24/12/23InspurgroupCISCO防火墙常见功能实现2Inspurgroup主要内容ASA/PIX基本配置访问控制VPN配置双机配置特殊情况使用防火墙板卡3InspurgroupASA/PIX基本配置1、设备名称asa(config)hostnameasa2、接口信息配置interfacefastehernet0/1ipadd10.1.1.125.255.255.0nameifoutsidesecurity-level06.0及以前版本使用如下命令:nameiffastethernet0/1outsidesecurity-level0ipaddressoutside10.1.1.1255.255.255.03、路由配置routeoutside0.0.0.00.0.0.010.1.1.24InspurgroupASA/PIX基本配置Nameif:为每个端口确定名字security-level:安全级别,你可以给每个端口分配1-99的任何一个安全级别,数值越大,安全级别越高。默认inside100、manage100、outside0524/12/23Inspurgroup访问控制当你从一个高安全级别的端口访问低安全级别的端口时,使用NAT(inside→outside、inside→dmz、dmz→outside)当你从一个低安全级别的端口访问高安全级别的端口时,使用STATIC+ACL(outside→inside、outside→dmz、dmz→inside)6Inspurgroup访问控制-NAT动态NAT静态NATBYPASSNAT7Inspurgroup访问控制-NAT动态NAT将内网的多个私有地址转换成外网地址Global(outside)1202.102.111.1Nat(inside)1192.168.0.0255.255.255.0上述命令表示内部192.168.0.0/24网段访问外网的时将转换成202.102.111.1的地址访问internet,若以外网端口地址转换则称为PATGlobal(outside)1interfaceNat(inside)1192.168.0.0255.255.255.08Inspurgroup访问控制-NAT动态NATglobal指定公网地址范围:定义地址池。Global命令的配置语法:global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]其中:(if_name):表示外网接口名称,一般为outside。nat_id:建立的地址池标识(nat要引用)。ip_address-ip_address:表示一段ip地址范围。[netmarkglobal_mask]:表示全局ip地址的网络掩码。9Inspurgroup访问控制-NAT动态NATnat地址转换命令,将内网的私有ip转换为外网公网ip。nat命令配置语法:nat(if_name)nat_idlocal_ip[netmark]其中:(if_name):表示接口名称,一般为inside.nat_id:表示地址池,由global命令定义。local_ip:表示内网的ip地址。对于0.0.0.0表示内网所有主机。[netmark]:表示内网ip地址的子网掩码。10Inspurgroup访问控制-NAT静态NAT配置内网地址与外网地址一一对应,也可以配置基于应用端口的静态转换,称为staticPAT11Inspurgroup访问控制-NAT静态NATStatic(inside,outside)209.165.201.110.1.1.1netmask255.255.255.255Static(inside,outside)tcp209.165.201.12310.1.1.123Netmask255.255.255.25512Inspurgroup访问控制-NAT静态NATstatic(internal_if_name,external_if_name)outside_ip_addrinside_ip_address其中:internal_if_name表示内部网络接口,安全级别较高,如inside。external_if_name表示外部网络接口,安全级别较低,如outside。outside_ip_address表示外部网络的公有ip地址。inside_ip_address表示内部网络的本地ip地址。13Inspurgroup访问控制-NATBYPASSNAT高安全级别区域地址以原地址访问低安全级别区域14Inspurgroup访问控制-NATBYPASSNAT1、整体hostname(config)#nat(inside)010.1.1.0255.255.255.02、匹配策略Access-list100permitip192.168.0.0255.255.255.0192.168.1.0255.255.255.0Nat(inside)0access-list10015Inspurgroup访问控制-ACL标准Access-listteststandpermit192.168.0.0255.255.255.0扩展Access-listtestextendedpermitip192.168.0.0255.255.255.0192.168.1.0255.255.255.0使用方法:Access-grouptestininterfaceoutside16InspurgroupVPN配置LAN-LAN(L2L)Remote-access(ra)17InspurgroupVPN配置-L2L环境说明两地用户,内部网段分别为10.1.1.0/24与10.1.2.0/24要求使用L2L进行数据加密处理18InspurgroupVPN配置-L2L1、定义IKEpolicy,并在接口启用cryptoisakmppolicy10authenticationpre-share//pre-share认证方式encryption3des//加密hashsha//完整性验证group2//密钥位数1024,group1为768lifetime86400//sa周期默认一天cryptoisakmpenableoutside19Inspurgro...
