文档介绍:Cisco ASA5500系列防火墙基本配置手册
一、配置基础
思科防火墙支持下列用户配置方式:
Console,,SSH(,),ASDM的http方式,VMS的Firewall Management Center。
支持进入Rom Monitor模式,权限分为用户模式和特权模式,支持Help,History和命令输出的搜索和过滤。
用户模式:
Firewall> 为用户模式,输入enable进入特权模式Firewall#。特权模式下输入config t可以进入全局配置模式。通过exit,ctrl-z退回上级模式。
配置特性:
在原有命令前加no可以取消该命令。Show running-config 或者 write terminal显示当前配置。Show running-config all显示所有配置,包含缺省配置。Tab可以用于命令补全,ctrl-l可以用于重新显示输入的命令(适用于还没有输入完命令被系统输出打乱的情况),help和history相同于IOS命令集。
Show命令支持 begin,include,exclude,grep 加正则表达式的方式对输出进行过滤和搜索。
Terminal width 命令用于修改终端屏幕显示宽度,缺省为80个字符,pager命令用于修改终端显示屏幕显示行数,缺省为24行。
跟路由器一样可以使用setup进行对话式的基本配置。
二、配置连接性
接口基础:
防火墙的接口都必须配置接口名称,接口IP地址和掩码和安全等级。接口基本配置:
Firewall(config)# interface hardware-id 进入接口模式
Firewall(config-if)# speed {auto | 10 | 100 | nonegotiate} 设置接口速率
Firewall(config-if)# duplex {auto | full | half} 接口工作模式
Firewall(c
onfig-if)# [no] shutdown 激活或关闭接口
Firewall(config-if)# nameif if_name 配置接口名称
Firewall(config-if)# security-level level 定义接口的安全级别
例:interface 0/0
nameif outside
security-level 0
ip address
!
interface 0/1
nameif inside
security-level 100
ip address
在配置中,接口被命名为外部接口(outside),安全级别是0;被命名为内部接口(inside),~99,数字越大安全级别越高。规则是高级别可以访问低级别,但低级别默认情况下是不可以访问高级别端口的。
注:相同安全等级的接口这间互相不能通讯,除非是在全局配置模式下使用same-security-traffic permit