CiscoASA5520防火墙配置前言主要从防火墙穿越的角度,描述CiscoASA5520防火墙的配置对PixASA系列防火墙配置具有参考意义内容防火墙与NAT介绍基本介绍基本配置高级配置其它案例防火墙与NAT介绍防火墙门卫NAT过道区别两者可以分别使用Windows有个人防火墙Windows有InternetConnectsharing服务一般防火墙产品,同时带有NAT基本介绍配置连接工作模式常用命令ASA5520介绍配置连接初次连接使用超级终端登陆Console口Cicso的波特率设置为9600Telnet连接默认不打开,在使用Console配置后,可以选择开启开启命令:telnetip_addressnetmaskif_name连接命令:telnet192.168.1.1ASA5520默认不允许外网telnet,开启比较麻烦ASDM连接图形界面配置方式SSH连接工作模式普通模式连接上去后模式进入普通模式需要有普通模式密码Enable进入特权模式,需要特权密码特权模式Configterminal进入配置模式配置模式模式转换exit或者ctrl-z退出当前模式,到前一模式也适用于嵌套配置下退出当前配置常用命令命令支持缩写,只要前写到与其它命令不同的地方即可configterminal=confterm=conftTab键盘补全命令?Orhelp获取帮助取消配置no命令取消以前的配置Clear取消一组配置,具体请查看帮助查看配置Showversionshowrun[all],writeterminalShowxlatShowrunnatShowrunglobal保存配置WritememoryASA5520介绍硬件配置:ASA5520,512MBRAM,CPUPentium4Celeron2000MHz1个Console口,一个Aux口,4个千兆网口支持并发:280000个支持VPN个数:150支持双机热备、负载均衡可以通过showversion查看硬件信息基本配置接口配置NAT配置ACL访问控制接口配置四个以太网口GigabitEthernet0/0、gig0/1、gig0/2、gig0/3进入接口配置:interfaceif_name配置IPipaddressip_address[netmask]ipaddressip_addressdhcp打开端口:noshutdown配置安全级别security-level[0-100]数据从安全级别高的流向底的,不能倒流倒流需要保安允许所以外网一般配置为0,内网为100配置别名供其它命令引用Nameifif_nameNATNAT(NetworkAddressTranslate)NAT类型(与防火墙穿越提到的类型不相关)DynamicNATPATStaticNAT&StaticPATIdentityNATNATexemptionPolicyNAT地址表超时NAT配置普通NATDynamicNATPATNAT例外StaticNATIdentityNATNATexemptionPolicyNAT普通NAT普通NAT,只允许内网先发起连接地址池配置global(if_name)natidstart_addr-end_addrnetmask如:global(outside)1192.168.85.111-192.168.85.113255.255.255.0定义了natid1和地址池192.168.85.111-192.168.85.113DynamicNATnat(real_ifc)nat_idinside_networkoutside_network动态分配给内网一个独立的IPPATPAT使用1个地址+65535个端口为内网提供地址转换地址池中只有一个值时,就是PAT分配给内网连接一个固定IP和一个动态的端口StaticNATStaticNAT允许外网先发起连接是一个外网IP固定一个内网IP可以称为IP映射命令Static(internal_if_name,external_if_name)maped_addrreal_addrMaped_addr与real_addr不相同StaticPATStaticPAT允许外网先发起连接是一个内网IP+一个端口转换成一个固定的外网IP+固定的外网端口可以称为端口映射命令static(real_interface,mapped_interface){tcp|udp}{mapped_ip|interface}mapped_portreal_ipreal_port[netmaskmask]IdentityNATIdentityNAT不使用地址转换,采用原地址出去只能内网发起连接外网必须配置ACLpermit才能先发起连接命令NAT(real_if_name)0addr/networknetworkmask如:nat(inside)0192.168.1.2255.255.255.255StaticIdentityNAT不使用地址转换,采用原地址出去内外网都可先发起连接命令static(real_interface,mapped_interface)real_ipreal_ipNATexemptionNATexemptionIdentityNAT和ACL的混合,功能更加强大不使用地址转换,采用原地址出去内外网均可发起连接...