ASA(config)# nat (×××ide) 0 access-list ACL组名×××ide接口应用ACL，注意nat名称为0 表示使用NAT豁免，优先级最高，就是ACL中的地址经过ASA防火墙时，不需要进行地址转换结语

在互联网上防火墙是一种非常有效的网络安全防范设备，通过它可以隔离风险区域 (即Internet或有一定风险的网络)与安全区域 (局域网)的连接，所以它一般连接在核心交换机与外网之间，在内部网络与外网之间起到一个把关的作用

【本文地址】

思科防火墙配置命令（详细命令总结归纳）

思科防火墙配置命令（详细命令总结归纳）

今日新闻

推荐新闻