一、防火牆的動態pat配置

Object network (inside)名稱 //設定物件網路名稱
Subnet 網段 掩碼 //設定網段
Nat (inside,outside)指定介面方向 dynamic 外網ip 或interface   //設定nat方向為inside區域到outside區域,動態轉換ip為外網ip或外網埠ip(不能與防火牆閘道器地址相同)

二、Show xlate //檢視防火牆nat轉換表

三、防火牆靜態pat配置

Object network 名稱1 //設定物件網路名稱1
Host 外網未使用的ip  //設定要轉換的外網ip

Object network 名稱2 //設定物件網路名稱2
Host 內網要轉換的ip1  //設定內網要轉換的ip1
Nat (dmz,outside) static  名稱1  service  tcp  80  80  //使用靜態nat,方向dmz到outside,型別靜態,要轉換的外網ip名稱,tcp協議的80端口出項,80埠入項

Object network 名稱3 //設定物件網路名稱3
Host 內網要轉換的ip2 //設定內網要轉換的ip2
Nat (dmz,outside) static  名稱1  service  tcp  21  21  //使用靜態nat,方向dmz到outside,型別靜態,要轉換的外網ip名稱,tcp協議的21端口出項,21埠入項

Access-list 名稱 permit  tcp  any  object 名稱2  eq  http  //允許如何tcp 訪問的ip,去訪問內網名稱為2的80埠號
Access-list 名稱 permit  tcp  any  object 名稱3  eq  ftp  //允許如何tcp 訪問的ip,去訪問內網名稱為3的21埠號
Access-group 名稱 in  interface  outside  //在outside區域應用

四、本地主機遠端訪問防火牆

Telnet 10.1.1.0  255.255.255.0  inside //允許inside區域地址段為 10.1.1.0  255.255.255.0 所有主機遠端訪問防火牆。
Telnet  0  0  inside // 允許inside區域所有計算機遠端訪問防火牆。

五、Ssh埠號22

六、外網主機遠端訪問防火牆

Hostname  asa842 // 修改名為asa842
Domian-name  ciscoasa842.com  //設定域名稱為 ciscoasa842.com
Crypto key generate rsa modulus 1024(金鑰預設長度為1024) //生成RSA金鑰對金鑰長度為1024
Ssh 0 0 outside //設定在outside區域可以使用ssh遠端訪問防火牆
Username 賬號名 password 密碼 //設定遠端訪問的賬號名和密碼
Aaa  authentication ssh console LOCAL  //啟用aaa認證,用在ssh的本地控制檯介面上

七、使用https遠端訪問防火牆

http server enable //啟用htts服務
http 0 0 outside //允許從outside介面使用https訪問防火牆
Asdm image disk0:asdm-649.bin //提供客戶端下載asdm軟體
Username 賬號名 password 密碼 privilege 15  //設定訪問賬戶和密碼,以及許可權

八、防火牆日誌資訊保安級別