CISCO ASA配置说明

CD-ASA5520# show run

: Saved

:

ASA Version 7.2(2)

!

hostname CD-ASA5520                         //给防火墙命名

domain-name default.domain.invalid                  //定义工作域

enable password 9jNfZuG3TC5tCVH0 encrypted    // 进入特权模式的密码

names

dns-guard

!

interface GigabitEthernet0/0             //内网接口:

duplex full                             //接口作工模式:全双工,半双,自适应

nameif inside                        //为端口命名 :内部接口inside

security-level 100                     //设置安全级别 0~100 值越大越安全

ip address 192.168.1.1 255.255.255.0     //设置本端口的IP地址

!

interface GigabitEthernet0/1             //外网接口

nameif outside                       //为外部端口命名 :外部接口outside

security-level 0

ip address 202.98.131.122 255.255.255.0 //IP地址配置

!

interface GigabitEthernet0/2

nameif dmz

security-level 50

ip address 192.168.2.1 255.255.255.0

!

interface GigabitEthernet0/3

shutdown

no nameif

no security-level

no ip address

!

interface Management0/0               //防火墙管理地址

shutdown

no nameif

no security-level

no ip address

!

passwd 2KFQnbNIdI.2KYOU encrypted

ftp mode passive

clock timezone CST 8

dns server-group DefaultDNS

domain-name default.domain.invalid

access-list outside_permit extended permit tcp any interface outside eq 3389

//访问控制列表

access-list outside_permit extended permit tcp any interface outside range 30000 30010

//允许外部任何用户可以访问outside 接口的30000-30010的端口。

pager lines 24

logging enable             //启动日志功能

logging asdm informational

mtu inside 1500            内部最大传输单元为1500字节

mtu outside 1500

mtu dmz 1500

ip local pool vpnclient 192.168.200.1-192.168.200.200 mask 255.255.255.0

//定义一个命名为vpnclient的IP地址池,为remote用户分配IP地址

no failover

icmp unreachable rate-limit 1 burst-size 1

asdm image disk0:/asdm-522.bin

no asdm history enable

arp timeout 14400         //arp空闲时间为14400秒

global (outside) 1 interface //由于没有配置NAT 故这里是不允许内部用户上INTERNET

static (dmz,outside) tcp interface 30000 192.168.2.2 30000 netmask 255.255.255.255

//端口映射 可以解决内部要公布的服务太多,而申请公网IP少问题。

static (dmz,outside) tcp interface 30001 192.168.2.2 30001 netmask 255.255.255.255

//把dmz区192.168.2.2 30002 映射给外部30002端口上。

static (dmz,outside) tcp interface 30002 192.168.2.2 30002 netmask 255.255.255.255

static (dmz,outside) tcp interface 30003 192.168.2.2 30003 netmask 255.255.255.255

static (dmz,outside) tcp interface 30004 192.168.2.2 30004 netmask 255.255.255.255

static (dmz,outside) tcp interface 30005 192.168.2.2 30005 netmask 255.255.255.255

static (dmz,outside) tcp interface 30006 192.168.2.2 30006 netmask 255.255.255.255

static (dmz,outside) tcp interface 30007 192.168.2.2 30007 netmask 255.255.255.255

static (dmz,outside) tcp interface 30008 192.168.2.2 3008 netmask 255.255.255.255

static (dmz,outside) tcp interface 30009 192.168.2.2 30009 netmask 255.255.255.255

static (dmz,outside) tcp interface 30010 192.168.2.2 30010 netmask 255.255.255.255

static (dmz,outside) tcp interface 3389 192.168.2.2 3389 netmask 255.255.255.255

access-group outside_permit in interface outside

//把outside_permit控制列表运用在外部接口的入口方向。

route outside 0.0.0.0 0.0.0.0 202.98.131.126 1 //定义一个默认路由。

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout uauth 0:05:00 absolute

------------定义一个命名为vpnclient的组策略-------------------------

group-policy vpnclient internal             //创建一个内部的组策略。

group-policy vpnclient attributes           //设置vpnclient组策略的参数

wins-server value 192.168.1.10           //定义WINS-SERVER 的IP地址。

dns-server value 192.168.1.10 61.139.2.69 //定义dns-server的IP地址。

vpn-idle-timeout none                  //终止连接时间设为默认值

vpn-session-timeout none               //会话超时采用默认值

vpn-tunnel-protocol IPSec              //定义通道使用协议为IPSEC。

split-tunnel-policy tunnelspecified        //定义。

default-domain value my3377.com          //定义默认域名为my3377.com

------------定义一个命名为l2lvpn的组策略-------------------------

group-policy l2lvpn internal

group-policy l2lvpn attributes

wins-server value 192.168.1.10

dns-server value 192.168.1.10 61.139.2.69

vpn-simultaneous-logins 3

vpn-idle-timeout none

vpn-session-timeout none

vpn-tunnel-protocol IPSec

username test password P4ttSyrm33SV8TYp encrypted privilege 0

//创建一个远程访问用户来访问安全应用

username my3377 password 3USUcOPFUiMCO4Jk encrypted

http server enable            //启动HTTP服务

http 0.0.0.0 0.0.0.0 inside      //允许内部主机HTTP连接

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

//snmp的默认配置

crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac

//配置转集(定义了IPSC隧道使用的加密和信息完整性算法集合)

crypto dynamic-map vpn_dyn_map 10 set transform-set ESP-DES-MD5

//为动态加密图条目定义传换集

crypto map outside_map 10 ipsec-isakmp dynamic vpn_dyn_map

//创建一个使用动态加密条目的加密图

crypto map outside_map interface outside

//将 outside_map加密图应用到outside端口

------------配置IKE--------------

crypto isakmp enable outside    //在ostside 接口启动ISAKMP

crypto isakmp policy 20        //isakmmp权值,值越小权值越高

authentication pre-share       //指定同位体认证方法是共享密钥

encryption des               //指定加密算法

hash md5                   //指定使用MD5散列算法

group 2                    //指定diffie-hellman组2

lifetime 86400              //指定SA(协商安全关联)的生存时间

crypto isakmp policy 65535

authentication pre-share

encryption des

hash md5

group 2

lifetime 86400

-------------调用组策略-----------------

crypto isakmp nat-traversal 20

tunnel-group DefaultL2LGroup general-attributes //配置这个通道组的认证方法

default-group-policy l2lvpn                 //指定默认组策略名称。

tunnel-group DefaultL2LGroup ipsec-attributes //配置认证方法为IPSEC

pre-shared-key *                               //提供IKE连接的预共享密钥

tunnel-group vpnclient type ipsec-ra          //设置连接类型为远程访问。

tunnel-group vpnclient general-attributes      //配置这个通道组的认证方法

address-pool vpnclient                            //定义所用的地址池

default-group-policy vpnclient             //定义默认组策略

-----设置认证方式和共享密钥-------------

tunnel-group vpnclient ipsec-attributes       //配置认证方法为IPSEC

pre-shared-key *                       //提供IKE连接的预共享密钥

telnet timeout 5                         //telnet 超时设置

ssh 0.0.0.0 0.0.0.0 outside                 //允许外部通SSH访问防火墙

ssh timeout 60                            //SSH连接超时设置

console timeout 0                                 //控制台超时设置

dhcp-client update dns server both

dhcpd dns 61.139.2.69 202.98.96.68                 //dhcp 发布的DNS

!

dhcpd address 192.168.1.10-192.168.1.254 inside      //向内网发布的地址池

dhcpd enable inside                              //启动DHCP服务。

!

!

class-map inspection_default

match default-inspection-traffic

!

!

policy-map type inspect dns migrated_dns_map_1

parameters

message-length maximum 512

policy-map global_policy

class inspection_default 

inspect dns migrated_dns_map_1

inspect ftp

inspect h323 h225

inspect h323 ras

inspect netbios

inspect rsh

inspect rtsp

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

!

service-policy global_policy global

prompt hostname context

Cryptochecksum:25e66339116f52e443124a23fef3d373

: end

时间: 2024-10-06 19:25:47

CISCO ASA配置说明的相关文章

cisco ASA ios升级或恢复

cisco ASA ios升级或恢复 一.升级前准备工作 1.准备好所要升级的IOS文件及对应的ASDM文件 2.在一台电脑上架设好tftp,设置好目录,与防火墙进行连接(假设电脑IP为192.168.1.2) 二.升级步骤 1.telnet上ASA ASA>en                  //进入特权模式 ASA#conft                 //进入配置模式 2.查看ASA上的文件.版本信息及启动文件 ASA(config)#dir           //查看asa上

Cisco asa 5510升级IOS和ASDM

asa asa(config)# dir //显示文件目录 copy disk0:/asa707-k8.bin tftp://192.168.1.149/ asa707-k8.bin //将原有IOS文件备份到TFTP服务器上 copy disk0:/asdm507.bin tftp://192.168.1.149/asdm507.bin //将原有asdm文件备份到TFTP服务器上 copy tftp://192.168.1.149/asa803-k8.bin disk0:/asa803-k8

Cisco ASA使用证书加密

使用ASDM配置HTTPS证书加密anyconnect连接 一.在没有使用证书的情况下每次连接VPN都会出现如下提示 命令 在 ASA 上,可以在命令行中使用若干 show 命令以验证证书的状态. show crypto ca certificates命令用于查看关于您的证书.CA证书和所有注册机关(RA)证书的信息. 命令 show crypto ca trustpoints 用于验证信任点配置. 命令 show crypto key mypubkey rsa 用于显示 ASA 的 RSA 公

Cisco ASA 高级配置

Cisco ASA 高级配置 一.防范IP分片攻击 1.Ip分片的原理: 2.Ip分片的安全问题: 3.防范Ip分片. 这三个问题在之前已经详细介绍过了,在此就不多介绍了.详细介绍请查看上一篇文章:IP分片原理及分析. 二.URL过滤 利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的. 实施URL过滤一般分为以下三个步骤: (1) 创建class-map (类映射),识别传输流量. (2) 创建policy-map (策略映射),关联class-map.

在Cisco ASA上实验 使用RRI的全互连Site to Site IPSec VPN

拓扑图如上. 说明:ASA1.2.3模拟分支边界网关,并启用PAT.R1.2.3模拟各内网设备. 要求:在ASA1.2.3上配置Site to Site VPN,实现全互联并配置反向路由注入(RRI),R1.2.3可以使用私有IP加密通信,不要求使用loopback IP通信:R1.2.3上有去往各私网的路由(通过RRI). 配置如下: ASA1: ciscoasa>en   ciscoasa# conf t //基本配置部分 ciscoasa(config)# hostname ASA1 AS

Cisco ASA 部署日志服务器

如不明白或有疑问请点击此处:Cisco ASA 部署日志服务器:理论知识+实验教程

CISCO ASA 如何选择出接口

CISCO路由器什么时候路由优先,什么时候NAT优先可能大家都知道,INSIDE进先路由,OUTSIDE进先NAT. 好了,那么对于CISCO ASA却不是这样的情况,大部分上还是先查找路由如果数据从inside进,在两种情况下NAT会优先路由去确认出接口. 做了目的NAT转换 static NAT session存在 知道这个功能后,我们再来看下如下两个CASE CISCO ASA虽然没有PBR功能,但是依然能做到双线分流 ASA 8.3以上版本做了L2L VPN后无法通过隧道管理防火墙,即管

CISCO ASA NAT 回流解决方案

实际案例中也不少碰到此类问题,客户内网有台服务器映射在互联网上,外网用户访问Global-IP没问题,但是内网用户想要访问Global-IP就会不通,典型的就是用户将内网服务器做了公网DNS A记录,无论内外网均通过域名访问. JUNIPER系列设备包括Netscreen/ISG/SSG没有这类问题,直接通过普通的DIP即可实现,后续产品SRX防火墙也需通过双向NAT来解决,下面通过CISCO ASA来解决这个CASE,JUNIPER SRX解决原理类似. 假想拓扑如下: ASA内网网段192.

Cisco ASA firewall Active/Standby failover

In this article, I will briefly explain the active/standby failover configuration on the cisco ASA. The lab is done in GNS3. Physical Topology: configuration:ciscoasa/act/pri(config)# sh run failoverfailoverfailover lan unit primaryfailover lan inter