思科---防火牆asa配置筆記
阿新 • • 發佈:2019-02-18
一、防火牆的動態pat配置
Object network (inside)名稱 //設定物件網路名稱
Subnet 網段 掩碼 //設定網段
Nat (inside,outside)指定介面方向 dynamic 外網ip 或interface //設定nat方向為inside區域到outside區域,動態轉換ip為外網ip或外網埠ip(不能與防火牆閘道器地址相同)
二、Show xlate //檢視防火牆nat轉換表
三、防火牆靜態pat配置
Object network 名稱1 //設定物件網路名稱1 Host 外網未使用的ip //設定要轉換的外網ip Object network 名稱2 //設定物件網路名稱2 Host 內網要轉換的ip1 //設定內網要轉換的ip1 Nat (dmz,outside) static 名稱1 service tcp 80 80 //使用靜態nat,方向dmz到outside,型別靜態,要轉換的外網ip名稱,tcp協議的80端口出項,80埠入項 Object network 名稱3 //設定物件網路名稱3 Host 內網要轉換的ip2 //設定內網要轉換的ip2 Nat (dmz,outside) static 名稱1 service tcp 21 21 //使用靜態nat,方向dmz到outside,型別靜態,要轉換的外網ip名稱,tcp協議的21端口出項,21埠入項 Access-list 名稱 permit tcp any object 名稱2 eq http //允許如何tcp 訪問的ip,去訪問內網名稱為2的80埠號 Access-list 名稱 permit tcp any object 名稱3 eq ftp //允許如何tcp 訪問的ip,去訪問內網名稱為3的21埠號 Access-group 名稱 in interface outside //在outside區域應用
四、本地主機遠端訪問防火牆
Telnet 10.1.1.0 255.255.255.0 inside //允許inside區域地址段為 10.1.1.0 255.255.255.0 所有主機遠端訪問防火牆。
Telnet 0 0 inside // 允許inside區域所有計算機遠端訪問防火牆。
五、Ssh埠號22
六、外網主機遠端訪問防火牆
Hostname asa842 // 修改名為asa842 Domian-name ciscoasa842.com //設定域名稱為 ciscoasa842.com Crypto key generate rsa modulus 1024(金鑰預設長度為1024) //生成RSA金鑰對金鑰長度為1024 Ssh 0 0 outside //設定在outside區域可以使用ssh遠端訪問防火牆 Username 賬號名 password 密碼 //設定遠端訪問的賬號名和密碼 Aaa authentication ssh console LOCAL //啟用aaa認證,用在ssh的本地控制檯介面上
七、使用https遠端訪問防火牆
http server enable //啟用htts服務
http 0 0 outside //允許從outside介面使用https訪問防火牆
Asdm image disk0:asdm-649.bin //提供客戶端下載asdm軟體
Username 賬號名 password 密碼 privilege 15 //設定訪問賬戶和密碼,以及許可權