CISCO防火墙常见功能实现VIP免费

24/12/23InspurgroupCISCO防火墙常见功能实现2Inspurgroup主要内容ASA/PIX基本配置访问控制VPN配置双机配置特殊情况使用防火墙板卡3InspurgroupASA/PIX基本配置1、设备名称asa（config）hostnameasa2、接口信息配置interfacefastehernet0/1ipadd10.1.1.125.255.255.0nameifoutsidesecurity-level06.0及以前版本使用如下命令：nameiffastethernet0/1outsidesecurity-level0ipaddressoutside10.1.1.1255.255.255.03、路由配置routeoutside0.0.0.00.0.0.010.1.1.24InspurgroupASA/PIX基本配置Nameif：为每个端口确定名字security-level：安全级别，你可以给每个端口分配1-99的任何一个安全级别，数值越大，安全级别越高。默认inside100、manage100、outside0524/12/23Inspurgroup访问控制当你从一个高安全级别的端口访问低安全级别的端口时,使用NAT(inside→outside、inside→dmz、dmz→outside)当你从一个低安全级别的端口访问高安全级别的端口时,使用STATIC+ACL(outside→inside、outside→dmz、dmz→inside)6Inspurgroup访问控制-NAT动态NAT静态NATBYPASSNAT7Inspurgroup访问控制-NAT动态NAT将内网的多个私有地址转换成外网地址Global（outside）1202.102.111.1Nat（inside）1192.168.0.0255.255.255.0上述命令表示内部192.168.0.0/24网段访问外网的时将转换成202.102.111.1的地址访问internet,若以外网端口地址转换则称为PATGlobal（outside）1interfaceNat（inside）1192.168.0.0255.255.255.08Inspurgroup访问控制-NAT动态NATglobal指定公网地址范围：定义地址池。Global命令的配置语法：global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]其中：(if_name)：表示外网接口名称，一般为outside。nat_id：建立的地址池标识(nat要引用)。ip_address-ip_address：表示一段ip地址范围。[netmarkglobal_mask]：表示全局ip地址的网络掩码。9Inspurgroup访问控制-NAT动态NATnat地址转换命令，将内网的私有ip转换为外网公网ip。nat命令配置语法：nat(if_name)nat_idlocal_ip[netmark]其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。local_ip：表示内网的ip地址。对于0.0.0.0表示内网所有主机。[netmark]：表示内网ip地址的子网掩码。10Inspurgroup访问控制-NAT静态NAT配置内网地址与外网地址一一对应，也可以配置基于应用端口的静态转换，称为staticPAT11Inspurgroup访问控制-NAT静态NATStatic（inside,outside)209.165.201.110.1.1.1netmask255.255.255.255Static(inside,outside)tcp209.165.201.12310.1.1.123Netmask255.255.255.25512Inspurgroup访问控制-NAT静态NATstatic(internal_if_name,external_if_name)outside_ip_addrinside_ip_address其中：internal_if_name表示内部网络接口，安全级别较高，如inside。external_if_name表示外部网络接口，安全级别较低，如outside。outside_ip_address表示外部网络的公有ip地址。inside_ip_address表示内部网络的本地ip地址。13Inspurgroup访问控制-NATBYPASSNAT高安全级别区域地址以原地址访问低安全级别区域14Inspurgroup访问控制-NATBYPASSNAT1、整体hostname(config)#nat(inside)010.1.1.0255.255.255.02、匹配策略Access-list100permitip192.168.0.0255.255.255.0192.168.1.0255.255.255.0Nat(inside)0access-list10015Inspurgroup访问控制-ACL标准Access-listteststandpermit192.168.0.0255.255.255.0扩展Access-listtestextendedpermitip192.168.0.0255.255.255.0192.168.1.0255.255.255.0使用方法：Access-grouptestininterfaceoutside16InspurgroupVPN配置LAN-LAN(L2L)Remote-access（ra）17InspurgroupVPN配置-L2L环境说明两地用户，内部网段分别为10.1.1.0/24与10.1.2.0/24要求使用L2L进行数据加密处理18InspurgroupVPN配置-L2L1、定义IKEpolicy，并在接口启用cryptoisakmppolicy10authenticationpre-share//pre-share认证方式encryption3des//加密hashsha//完整性验证group2//密钥位数1024，group1为768lifetime86400//sa周期默认一天cryptoisakmpenableoutside19Inspurgro...