cisco ASA 防火墙常用配置(ASA Version 8.2(5) )

注:内网口:192.168.3.253  外网口:192.168.6.45  (以下指令皆据此)!!!

接口模式下加入vlan:

switchport access vlan 2

vlan接口配置IP地址:

interface Vlan1

 nameif inside

security-level 50

 ip address 192.168.3.253 255.255.255.0

配置端口映射:

access-list Outside_Access extended permit ip any any   创建访问控制列表

access-group Outside_Access in interface outside  应用到外网口

static (inside,outside) tcp interface 5000 192.168.3.222 3389 netmask 255.255.255.255 做端口映射

配置NAT:

global (outside) 1 interface

nat (inside) 1 192.168.3.0 255.255.255.0

配置SSH连接

username xxx password xxxxxx  privilege 15   创建用户

aaa authentication enable console LOCAL

aaa authentication ssh console LOCAL  启用ssh本地用户认证

ssh 192.168.3.0 255.255.255.0 inside  ssh访问控制

crypto key generate rsa     打开ssh服务

添加静态路由: 

route outside 0.0.0.0 0.0.0.0 192.168.6.254 1

route inside 192.168.6.0 255.255.255.0 192.168.6.254 1

解决NAT的回流问题:

以下是论坛给出的解决方案

可以使用Hairpinning+Static Nat,原理是允许inside进来的流量,未经其它接口出去而直接从inside接口返回,配置如下:(注释1.1.1.1为公网ip, 192.168.1.10为内网ip)
1、开启Hairpinning: same-security-traffic permit intra-interface
2、为内网用户使用hairpinning访问内部服务器定义global地址: global(inside) 1 interface
3、地址映射,将公网端口映射到内网端口
     static (inside,outside) tcp 1.1.1.1 www 192.168.1.10 www netmask 255.255.255.255
4、为hairpinning流量返回路径定义地址映射
      static (inside,inside) tcp 1.1.1.1 www 192.168.1.10 www netmask 255.255.255.255
5、定义acl :access-list 101 extended per tcp any host 1.1.1.1 eq www
6、将ACL应用到外部接口: access-group 101 in interface outside


结合案例自行配置: 内网一台机器的远程桌面服务器映射到外网,并是内网终端可以通过外网ip访问。


开启NAT:

global (outside) 1 interface

nat (inside) 1 192.168.3.0 255.255.255.0 

做端口映射:

static (inside,outside) tcp interface 5000 192.168.3.222 3389 netmask 255.255.255.255

做针对外网口的访问控制:

access-list Outside_Access extended permit ip any any

access-group Outside_Access in interface outside

以上指令实现了,外网用户通过公网ip访问内部终端, 但内网用户不能访问(只能使用内网ip访问)。

same-security-traffic permit intra-interface

global (inside) 1 interface

static (inside,inside) tcp 192.168.6.45 5000 192.168.3.222 3389 netmask 255.255.255.255

关于限速:

access-list 1000 extended permit ip 192.168.3.0 255.255.255.0 any 

access-list 1000 extended permit ip any 192.168.3.0 255.255.255.0 

class-map 1000

 match access-list 1000

policy-map XIANSU

 class 1000

 police output 8000000 1600000 conform-action transmit exceed-action drop

 police input  8000000 1600000 conform-action transmit exceed-action drop

\\正常速率1Mbps 突发2Mbps 符合就转发 超出突发就丢弃

service-policy XIANSU interface inside    应用到接口

======================================

时间: 2024-10-09 00:31:40

cisco ASA 防火墙常用配置(ASA Version 8.2(5) )的相关文章

centOS7.2防火墙常用配置(转)

centOS7.2防火墙常用配置 firewall-cmd --state #查看默认防火墙状态(关闭后显示not running,开启后显示running) systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 systemctl start firewalld.service #开启防火墙 systemctl enable firewalld.servi

ASA 防火墙基本配置命令

ASA 5505      ASA 5510     中小企业 5520   5540   5550     5580大型企业 ASA 是思科的产品,前身是PIX. ASA基本配置命令 命令名称 模式 具体命令 修改防火墙名称 config# hostname xxxx 配置特权密码 config# enable password xxxx 远程登陆密码 config# password xxxx 配置接口名称 config-if # nameif xxxx 配置接口安全级别 config-if

ASA防火墙基本配置

全局模式下 asa(config)#int e0/0                 //进入接口// asa(config-if)#nameif 名字           //配置接口名称// asa(config-if)#security-leve 0-100       //配置接口安全级别,0-100表示安全级别// asa(config-if)#ip add 192.168.1.1 255.255.255.0   //配置接口ip地址// asa(config)#access-list

ASA防火墙应用配置(NAT和PAT)

                                         实验配置ASA应用(NAT和PAT) inisde区域是内部,ip地址192.168.1.1网关,outside区域是外部,也就是公网12.0.0.0网段,DMZ区域是隔离区,ip地址192.168.10.1 C3是server2008服务器并且提供WEB网站,IP地址13.0.0.2,网关13.0.0.1,虚拟机网卡绑定VMnet1 C2是linux服务器并且提供APACHE服务,ip地址192.168.10.1

cisco PIX防火墙 基本命令配置及详解

企业安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网络安全的实现当中扮演着重要的角色.防火墙通常位于企业网络的边缘,这使得内部网络与Internet之间或者与其他外部网络互相隔离,并限制网络互访从而保护企业内部网络.设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理. 在众多的企业级主流防火墙中,Cisco PIX防火墙是所有同类产品性能最好的一种.Cisco PIX系列防火墙目前有5种型号PIX506,515,520,525,535.其中PIX535是PIX

ASA 防火墙nat配置

1.防火墙上动态nat配置 nat (inside) id号 192.168.20.0 255.255.255.0    //宣告要转化的网段// global (outsie) id号 12.0.0.2-12.0.0.6        //宣告转化后的网段// 查看nat  为show xlate deatil 2.防火墙上动态pat配置 nat (inside) id号 192.168.20.0 255.255.255.0    //宣告需要转换的网段// global (outside)

防火墙(ASA)高级配置之URL过滤、日志管理、透明模式

对于防火墙产品来说,最重要的一个功能就是对事件进行日志记录.本篇博客将介绍如何对ASA进行日志管理与分析.ASA透明模式的原理与配置.利用ASA防火墙的IOS特性实施URL过滤. 一.URL过滤 利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的. 实施URL过滤一般分为以下三个步骤: (1)创建class-map(类映射),识别传输流量. (2)创建policy-map(策略映射),关联class-map. (3)应用policy-map到接口上. 案例:

Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚拟专用网(解决出差员工访问内网的问题)

在Cisco ASA防火墙上配置远程访问虚拟专用网(Easy 虚拟专用网)原理和路由器一样,对Easy 虚拟专用网原理不清楚的朋友可以参考博文Cisco路由器实现远程访问虚拟专用网--Easy虚拟专用网(解决出差员工访问内网的问题) 在路由器上配置和在防火墙上配置终归还是会区别的.这里就直接开始配置了,不再详细的介绍了! 在防火墙上实现IPSec 虚拟专用网技术可以参考博文Cisco ASA防火墙实现IPSec 虚拟专用网,可跟做!!! 一.案例环境 由于模拟器的原因,导致防火墙不能和终端设备相

思科ASA防火墙与山石防火墙进行IPSec对接

使用环境:客户分支通过ASA防火墙通过PPOE拨号接入internet,总部Hillstone防火墙有独立的公网IP地址.两端对接实现网内相互访问 ASA防火墙端配置当前ASA的版本信息如下: 主要配置如下:object network LAN_NATsubnet 10.11.2.0 255.255.255.0 object network DC_01subnet 172.16.0.0 255.240.0.0 nat (inside,outside) source static LAN_NAT