文档介绍：思科ASA防火墙精华配置总结
    思科防火墙 PIX ASA 配置总结一(基础):
    下面是我工作以来的配置总结,,但不影响在7.*版本的配置。
    一:6个基本命令: nameif、 interface、 ip address 、nat、 global、 route。
    二:基本配置步骤:
    step1: 命名接口名字
    nameif 0 outside security0
    nameif 1 inside security100
    nameif 2 dmz security50
    **7版本的配置是先进入接口再命名。
    step2:配置接口速率
    interface 0 10full auto
    interface 1 10full auto
    interface 2 10full
    step3:配置接口地址
    ip address outside
    ip address inside
    ip address dmz
    step4:地址转换(必须)
    * 安全高的区域访问安全低的区域(即内部到外部)需NAT和global;
    nat(inside) 1
    global(outside) 1
    *** nat (inside) 0 。直接转发出去。
    * 如果内部有服务器需要映像到公网地址(外网访问内网)则需要static和conduit或者acl.
    static (inside, outside)
    static (inside, outside) 10000 10
    后面的10000为限制连接数,10为限制的半开连接数。
    conduit permit tcp host eq
    conduit permit icmp any any (这个命令在做测试期间可以配置,测试完之后要关掉,防止不必要的漏洞)
    ACL实现的功能和conduit一样都可实现策略访问,只是ACL稍微麻烦点。conduit现在在7版本已经不能用了。
    Access-list 101 permit tcp any host eq www
    Access-group 101 in interface outside (绑定到接口)
      ***。
    Step5:路由定义:
    Route outside 0 0 1
    Route inside 1
      **如果内部网段不是直接接在防火墙内口,则需要配置到内部的路由。
    Step6:基础配置完成,保存配置。
    Write memory write erase 清空配置
    reload

 
前言
防火墙观念已经在企业网络相当普及,DataCenter提供企业主机代管业务或是ISP提供企业VPN需求时,常需考虑网络安全,需要帮客户建置防火墙服务,DataCenter提供为数众多的客户主机代管服务,亦需要为客户建置安全网络环境。DataCenter在众多客户的网络环境或是大型企业各个子公司需要不同防火墙策略时,即可考虑使用思科ASA系列防火墙的Multiple context 功能来建置一个灵活可扩充性高的防火墙环境。
ASA Multiple context 是将一个实体防火墙分割成多个虚拟防火墙。每一虚拟防火墙可以有独立虚拟线路、路由表、NAT表、独立防火墙策略及个别管理者。使用限制上,ASA Multuple context启动后,ASA只支持静态路由,不支持动态路由、Multicast路由以及VPN与Threat Detection功能。
 
一、ASA Multi