文档介绍:CISCO ASA5510 防火墙配置手册
密码配置
Ciscoasa(config)#passwd 123 (登陆ASA的密码)
Ciscoasa(config)#enable password 456 (进入enable特权模式的密码)
Ciscoasa(config)#hostname wy-ciscoasa
接口配置
Ciscoasa(config)#interface 0/0
Ciscoasa(config-if)#nameif outside 一般的情况将E0/0命为外网接口,而将E0/1命为内网接口。
Ciscoasa(config-if)#security-level 100 (100指权限,数字越高权限越高)
Ciscoasa(config-if)#ip address .*.*
Ciscoasa(config-if)#shutdown/no shutdown
静态路由配置
Ciscoasa(config)#route inside
意思为: 的路由,.
Ciscoasa(config)#route outside
创建一条外网默认路由,
网络地址转换(NAT)配置
NAT实现的方式有三种:动态NAT 、静态NAT、PAT
动态NAT:指将内部网络私有IP地址转换为公有IP地址,IP地址不确定,是随机的,的私有IP地址可随机转换为任何指定合法IP地址。
静态NAT:指IP地址一对一的转换。
PAT:指改变外出数据包的源端口并进行端口转换。的访问,从而可以最大限度节约IP地址资源。同时,又可以隐藏网络内部的所有主机,的攻击。因此,武英项目做NAT时推荐用PAT。
Ciscoasa(config)#nat (inside) 1
Ciscoasa(config)#global(outside) 1 -.*.* netmask
.-.*.*的地址。
Ciscoasa(config)#nat (inside) 2
将此地址激活NAT
Ciscoasa(config)#global 2 .*.*
.*.*
PAT配置
Ciscoasa(config)#nat (inside) 3
将此地址激活NAT
Ciscoasa(config)#global (outside) 3 interface(这个是电信只提供了一个IP时可以这样做,所有内网共享一个IP上网)
什么时候要做端口映射
当外网需要访问内网中的一台服务器时,ASA并不知道访问的是哪一台内网中的机器,这时就需要做静态的端口映射。
语法:Ciscoasa(config)#access-list list-name extended permit tcp/udp any hsot outside_address eq port_num
list_name:访问控制列表名称
tcp/udp:需要映射的协议类型
port_num:需要映射的端口号
Ciscoasa(config)#static (inside,outside) tcp/udp interface port_num local_address mask
Tcp/udp:需要映射的协议类型
port_num:映射前的端口号
local_address:映射后的内网主机IP地址