ASA防火墻基本配置

、基本配置#hostnamename//名字的設(shè)置#interfacegigabitethernet0/0#nameifoutside#security-level0#ipaddress218.xxx.xxx.xxx#noshutdown〃進(jìn)入接口#interfacegigabitethernet0/0#nameifoutside#security-level0#ipaddress218.xxx.xxx.xxx#noshutdown//配置接口名為outside〃設(shè)置安全級(jí)別。級(jí)別從0--100，級(jí)別越高安全級(jí)別越高48//設(shè)置外部ip地址#interfaceethernet0/1#nameifinside#security-level100#ipaddress#interfaceethernet0/1#nameifinside#security-level100#ipaddress#duplexfull#speed100#noshutdown#interfaceethernet0/2#nameifdmz#security-level50#ipaddress#noshutdown//配置接口名為inside〃設(shè)置安全級(jí)別。級(jí)別從0--100，級(jí)別越高安全級(jí)別越高〃設(shè)置ip地址//全雙工//速率〃進(jìn)入接口0/2//配置接口名為dmz〃設(shè)置安全級(jí)別。級(jí)別從0--100，級(jí)別越高安全級(jí)別越高〃設(shè)置dmz接口ip地址〃進(jìn)入管理接口//〃進(jìn)入管理接口//接口名//安全級(jí)別nameifguanlisecurity-level100#ipaddress//IP地址注意：security-level配置安全級(jí)別。默認(rèn)外網(wǎng)接口為0/0安全級(jí)別默認(rèn)為0內(nèi)網(wǎng)接口為0/1安全級(jí)別默認(rèn)為100dmz接口為0/2安全級(jí)別默認(rèn)為50默認(rèn)情況下，相同安全級(jí)別接口之間不允許通信，可以使用以下命令:#same-security-trafficpermitinterface〃允許相同安全級(jí)別接口之間互相通信。較高安全接口訪問較低安全接口：允許所有基于IP的數(shù)據(jù)流通過，除非有ACL訪問控制列表，認(rèn)證或授權(quán)的限制。較低安全接口訪問較高安全接口：除非有conduit或acl進(jìn)行明確的許可，否則丟棄所有的數(shù)據(jù)包。二、global>nat、static>route命令1、 global命令global(if_name)nat_idipaddress--ipaddress[netmaskmask]if_name:指的是接口nat_id:為地址池的ID標(biāo)識(shí)號(hào)ipaddress--ipaddress[netmaskmask]：指定的IP地址池范圍，也可以是一個(gè)地址例：global(outside)147-49 //配置一個(gè)地址池global(outside)1interface //配置單個(gè)地址為outside接口的地址global(outside)137netmask48 //配置一個(gè)地址池，為48所有子網(wǎng)范圍內(nèi)的地址2、 nat命令(1)基本用法nat(if_name)nat_idlocal_ip[netmask]if_name:指的是接口nat_id:為地址池的ID標(biāo)識(shí)號(hào)，即global中定義的nat_idlocal_ip[netmask]:哪些地址轉(zhuǎn)換到nat_id這個(gè)地址池上。(2)動(dòng)態(tài)內(nèi)部nat轉(zhuǎn)換(多對多)例：global(outside)147-49 //配置一個(gè)地址池nat(inside)1 //和上面的global配置一起使用，即把這個(gè)網(wǎng)段的地址轉(zhuǎn)換為47-49這個(gè)網(wǎng)段(3)pat(多對一nat)當(dāng)多個(gè)ip地址轉(zhuǎn)換為一個(gè)ip地址時(shí)，就自動(dòng)在外部IP地址的后面加上大于1024的端口號(hào)，以區(qū)別不同的轉(zhuǎn)換訪問。global(outside)147 //配置一個(gè)外部地址nat(inside)1 //和上面的global配置一起使用，即把這個(gè)網(wǎng)段的地址轉(zhuǎn)換為47這個(gè)外部IP地址。外部人看到的是自動(dòng)加了端口號(hào)的地址。⑷策略nataccess-listextendednetlpermitiphost //定義一個(gè)策略global(outside)100 //定義一個(gè)地址nat(inside)1access-listnet1 〃當(dāng)網(wǎng)段的地址訪問這臺(tái)電腦時(shí)，轉(zhuǎn)換為00這個(gè)ip地址。動(dòng)態(tài)外部nat轉(zhuǎn)換當(dāng)?shù)图?jí)別的想往高級(jí)別的轉(zhuǎn)換時(shí)，在后面加outside關(guān)鍵字即可。nat(dmz)1outside//把dmz接口下的地址nat到inside接口中g(shù)lobal(inside)10-0 〃即dmz接口中的網(wǎng)段的地址訪問內(nèi)網(wǎng)時(shí)，將轉(zhuǎn)換為內(nèi)網(wǎng)地址為0-0nat0即nat免除nat0表示穿過防火墻而不進(jìn)行nat轉(zhuǎn)換。即表示地址不經(jīng)過轉(zhuǎn)換直接作為源地址發(fā)送穿過防火墻達(dá)到低級(jí)別安全接口。nat(dmz)055注意：執(zhí)彳丁nat的順序：nat0(nat免除)靜態(tài)nat和靜態(tài)pat(即static命令)策略動(dòng)態(tài)nat(nataccess-list)正常的動(dòng)態(tài)nat和pat(nat)3、static映射命令充許一個(gè)位于低安全級(jí)別接口的流量，穿過防火墻達(dá)到一個(gè)較高級(jí)別的接口。即數(shù)據(jù)流從較低安全級(jí)別接口到較高安全級(jí)別。(1)常用方法：static(real_ifnamemapped_ifname)(mapped_ip|interface}real_ip[netmaskmask]real_ifname:較高級(jí)別接口名mapped_ifname:較低級(jí)別接口名mapped_ip:較低級(jí)別接口ip地址interface:較低級(jí)別接口 real_ip:較高級(jí)別ip地址擴(kuò)號(hào)內(nèi)的順序是：先高級(jí)別后低級(jí)別，擴(kuò)號(hào)外的順序是先低級(jí)別后高級(jí)別，正好相反。例：static(insideoutside)34 〃即把34這個(gè)外部地址映射到內(nèi)部地址上。(2)靜態(tài)端口映射static(real_ifnamemapped_ifname)(tcp|udp}{mapped_ip|interface}mapped_portreal_ipreal_port[netmaskmask]real_ifname:較高級(jí)別接口名mapped_ifname:較低級(jí)別接口名tcp|udp:要映射的端口協(xié)議名mapped_ip:較低級(jí)別接口ip地址interface:較低級(jí)別接口 mapped_port:端口名或端口號(hào) real_ip:較高級(jí)別ip地址real_port:端口名或端口號(hào)注意一點(diǎn)很重要：并不是配置了static就可以從外部訪問內(nèi)部了，必須要定義一個(gè)訪問控制列表來實(shí)現(xiàn)一個(gè)通道，允許哪些服務(wù)或端口，或哪些地址可以訪問。例：static(inside,outside)tcpinterfaceftpftpnetmask55//把outside接口ip地址的ftp端口映射到內(nèi)部IP的FTP端口。access-listftpextendedpermittcpanyinterfaceoutsideeqftp //定議一個(gè)訪問控制列表，以允許ftp數(shù)據(jù)流通過。access-groupftpininterfaceoutside //把訪問控制列表應(yīng)用于接口4、route命令routeif_namedestination_ipgateway[metric]if_name: 接口名destination_ip:目的地gateway: 網(wǎng)關(guān)metric: 跳數(shù)例：routeoutside00471 〃即默認(rèn)網(wǎng)關(guān)為47，只有一跳routeinside〃設(shè)置到目標(biāo)網(wǎng)段的網(wǎng)關(guān)為三、訪問控制訪問控制的方法與路由器的沒有區(qū)別?；静襟E是先定義訪問控制列表，然后再應(yīng)用到接口

即可。在此不多作解釋，在路由器模塊里，會(huì)單獨(dú)把訪問列表作解釋。四、防火墻基本管理1、telnet配置#usenamenamepasswordpassword 〃設(shè)置登入的帳號(hào)和密碼#aaaauthenticationtelnetconsoleLOCAL 〃設(shè)置AAA驗(yàn)證方式。此處為LOCAL本地。也可以用AAA服務(wù)器進(jìn)入驗(yàn)證。#telnetinside 〃哪些地址可telnet進(jìn)此接口#telnettimeout10 //超時(shí)時(shí)長，以分鐘為單位//設(shè)置登入的帳號(hào)和密碼〃設(shè)置AAA驗(yàn)證方式。此處為LOCAL//設(shè)置登入的帳號(hào)和密碼〃設(shè)置AAA驗(yàn)證方式。此處為LOCAL本地。//指定rsa密鑰的大小，這個(gè)值越大，產(chǎn)生rsa的時(shí)#usenamenamepasswordpassword#aaaauthenticationsshconsoleLOCAL也可以用其他服務(wù)器進(jìn)入驗(yàn)證。#sshtimeout10//保存剛才產(chǎn)生的密鑰#cryptokeygeneratersamodulus1024間越長,cisco推薦使用//保存剛才產(chǎn)生的密鑰#writememoutside為外網(wǎng)接口。表示所有IP，可配置單個(gè)IP，#ciscoasa(config)#ssh{insideloutside}//允許哪些outside為外網(wǎng)接口。表示所有IP，可配置單個(gè)IP，〃設(shè)置超時(shí)時(shí)間，單位為分鐘〃設(shè)置超時(shí)時(shí)間，單位為分鐘//指定SSH版本,可以選擇版本2//passwd命令所指定的密碼為遠(yuǎn)程訪問密碼#sshversion1#passwd密碼〃查看SSH〃查看SSH配置信息//清空密鑰〃查看產(chǎn)生的rsa密鑰值cryptokeyzeroizeshowcryptokeymypubkersa3、asdm配置先上傳相應(yīng)asdm版本到防火墻中。webvpn //進(jìn)入WEBVPN模式usernameciscopasswordcisco//新建一個(gè)用戶和密碼httpserverenable 〃開啟HTTP服務(wù)http0inside〃允許哪些ip通過哪個(gè)接口可以通過http連上來。此處的意思為：允許0這個(gè)IP用http通過inside連上防火墻.httpguanli 〃允許網(wǎng)段經(jīng)過管理接口連上防火墻。注意要用交叉線和管理接口連接，進(jìn)行配置。當(dāng)然事先要設(shè)置管理接口的IP，和名稱。經(jīng)過以上配置就可以用ASDM配置防火墻了。如果配置了inside接口訪問，可直接輸入防火墻inside的ip地址。 如果配置了管理接口訪問，首先用交叉線把電腦和防火墻的管理口相連，把電腦設(shè)成和管理口段的IP地址，本例中設(shè)為段的IP打開瀏覽器在地址欄中輸入管理口的IP地址:彈出一下安全證書對話框，單擊“是”輸入用戶名和密碼（就是在串口的WEBVPN模式下新建的用戶和密碼），然后點(diǎn)擊“確定”。出現(xiàn)也下對話框，點(diǎn)擊“DownloadASDMLauncherandStartASDM'開始安裝ASDM管理器，安裝完以后從網(wǎng)上下載一個(gè)JAVA虛擬機(jī)軟件（使用1.4以上Java版本），進(jìn)入WWW.JAVA.COM下載安裝，安裝完后點(diǎn)擊下面的“RunASDMasaJavaApplet”。出現(xiàn)以下對話框，點(diǎn)擊“是”。出現(xiàn)以下對話框，輸入用戶名和密碼（就是在串口的WEBVPN模式下新建的用戶和密碼），然后點(diǎn)擊“是'。出現(xiàn)以下對話框，點(diǎn)擊“是'。進(jìn)入ASDM管理器。這樣就可以通過ASDM來配置防火墻了。以后就可以直接使用ASDM來管理防火墻了。一定要注意一點(diǎn)：有時(shí)候java的版本過高1.6版以上，會(huì)打不開，就試用低版本的（1.4）試一下。4、其他管理命令#writememory //把配置保存#clearconfigureall//把run-config中的內(nèi)容清空#writeerase〃可清除flash閃存中的配置#dir〃顯示flash中的文件#boot[systemiconfig]<usr>:例：#bootsystemflash:/pix-701.bin 〃即從哪個(gè)系統(tǒng)鏡像中啟動(dòng)flash中可以存多個(gè)系統(tǒng)鏡像和配置文件。boot可以選擇從哪個(gè)系統(tǒng)鏡像中啟動(dòng)。#clockset21:00apr12002〃設(shè)置時(shí)間#showmemery#showversion#showcpuusage六、虛擬防火墻（一）虛擬防火墻的特性：1、 我們可以將一個(gè)單一的物理防火墻邏輯上分為多個(gè)虛擬防火墻，每個(gè)虛擬防火墻都是獨(dú)立的設(shè)備。2、 它們有自已獨(dú)立的安全策略，接口和管理接口3、 每個(gè)虛擬防火墻保存一個(gè)配置文件，以保存每個(gè)虛擬防火墻的策略和配置。4、 虛擬防火墻不支持vpn，組播和動(dòng)態(tài)路由協(xié)議（二） 虛擬防火墻的種類虛擬防火墻分為:admincontext和普通虛擬防火墻。admincontext防火墻特性：admincontext必須先于其他的虛擬防火墻進(jìn)行創(chuàng)建和配置。用戶登錄到admincontext虛擬防火墻就擁有了系統(tǒng)管理員的權(quán)限，可以訪問系統(tǒng)以及其他虛擬防火墻。（三） 流量分類因一個(gè)物理防火墻分為多個(gè)虛擬防火墻，那到底哪些數(shù)據(jù)流量屬于哪個(gè)虛擬防火墻的呢？即如何把數(shù)據(jù)流量分配給虛擬防火墻。1、 按接口劃分：即將一個(gè)接口唯一的劃分到一個(gè)虛擬防火墻中，那么通過這個(gè)接口的流量就都屬于這個(gè)虛擬防火墻的。2、 基于MAC地址劃分:一個(gè)接口屬于多個(gè)虛擬防火墻共有。需要為這個(gè)共享接口指定多個(gè)MAC地址，即每個(gè)虛擬防火墻指定一個(gè)mac地址。可手工指定，也可自動(dòng)產(chǎn)生。由于ASA的接口有限，所以在多虛擬防火墻的模式下，我們會(huì)經(jīng)常遇到一個(gè)接口同時(shí)分配給多個(gè)虛擬防火墻。這個(gè)時(shí)候使用物理接口來對流量進(jìn)行分類的辦法將在這種情況下不再適用，因?yàn)榉阑饓o法確定流量究竟應(yīng)該轉(zhuǎn)發(fā)到哪個(gè)虛擬防火墻。我們需要使用其他的方法來對流量的走向進(jìn)行區(qū)分，通常我們會(huì)使用自動(dòng)或者手動(dòng)為這個(gè)分配給多個(gè)虛擬防火墻的共享接口指定不同的MAC地址，防火墻將使用MAC地址來區(qū)分流量的走向。手動(dòng)指定MAC地址:在每個(gè)虛擬防火墻的該共享接口下配置：mac-addressHHH.HHH.HH例如：hostname(config)#InterfaceF0/0hostname(config-if)#mac-address0001.0001.0001自動(dòng)指定MAC地址：在防火墻的SYSTEM平臺(tái)的全局配置模式下配置：mac-addressauto例如：hostname(config)#mac-addressauto3、基于NAT劃分：如果沒有為接口指定唯一的MAC地址，防火墻當(dāng)收到一個(gè)通過共享接口的流量時(shí)，防火墻只會(huì)檢查目的IP地址。通過要使用目的IP地址來決定數(shù)據(jù)包的走向，那么防火墻必須知道目的地址是被定位在哪個(gè)虛擬防火墻上。NAT技術(shù)可以提供這樣的功能。NAT的轉(zhuǎn)換條目可以使防火墻將數(shù)據(jù)包轉(zhuǎn)發(fā)到正確的虛擬防火墻上。配置靜態(tài)NAT轉(zhuǎn)換：?ContextA:static(inside,shared)netmask?ContextB:static(inside,shared)netmask?ContextC:static(inside,shared)netmask當(dāng)我們使用多防火墻模式，并且共享了接口到多個(gè)虛擬防火墻的時(shí)候，我們需要注意將流量轉(zhuǎn)發(fā)到正確的虛擬防火墻上去，如果沒有指定MAC地址(不管是手動(dòng)還是自動(dòng))并且也沒有配置NAT的話，防火墻將不能找到正確的目的地址而將數(shù)據(jù)包丟棄。配置虛擬路由器1、基本配置#showmode 〃顯示當(dāng)前路由器運(yùn)行的模式#modemltiple 〃啟用多虛擬防火墻#admin-contextname //首先創(chuàng)建一個(gè)admin-context虛擬防火墻#contextname 〃創(chuàng)建其他虛擬防火墻，注意虛擬防火墻名區(qū)分大小寫2、為虛擬防火墻分配接口先設(shè)置好虛擬防火墻名，然后在虛擬防火墻配置模式下配置：#allocate-interface物理接口名[別名][visible[invisible]//為接口關(guān)聯(lián)一個(gè)別名。也可以不關(guān)聯(lián)。#allocate-interfaceethOint0visible //把ethO劃分給一個(gè)虛擬防火墻，并且關(guān)聯(lián)一個(gè)別名叫intO，并且讓物理接口ID是可見的。invisible是不可見。#config-urlurl〃每個(gè)虛擬防火墻有獨(dú)立的配置。為虛擬防火墻指定下載配置的地點(diǎn)和名稱。#config-urlcl.cfg//指定配置為cl.cfg七、防火墻模式防火墻有兩種模式：路由器模式和透明模式。路由器模式是常用的模式，配置方法如常規(guī)方法，這里主要解釋透明模式。（一）防火墻的透明模式的特性：（1） 工作在二層，接口不需要配置IP地址；（2） 只支持兩個(gè)接口，inside和outside接口，這兩個(gè)接口都接內(nèi)網(wǎng)地址，像交換機(jī)的一個(gè)端口一樣，沒有區(qū)別。（3） 不支持nat,QOS,多播，VPN，動(dòng)態(tài)路由協(xié)議,ipv6,dhcp中繼（可作DHCP服務(wù)器，但不能做DHCP中繼）（4） 支持多虛擬防火墻。在多虛擬防火墻下，每個(gè)虛擬防火墻都需配一個(gè)管理IP地址，但不能把管理IP作為網(wǎng)關(guān)。（5） 工作在二層，但I(xiàn)P等三層流量要通過防火墻，仍需要ACL訪問控制明確允許（6） arp流量不需要ACL控制就可以通過防火墻。但可以用ARP審查來控制流量。（二）透明防火墻的基本配置#showfiresall〃顯示當(dāng)前防火墻的運(yùn)行模式#firewalltransparent〃啟用透明防火墻模式#nofirewalltransparent//返回ROUTE模式#ipaddress//配置管理IP地址。注意，只是管理IP地址。注意：在配置透明防火墻的接口時(shí)，其他和路由器模式都一樣，但不能配置IP地址。（三） 定制mac表透明模式的防火墻轉(zhuǎn)發(fā)包就是依