网络拓扑
在asa防火墙设置动态PAT使内网可以通过一个公网地址访问外网
命令如下:
ciscoasa(config)# nat (inside) 1192.168.1.0 255.255.255.0
ciscoasa(config)# global (outside) 1interface
在asa防火墙设置静态NAT使客户机可以通过一个公网地址访问dmz区域的web服务器,还需要设置ACL策略允许客户端访问dmz区域。
命令如下:
ciscoasa(config)# static (dmz,outside)192.168.3.10 192.168.2.2
ciscoasa(config)# access-list out_to_dmzpermit tcp any host 192.168.3.10 eq 80
ciscoasa(config)# access-group out_to_dmzin interface outside
静态PAT和动态NAT类似,但是静态PAT允许为真实和映射地址指定TCP或UDP端口
命令(使用静态PAT发布dmz区域的web网站)
ciscoasa(config)# static (dmz,outside) tcp192.168.3.1 htt 192.168.2.2 http
注意:写入静态NAT后不能写入静态PAT否则会报错
此命令查看NAT转换表
ciscoasa(config)# show xlate detail
ACL设置,比如内网搭建了ftp服务器,dns服务器,如果想要外网访问就需要设置ACL策略。
ciscoasa(config)#access-list out_to_dmzpermit tcp any host 192.168.2.2 eq 21
ciscoasa(config)#access-list out_to_dmzpermit udp any host 192.168.2.2 eq 53
ciscoasa(config)# access-group out_to_dmzin interface outside
URL过滤
创建class—map,识别传输流量
ciscoasa(config)# access-list 1 permit tcp192.168.1.0 255.255.255.0 any eq 80
ciscoasa(config)# class-map 2
ciscoasa(config-cmap)# match access-list 1
ciscoasa(config)# regex urll"\.baidu\.com"
//过滤的网站
ciscoasa(config)# class-map type regexmatch-any 3
ciscoasa(config-cmap)# match regex urll
ciscoasa(config)# class-map type inspecthttp 4
// inspect http检查http流量
ciscoasa(config-cmap)# match request headerhost regex class 3
创建policy—map,关联class—map
ciscoasa(config)# policy-map type inspecthttp 5
ciscoasa(config-pmap)# class 4
ciscoasa(config-pmap-c)# drop-connectionlog
//关闭链接,并发送系统日志
ciscoasa(config)# policy-map 6
ciscoasa(config-pmap)# class 2
ciscoasa(config-pmap-c)# inspect http 5
//检查http流量
应用policy—map到接口上
ciscoasa(config-pmap-c)# service-policy 6interface inside
配置设备的远程访问:
telnet接入
ciscoasa(config)# telnet 192.168.1.0255.255.255.0 inside
配置shh接入
ciscoasa(config)# domain-name asadomain.com
ciscoasa(config)# crypto key generate rsamodulus 1024
ciscoasa(config)# ssh 192.168.1.0255.255.255.0 inside
外部接口引入,0 0表示任意地址可连接
ciscoasa(config)# ssh 0 0 outside