cisco asa config guid

因工作需要,对CISCO ASA5505进行简单的配置,参考网上的文章总结了部分简单的功能配置方法,主要是PAT,WEB SSL VPN的配置,还有简单的访问控制列表。

-----  1. 设备命名--------

ciscoasa> enable

ciscoasa# configure terminal

ciscoasa(config)# hostname ASA5505

-----  2. 添加enable密码   ----------

ASA5505(config)# password xxxxx ------------------远程密码

ASA5505(config)# enable password xxxxx ------------------特权模式密码

-----  3. 配置内网接口   ----------

ASA5505(config)# interface vlan 3

ASA5505(config-if)# ip address 192.168.10.1 255.255.255.0     ----分配IP地址

ASA5505(config-if)# nameif inside      ----内网子网命名

ASA5505(config-if)# security-level 100      ----安全级别设定(0-最高级 100-最低级)

ASA5505(config-if)# exit

-----  4. 配置外网接口   ----------

ASA5505(config)# interface vlan 2

ASA5505(config-if)# ip address 10.2.0.1 255.255.255.0     ----分配IP地址

ASA5505(config-if)# nameif outside      ----内网子网命名

ASA5505(config-if)# security-level 0      ----安全级别设定(0-最高级 100-最低级)

ASA5505(config-if)# exit

-----  5. 端口加入VLAN   ----------

ASA5505(config)# interface e0/1 ------------------进入接口e0/1

ASA5505(config-if)# switchport access vlan 3 ------------------接口e0/1加入vlan3

ASA5505(config-if)# exit

ASA5505(config)# interface vlan 3 ------------------进入vlan3

ASA5505(config-if)# show switch vlan ------------------验证配置

-----  6. 启用http服务   ----------

ASA5505(config)#http server enable   ------------------启动HTTP server,便于ASDM连接。

ASA5505(config)#http 192.168.10.0 255.255.255.0 inside  ------------------对内启用ASDM连接

-----  7. 启用ssh服务   ----------

ASA5505(config)# aaa authentication ssh console LOCAL

ASA5505(config)# username xxxx password xxxx   -------创建ssh用户

ASA5505(config)# passwd xxxx

ASA5505(config)# ssh xxx.xxx.xxx.xxx 255.255.255.252 outside         ----允许某网段进行ssh访问

ASA5505(config)# ssh 192.168.10.0 255.255.255.0 inside        ----允许192.168.10.13的网段进行ssh访问

ASA5505(config)# ssh timeout 30                                ------设置30分钟超时

-----  8. 设置DNS   ----------

ASA5505(config)# dns name-server 202.106.0.20        ------设置DNS服务器

ASA5505(config)# dns name-server 202.96.64.68         ------设置DNS服务器

ASA5505(config)# dns domain-lookup inside            --------DNS设置作用在内网

-----  9. 设置基于端口NAT   ----------

ASA5505(config)# global (outside) 1 interface   ----------------定义全局地址即outside地址

ASA5505(config)# nat (inside) 1 192.168.10.0 255.255.255.0    ------------------内部转换地址池

ASA5505(config)# show xlate       -------验证配置

-----  10. 添加静态路由   ----------

ASA5505(config)# route outside 0.0.0.0 0.0.0.0 10.2.0.254 1

-----  11. 建立对象组   ----------

ASA5505(config)# object-group network mgmgroup

ASA5505(config)# description remote management

ASA5505(config)# network-object xxx.xxx.xxx.xxx 255.255.255.0

-----  12. 添加控制列表   ----------

---------对象组 ----------------

ASA5505(config)# access-list aclout extended permit tcp object-group mgmgroup host xxx.xxx.xxx.xxx eq 13392

ASA5505(config)# access-list aclout extended permit tcp object-group mgmgroup host xxx.xxx.xxx.xxx eq 1633

ASA5505(config)# access-list aclout extended permit tcp object-group mgmgroup host xxx.xxx.xxx.xxx eq 16104

-------单IP-------------------

ASA5505(config)# same-security-traffic permit intra-interface    ------------允许内网访问外网地址或域名

ASA5505(config)# access-list aclout extended permit icmp any any   ----------  允许所有IP使用ICMP

ASA5505(config)# access-list aclout extended permit ip any any     ----------  允许所有IP访问

ASA5505(config)# access-list aclout extended permit tcp any host xxx.xxx.xxx.xxx eq 13392   -----允许tcp协议13392端口到xxx.xxx.xxx.xxx主机

ASA5505(config)# access-list aclout extended permit tcp any host xxx.xxx.xxx.xxx eq 1633    -----允许tcp协议1633端口到xxx.xxx.xxx.xxx主机

ASA5505(config)# access-list aclout extended permit tcp any host xxx.xxx.xxx.xxx eq 16104   -----允许tcp协议16104端口到xxx.xxx.xxx.xxx主机

ASA5505(config)# access-list aclin extended permit ip any any

ASA5505(config)# access-list aclin extended permit icmp any any

ASA5505(config)# access-list aclin extended permit tcp any any

-----  13. 应用控制列表到VLAN   ----------

ASA5505(config)# access-group aclin in interface inside

ASA5505(config)# access-group aclout in interface outside

-----  14. 端口映射   ----------

ASA5505(config)# static (inside,outside) tcp interface 13392 xxx.xxx.xxx.xxx 3389 netmask 255.255.255.255

ASA5505(config)# static (inside,outside) tcp interface 1633 xxx.xxx.xxx.xxx 1433 netmask 255.255.255.255

ASA5505(config)# static (inside,outside) udp interface 16104 xxx.xxx.xxx.xx snmp netmask 255.255.255.255

-----  15. WEB SSL VPN  ----------

-----生成一个RSA密钥的证书,该名称是是唯一的

ASA5505(config)# crypto key generate rsa label sslvpnkeypair

----建立一个自我信任点颁发的证书

ASA5505(config)# crypto ca trustpoint localtrust

ASA5505(config-ca-trustpoint)# enrollment self

ASA5505(config-ca-trustpoint)# fqdn sslvpn.deepnight.net

ASA5505(config-ca-trustpoint)# subject-name CN=sslvpn.deepnight.net

ASA5505(config-ca-trustpoint)# keypair sslvpnkeypair

ASA5505(config-ca-trustpoint)# crypto ca enroll localtrust noconfirm

CISCOASA(config)# ssl trust-point localtrust outside

------配置SSL VPN客户端-----

ASA5505(config)# webvpn

ASA5505(config-webvpn)# svc image disk0:/sslclient-win-1.1.4.179-anyconnect.pkg 1

------启用SSL VPN访问------

ASA5505(config-webvpn)# enable outside

ASA5505(config-webvpn)# svc enable

ASA5505(config-webvpn)# tunnel-group-list enable

ASA5505(config-webvpn)# exit

------建立SSL VPN拨号地址池------

ASA5505(config)# ip local pool SSLClientPool 192.168.20.1-192.168.20.20 mask 255.255.255.0

------创建组策略-------

ASA5505(config)# group-policy SSLCLientPolicy internal

ASA5505(config)# group-policy SSLCLientPolicy attributes

ASA5505(config-group-policy)# dns-server value 202.106.0.20 202.96.64.68

ASA5505(config-group-policy)# vpn-tunnel-protocol svc

ASA5505(config-group-policy)# address-pools value SSLClientPool

ASA5505(config-group-policy)# exit

-------配置访问列表旁路-----

ASA5505(config)# sysopt connection permit-vpn

--------创建连接配置文件和隧道组-----------

---------创建隧道组SSL 客户端------

ASA5505(config)# tunnel-group SSLClientProfile type remote-access

---------给SSL VPN隧道分配特定的属性----------

ASA5505(config)# tunnel-group SSLClientProfile general-attributes

ASA5505(config-tunnel-general)# default-group-policy SSLCLientPolicy

ASA5505(config-tunnel-general)# tunnel-group SSLClientProfile webvpn-attributes

ASA5505(config-tunnel-webvpn)# group-alias SSLVPNClient enable

ASA5505(config-tunnel-webvpn)# exit

--------------将隧道组列表在webvpn中开启-------

ASA5505(config)# webvpn

ASA5505(config-webvpn)# tunnel-group-list enable

ASA5505(config-webvpn)# exit

-------------配置NAT免除--------

ASA5505(config)# access-list no_nat extended permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0

ASA5505(config)# nat (inside) 0 access-list no_nat

-----------配置用户账户--------

ASA5505(config)# username xxxx password xxxx

ASA5505(config)# username xxxx attributes

ASA5505(config-username)# service-type remote-access

ASA5505(config-username)# exit

------------配置隧道分离------

ASA5505(config)# access-list vpnclient_splitTunnelAcl standard permit 192.168.10.0 255.255.255.0

ASA5505(config)# group-policy SSLCLientPolicy attributes

ASA5505(config-group-policy)# split-tunnel-policy tunnelspecified

ASA5505(config-group-policy)# split-tunnel-network-list value vpnclient_splitTunnelAcl

ASA5505(config-group-policy)# exit

-----  16. 日志输出功能  ----------

-------服务器端日志收集使用的是3CDaemon------

ASA5505(config)# logging enable                  ------开启日志功能

ASA5505(config)# logging trap informational      ------指定日志级别

ASA5505(config)# logging asdm informational      ------指定asdm级别

ASA5505(config)# logging host inside xx.xxx.xxx.xxx      ------------指定接收服务器

时间: 2024-10-07 05:24:16

cisco asa config guid的相关文章

cisco ASA ios升级或恢复

cisco ASA ios升级或恢复 一.升级前准备工作 1.准备好所要升级的IOS文件及对应的ASDM文件 2.在一台电脑上架设好tftp,设置好目录,与防火墙进行连接(假设电脑IP为192.168.1.2) 二.升级步骤 1.telnet上ASA ASA>en                  //进入特权模式 ASA#conft                 //进入配置模式 2.查看ASA上的文件.版本信息及启动文件 ASA(config)#dir           //查看asa上

Cisco asa 5510升级IOS和ASDM

asa asa(config)# dir //显示文件目录 copy disk0:/asa707-k8.bin tftp://192.168.1.149/ asa707-k8.bin //将原有IOS文件备份到TFTP服务器上 copy disk0:/asdm507.bin tftp://192.168.1.149/asdm507.bin //将原有asdm文件备份到TFTP服务器上 copy tftp://192.168.1.149/asa803-k8.bin disk0:/asa803-k8

Cisco ASA 高级配置

Cisco ASA 高级配置 一.防范IP分片攻击 1.Ip分片的原理: 2.Ip分片的安全问题: 3.防范Ip分片. 这三个问题在之前已经详细介绍过了,在此就不多介绍了.详细介绍请查看上一篇文章:IP分片原理及分析. 二.URL过滤 利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的. 实施URL过滤一般分为以下三个步骤: (1) 创建class-map (类映射),识别传输流量. (2) 创建policy-map (策略映射),关联class-map.

在Cisco ASA上实验 使用RRI的全互连Site to Site IPSec VPN

拓扑图如上. 说明:ASA1.2.3模拟分支边界网关,并启用PAT.R1.2.3模拟各内网设备. 要求:在ASA1.2.3上配置Site to Site VPN,实现全互联并配置反向路由注入(RRI),R1.2.3可以使用私有IP加密通信,不要求使用loopback IP通信:R1.2.3上有去往各私网的路由(通过RRI). 配置如下: ASA1: ciscoasa>en   ciscoasa# conf t //基本配置部分 ciscoasa(config)# hostname ASA1 AS

Cisco ASA firewall Active/Standby failover

In this article, I will briefly explain the active/standby failover configuration on the cisco ASA. The lab is done in GNS3. Physical Topology: configuration:ciscoasa/act/pri(config)# sh run failoverfailoverfailover lan unit primaryfailover lan inter

浅谈Cisco ASA的基础

软件防火墙和硬件防火墙1)软件防火墙系统防火墙,TMG防火墙,IP tables防火墙,处理数据速度慢,稳定性差2)硬件防火墙ASA,深信服,华为都属于硬件防火墙,稳定性强,处理数据速度快 ASA5500系列的安全设备ASA 5505小型企业使用,ASA 5510中型企业使用,ASA 5520中型企业使用,具有模块化, ASA 5540大中型企业使用, ASA 5550大型企业和服务提供商使用, ASA 5580用于大型企业,数据中心,运营商使用 防火墙功能分类1)应用防火墙代理使用2)网络防火

Cisco ASA基础(一)

今天介绍一下目前Cisco ASA 5500系统常见的六种型号: ASA首先是一个状态化防火墙,用于维护一个关于用户信息的连接表,称为Conn表.表的关键信息:状态化防火墙进行状态化处理的过程:①:pc向web服务器发送一个HTTP请求:②:HTTP请求到达防火墙,防火墙将连接信息添加到Conn表中:③:防火墙将HTTP请求转发给web服务器.流量返回时,状态化防火墙处理的过程如下所述:①:web服务器相应HTTP请求,返回相应的数据流量:②:防火墙拦截该流量,检查其连接信息:如果在Conn表中

Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚拟专用网(解决出差员工访问内网的问题)

在Cisco ASA防火墙上配置远程访问虚拟专用网(Easy 虚拟专用网)原理和路由器一样,对Easy 虚拟专用网原理不清楚的朋友可以参考博文Cisco路由器实现远程访问虚拟专用网--Easy虚拟专用网(解决出差员工访问内网的问题) 在路由器上配置和在防火墙上配置终归还是会区别的.这里就直接开始配置了,不再详细的介绍了! 在防火墙上实现IPSec 虚拟专用网技术可以参考博文Cisco ASA防火墙实现IPSec 虚拟专用网,可跟做!!! 一.案例环境 由于模拟器的原因,导致防火墙不能和终端设备相

CISCO ASA 防火墙 IOS恢复与升级

在IOS被误清除时的处理办法: 1.从tftp上的ios启动防火墙 防火墙启动后 ,按“ESC”键进入监控模式 rommon #2> ADDRESS=192.168.1.116 rommon #3> GATEWAY=192.168.1.1 rommon #4> IMAGE=asa803-k8.bin rommon #5> SERVER=192.168.1.1 rommon #6> sync rommon #7> ping 192.168.1.1 Link is UP S