Cisco ASA5520防火墙配置VIP免费

CiscoASA5520防火墙配置前言主要从防火墙穿越的角度，描述CiscoASA5520防火墙的配置对PixASA系列防火墙配置具有参考意义内容防火墙与NAT介绍基本介绍基本配置高级配置其它案例防火墙与NAT介绍防火墙门卫NAT过道区别两者可以分别使用Windows有个人防火墙Windows有InternetConnectsharing服务一般防火墙产品，同时带有NAT基本介绍配置连接工作模式常用命令ASA5520介绍配置连接初次连接使用超级终端登陆Console口Cicso的波特率设置为9600Telnet连接默认不打开，在使用Console配置后，可以选择开启开启命令：telnetip_addressnetmaskif_name连接命令：telnet192.168.1.1ASA5520默认不允许外网telnet,开启比较麻烦ASDM连接图形界面配置方式SSH连接工作模式普通模式连接上去后模式进入普通模式需要有普通模式密码Enable进入特权模式，需要特权密码特权模式Configterminal进入配置模式配置模式模式转换exit或者ctrl-z退出当前模式，到前一模式也适用于嵌套配置下退出当前配置常用命令命令支持缩写，只要前写到与其它命令不同的地方即可configterminal=confterm=conftTab键盘补全命令？Orhelp获取帮助取消配置no命令取消以前的配置Clear取消一组配置，具体请查看帮助查看配置Showversionshowrun[all],writeterminalShowxlatShowrunnatShowrunglobal保存配置WritememoryASA5520介绍硬件配置：ASA5520,512MBRAM,CPUPentium4Celeron2000MHz1个Console口，一个Aux口，4个千兆网口支持并发：280000个支持VPN个数：150支持双机热备、负载均衡可以通过showversion查看硬件信息基本配置接口配置NAT配置ACL访问控制接口配置四个以太网口GigabitEthernet0/0、gig0/1、gig0/2、gig0/3进入接口配置:interfaceif_name配置IPipaddressip_address[netmask]ipaddressip_addressdhcp打开端口:noshutdown配置安全级别security-level[0-100]数据从安全级别高的流向底的，不能倒流倒流需要保安允许所以外网一般配置为0，内网为100配置别名供其它命令引用Nameifif_nameNATNAT(NetworkAddressTranslate)NAT类型(与防火墙穿越提到的类型不相关）DynamicNATPATStaticNAT&StaticPATIdentityNATNATexemptionPolicyNAT地址表超时NAT配置普通NATDynamicNATPATNAT例外StaticNATIdentityNATNATexemptionPolicyNAT普通NAT普通NAT，只允许内网先发起连接地址池配置global(if_name)natidstart_addr-end_addrnetmask如：global(outside)1192.168.85.111-192.168.85.113255.255.255.0定义了natid1和地址池192.168.85.111-192.168.85.113DynamicNATnat(real_ifc)nat_idinside_networkoutside_network动态分配给内网一个独立的IPPATPAT使用1个地址+65535个端口为内网提供地址转换地址池中只有一个值时，就是PAT分配给内网连接一个固定IP和一个动态的端口StaticNATStaticNAT允许外网先发起连接是一个外网IP固定一个内网IP可以称为IP映射命令Static(internal_if_name,external_if_name)maped_addrreal_addrMaped_addr与real_addr不相同StaticPATStaticPAT允许外网先发起连接是一个内网IP+一个端口转换成一个固定的外网IP+固定的外网端口可以称为端口映射命令static(real_interface,mapped_interface){tcp|udp}{mapped_ip|interface}mapped_portreal_ipreal_port[netmaskmask]IdentityNATIdentityNAT不使用地址转换，采用原地址出去只能内网发起连接外网必须配置ACLpermit才能先发起连接命令NAT（real_if_name）0addr/networknetworkmask如:nat(inside)0192.168.1.2255.255.255.255StaticIdentityNAT不使用地址转换，采用原地址出去内外网都可先发起连接命令static(real_interface,mapped_interface)real_ipreal_ipNATexemptionNATexemptionIdentityNAT和ACL的混合，功能更加强大不使用地址转换，采用原地址出去内外网均可发起连接...