CiscoASA防火墻詳細(xì)圖文配置實(shí)例_第1頁
CiscoASA防火墻詳細(xì)圖文配置實(shí)例_第2頁
CiscoASA防火墻詳細(xì)圖文配置實(shí)例_第3頁
CiscoASA防火墻詳細(xì)圖文配置實(shí)例_第4頁
CiscoASA防火墻詳細(xì)圖文配置實(shí)例_第5頁
已閱讀5頁,還剩103頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、精選優(yōu)質(zhì)文檔-傾情為你奉上精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)專心-專注-專業(yè)精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)Cisco ASA 防火墻圖文配置實(shí)例本文是基于ASA5540 和 ASA5520 的配置截圖所做的一篇配置文檔,從最初始的配置開始:1、連接防火墻登陸與其他的 Cisco 設(shè)備一樣,用 Console 線連接到防火墻,初始特權(quán)密碼為空。2、配置內(nèi)部接口和 IP 地址進(jìn)入到接口配置模式,配置接口的 IP 地址,并指定為 inside。防火墻的地址配置好后,進(jìn)行測(cè)試,確認(rèn)可以和防火墻通訊。3、用 dir 命令查看當(dāng)前的 Image 文件版本。4、更新 Image 文件。準(zhǔn)

2、備好 TFTP 服務(wù)器和新的 Image 文件,開始更新。5、更新 ASDM。6、更新完成后,再用 dir 命令查看7、修改啟動(dòng)文件。以便于 ASA 防火墻能夠從新的 Image 啟動(dòng)8、存盤,重啟9、用 sh version 命令驗(yàn)證啟動(dòng)文件,可以發(fā)現(xiàn)當(dāng)前的 Image 文件就是更新后的10、設(shè)置允許用圖形界面來管理 ASA 防火墻表示內(nèi)部接口的任意地址都可以通過 http 的方式來管理防火墻。11、打開瀏覽器,在地址欄輸入防火墻內(nèi)部接口的 IP 地址選擇“是”按鈕。12、出現(xiàn)安裝 ASDM 的畫面選擇“Install ASDM Launcher and Run ASDM”按鈕,開始安裝過程

3、。13、安裝完成后會(huì)在程序菜單中添加一個(gè)程序組14、運(yùn)行 ASDM Launcher,出現(xiàn)登陸畫面15、驗(yàn)證證書單擊“是”按鈕后,開始登陸過程16、登陸進(jìn)去后,出現(xiàn)防火墻的配置畫面,就可以在圖形界面下完成 ASA 防火墻的配置17、選擇工具欄的“Configuration”按鈕18、選擇“Interface”,對(duì)防火墻的接口進(jìn)行配置,這里配置g0/3接口選擇 g0/3 接口,并單擊右邊的“Edit”按鈕19、配置接口的 IP 地址,并將該接口指定為 outside單擊 OK 后,彈出“Security Level Change”對(duì)話框,單擊 OK20、編輯 g0/1 接口,并定義為 DMZ 區(qū)

4、域21、接口配置完成后,要單擊 apply 按鈕,以應(yīng)用剛才的改變,這一步一定不能忘22、設(shè)置靜態(tài)路由單擊 Routing-Static Route-Add23、設(shè)置 enable 密碼24、允許 ssh 方式登錄防火墻25、增加用戶定義 ssh 用本地?cái)?shù)據(jù)庫驗(yàn)證26、用 ssh 登錄測(cè)試登錄成功27、建立動(dòng)態(tài) NAT 轉(zhuǎn)換選擇 Add Dynamic NAT RuleInterface 選擇 inside,Source 處輸入 any單擊 Manage 按鈕單擊 add,增加一個(gè)地址池Interface 選擇 Outside,選擇 PAT,單擊 Add 按鈕單擊 OK完成了添加動(dòng)態(tài) NAT

5、轉(zhuǎn)換28、靜態(tài) NAT 轉(zhuǎn)換由于筆者 2009 年離開了原單位,有些配置的截圖沒有做,新單位又沒有 ASA 防火墻,只好參考ASA8.0/ASDM6.0 測(cè)試報(bào)告的截圖和文檔來完成本文,并將該文檔中部分常用的配置聯(lián)接在本文后,對(duì)該文的作者表示感謝。關(guān)于在 ASA 上配置 IPSec VPN 和 SSL VPN 的截圖都沒有,所以本文中就只好省略掉這一部分了。為 0 添加靜態(tài) NAT 轉(zhuǎn)換。29、免除 NAT當(dāng)穿過防火墻的訪問某些區(qū)域而不需要進(jìn)行 NAT 轉(zhuǎn)換時(shí)就需要用到免除 NAT 功能。如為 inside 訪問 DMZ 區(qū)域的服務(wù)器時(shí)就不需要進(jìn)行NAT 轉(zhuǎn)換,這時(shí)就可以配置免除 NAT。以下

6、為ASA8.0/ASDM6.0 測(cè)試報(bào)告文檔的部分內(nèi)容,對(duì)原文檔中的序號(hào)等未作修改。7定義安全策略注意缺省情況下高安全級(jí)別到低安全級(jí)別安全策略是允許通過的,所以 inside 到 ouside,DMZ 到 ouside不用設(shè)置安全策略流量就可以通過此 時(shí) 我 們 只 需 要 建 立outside到 DMZ的HTTP server(0)的安全策略PDF created with pdfFactory Pro trial version 8 multi-context模式PDF created with pdfFactory Pro trial version 將管理 PC 接到 M0/0口添加

7、context在本例中我們加兩個(gè) context A 和 BPDF created with pdfFactory Pro trial version PDF created with pdfFactory Pro trial version 此時(shí) context A已經(jīng)配置完畢,context B的配置方法一樣。登陸 context A PDF created with pdfFactory Pro trial version 對(duì)于 context 的其他配置和配置 single模式是一樣的。9透明模式9.1設(shè)置透明模式轉(zhuǎn)換模式定義接口設(shè)置管理 IPPDF created with pdfF

8、actory Pro trial version 透明模式下安全策略的定義和路由模式的設(shè)置是一樣的。9.2透明模式下的 NAT PDF created with pdfFactory Pro trial version ASA上設(shè)置如下:PDF created with pdfFactory Pro trial version 10 應(yīng)用層協(xié)議檢測(cè)PDF created with pdfFactory Pro trial version 10.1過濾 Instant Messengers此次我們用 YAHOO messenger 做測(cè)試將 Yahoo Messenger 的連接配置修改為 Fi

9、rewall with no proxies,然后我們將利用 ASA 的應(yīng)用安全策略進(jìn)行控制. PDF created with pdfFactory Pro trial version PDF created with pdfFactory Pro trial version PDF created with pdfFactory Pro trial version PDF created with pdfFactory Pro trial version 此時(shí) Yahoo messenger 無法登陸。我們可以通過 CLI 驗(yàn)證配置PDF created with pdfFactory P

10、ro trial version 10.2過濾 long URLPDF created with pdfFactory Pro trial version PDF created with pdfFactory Pro trial version PDF created with pdfFactory Pro trial version PDF created with pdfFactory Pro trial version PDF created with pdfFactory Pro trial version 此時(shí) URI 長度超過 20Bytes將無法正常顯示。通過 CLI 驗(yàn)證PD

11、F created with pdfFactory Pro trial version 10.3通過 QOS 對(duì)應(yīng)用進(jìn)行限速PDF created with pdfFactory Pro trial version PDF created with pdfFactory Pro trial version PDF created with pdfFactory Pro trial version 觀察限速結(jié)果10.4對(duì)應(yīng)用程序命令進(jìn)行過濾此次我們防止客戶上傳文件到 FTP SERVER PDF created with pdfFactory Pro trial version PDF crea

12、ted with pdfFactory Pro trial version 通過 CLI 進(jìn)行配置驗(yàn)證PDF created with pdfFactory Pro trial version 驗(yàn)證結(jié)果:11對(duì) HTTP 進(jìn)行應(yīng)用過濾 11.1 Filtering Java AppletsPDF created with pdfFactory Pro trial version PDF created with pdfFactory Pro trial version 過濾前:過濾后:PDF created with pdfFactory Pro trial version 11.2 filt

13、er activeXPDF created with pdfFactory Pro trial version 11.4基于表達(dá)式過濾 URL通過 CLI 配置:通過 ASDM配置:PDF created with pdfFactory Pro trial version PDF created with pdfFactory Pro trial version PDF created with pdfFactory Pro trial version PDF created with pdfFactory Pro trial version 12 High-Availability12.1 active/standbyPDF created with pdfFactory Pro trial version PDF created with pdfFactory Pro trial version 12.2 active/activePDF created with pdfFactory Pro trial versio

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論