文档介绍:一、asa防火墙的认识
PIX是Cisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。
asa有很多型号,并发连接数是PIX防火墙的重要参数。asa5520是典型的设备。
asa防火墙常见接口有:console、Failover、、USB。
网络区域:
内部网络:inside
外部网络:outside
中间区域:称DMZ (停火区)。放置对外开放的服务器。
The PIX Philosophy
ASA Firewall
work
work
DMZ
nameif 0�outside security0
nameif 1�inside security100
nameif 2�DMZ security50
0
50
100
PIX Overview
The PIX Philosophy
work
work
DMZ
Default Actions:
Higher to Lower:�PERMIT
Lower to Higher:�DENY
Between Same:�DENY
0
50
100
PIX Overview
二、防火墙的配置规则
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。
(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)
inside可以访问任何outside和dmz区域。
dmz可以访问outside区域。
inside访问dmz需要nat配合static(静态地址转换)。
outside访问dmz需要nat配合acl(访问控制列表)。
dmz访问inside需要acl
三、ASA防火墙的配置模式:
ASA防火墙的配置模式与路由器类似,有4种管理模式:
PIXfirewall>:用户模式
PIXfirewall#:特权模式
PIXfirewall(config)#:配置模式
monitor>:ROM监视模式,开机按住[Esc]键或发送一个“Break”字符,进入监视模式。
四、ASA基本配置命令
常用命令有:nameif、interface、ip address、nat、global、route、static
acl 等。
1、nameif
设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。
例如要求设置:
0/0命名为外部接口outside,安全级别是0。
0/1命名为内部接口inside,安全级别是100。
0/2命名为中间接口dmz, 安装级别为50。
使用命令:
演示
2、interface
配置以太口工作状态,常见状态有:auto、100full、shutdown。
auto:设置网卡工作在自适应状态。
100full:设置网卡工作在100Mbit/s,全双工状态。
shutdown:设置网卡接口关闭,否则为激活。
命令:
asa(config)#interface 0 auto
asa(config)#interface 1 100full
asa(config)#interface 1 100full shutdown
3、ip address
配置网络接口的IP地址,例如:
asa(config)#ip address
asa(config)#ip address
,。
nat和global关系
nat/pat的设置分两个步骤
。(内部)
(外部)
nonat的概念