文档介绍:CISCO ASA5510 防火墙配置手册一. 密码配置 1. 密码 C iscoasa(config)#passwd 123 (用于 登陆 ASA 的密码) 密码 C iscoasa(config)#enable password 456 (进入 enable 特权模式的密码) C iscoasa(config)#hostname wy-ciscoasa 二. 接口配置 接口命名 C iscoasa(config)#interface 0/0 C iscoasa(config-if)#nameif outside 一般的情况将 E0/0 命为外网接口,而将 E0/1 命为内网接口。 配置接口安全级别 C iscoasa(config-if)#security-level 100 (100 指权限,数字越高权限越高) 配置 IP地址 C iscoasa(config-if)#ip address .*.* 关闭/激活接口 C iscoasa(config-if)#shutdown/no shutdown 三. 静态路由配置 C iscoasa(config)#route inside 意思为:在 inside 接口上创建一条到 网络走 的路由, ASA 会将到 网络的所有数据包转发给下一条 C iscoasa(config)#route outside 创建一条外网默认路由, ASA 将所有互联网流量转发给 网关 四. 网络地址转换( NAT )配置 的简介 NAT 实现的方式有三种:动态 NAT 、静态 NAT 、 PAT 动态 NAT :指将内部网络私有 IP地址转换为公有 IP地址, IP地址不确定, 是随机的,所有被授权访问 的私有 IP地址可随机转换为任何指定合法 IP地址。静态 NAT :指 IP地址一对一的转换。 PAT :指改变外出数据包的源端口并进行端口转换。内部所有网络均可以共享一个合法外部 IP地址实现对 的访问,从而可以最大限度节约 IP 地址资源。同时,又可以隐藏网络内部的所有主机,有效避免来自己 intelne t 的攻击。因此,武英项目做 NAT 时推荐用 PAT 。 动态 NAT 的配置 C iscoasa(config)#nat (inside) 1 将网络接口为 网络激活 NAT C iscoasa(config)#global(outside) 1 -.*.* netmask 将把来自 insid 接口 网络的地址动态转换为 -.*.* 的地址。 静态 NAT 的配置 C iscoasa(config)#nat (inside) 2 将此地址激活 NAT C iscoasa(config)#global 2 .*.* 将 这个地址转换为 .*.* PAT 配置 C iscoasa(config)#nat (inside) 3 将此地址激活 NAT C iscoasa(config)#global (outside) 3 interface( 这个是电信只提供了一个 IP时可以这样做,所有内网共享一个 IP上网) 端口映射的配置 什么时候要做端口映射当外网需要访问内网中的一台服务器时, ASA 并不知道访问的是哪一台内网中的机器,这时就需要做静态的端口映射。 端口映射的配置语法: C iscoasa(config)#access-list list-name extended permit tcp/udp any hsot outside_address eq port_num list_name: 访问控制列表名称 tcp/udp: 需要映射的协议类型 port_num: 需要映射的端口号 C iscoasa(config)#static (inside,outside)