0%

Cisco asa防火墙配置管理

一、配置远程登录

  • 关于怎么用console线连接防火墙,可以参考我上一篇交换机配置博客:Cisco switch配置管理
  • Cisco asa 版本8.3之前的命令和之后区别很大,此篇博客以新版本命令为参考,版本太旧建议升级ios

1.1 配置主机名及enable密码

1
2
ciscoasa(config)# hostname  BOOK-office
BOOK-office(config)# enable password xxxxxxx

1.2 配置远程SSH连接

1
2
3
4
5
6
7
8
9
10
11
12
BOOK-office(config)# crypto  key  generate  rsa  modulus  1024
WARNING: You have a RSA keypair already defined named <Default-RSA-Key>.
Do you really want to replace them? [yes/no]: y //输入y回车
BOOK-office(config)# write memory //保存配置
BOOK-office(config)# ssh 0.0.0.0 0.0.0.0 inside //允许内网任何ip可以连接
BOOK-office(config)#ssh timeout 30 //设置超时时间,单位为分钟
BOOK-office(config)# ssh version 2
BOOK-office(config)# username admin password xxxxx //配置远程登录账户
-------------相关命令--------------
show ssh //参看SSH配置信息
show crypto key mypubkey rsa //查看产生的rsa密钥值
crypto key zeroize //清空所有产生的密钥

二、接口配置

2.1 内外接口IP配置

  • 外接口 Gi0/0:100.100.100.100(自己公网IP)
  • 内接口 Gi0/1: 192.168.1.1
1
2
3
4
5
6
7
8
9
10
BOOK-office(config)# int gigabitEthernet 0/0   //把gi0/0配置成外接口
BOOK-office(config-if)# no shutdown //开启端口
BOOK-office(config-if)# security-level 0
BOOK-office(config-if)# nameif outside
BOOK-office(config-if)# ip address 100.100.100.100 255.255.255.0
BOOK-office(config)# int gigabitEthernet 0/0 //把gi0/1配置成内接口
BOOK-office(config-if)# no shutdown //开启端口
BOOK-office(config-if)# security-level 100 //流量只允许高往低走
BOOK-office(config-if)# nameif inside
BOOK-office(config-if)# ip address 192.168.1.1 255.255.255.0

三、防火墙内外流量打通

3.1 NAT转换

  • 把内部局域网网段转换流量出去进行上网
1
2
3
BOOK-office(config)#object network inside  //定义一个地址对象inside 包含所有内网
BOOK-office(config-network-object)# subnet 0.0.0.0 0.0.0.0
BOOK-office(config-network-object)# nat (inside,outside) dynamic interface //Nat 转换

3.2 访问控制列表

1
2
3
4
5
6
----------定义一个 ip-mac的组,允许ip、imcp、tcp、udp协议通过---------
BOOK-office(config)# access-list ip-mac extended permit ip any any
BOOK-office(config)# access-list ip-mac extended permit imcp any any
BOOK-office(config)# access-list ip-mac extended permit tcp any any
BOOK-office(config)# access-list ip-mac extended permit udp any any
BOOK-office(config)# access-group ip-mac in interface inside //将这个组应用到内接口上

3.3 添加路由

1
2
3
BOOK-office(config)# route outside 0.0.0.0 0.0.0.0 100.100.100.99 1  //出口路由指向出口IP网关
BOOK-office(config)# route inside 192.168.2.0 255.255.255.0 192.168.1.2 1 //内部路由指向下一层连接交换机IP
BOOK-office(config)# route inside 192.168.12.0 255.255.255.0 192.168.1.2 1 //新增网段2和网段12返程路由

这样防火墙就可以实现内部局域网上网了,可以进行远程连接和上网测试了!!


四、NAT端口映射

4.1 端口映射

  • 举例将内网一台测试服务器192.168.12.13的内网3389端口映射到外网的3389端口
1
2
3
BOOK-office(config)#object network  testserver  //定义一个地址对象 testserver
BOOK-office(config-network-object)# host 192.168.12.13
BOOK-office(config-network-object)#nat (inside,outside) static interface service tcp 3389 3389

4.2 访问控制列表及策略应用

1
2
3
4
-------定义控制列表100-------
BOOK-office(config)#access-list 100 extended permit tcp any host 192.168.12.13 eq 3389
-------将列表100应用到外接口上生效------
BOOK-office(config)# access-group 100 in interface inside

五、宽带拨号(可选)

5.1 宽带PPOE拨号

  • 应用场景:没有固定IP地址,防火墙连接防火墙直接自身拨号,可以用此方法配置
1
2
3
4
5
6
7
8
9
-------配置宽带账号和密码-------
BOOK-office(config)# vpdn group ads1 request dialout pppoe
BOOK-office(config)# vpdn group ads1 localname adxxxxx //此处填写宽带账户
BOOK-office(config)# vpdn group ads1 ppp authentication pap
BOOK-office(config)# vpdn username adxxxxx password xxxxxxx //宽带账户和密码
-------把拨号方式应用到外接口上,替代之前的固定IP地址-------
BOOK-office(config)# int gigabitEthernet 0/0
BOOK-office(config-if)# pppoe client vpdn group ads1
BOOK-office(config-if)# ip address pppoe setroute
坚持原创技术分享,您的支持将鼓励我继续创作!
-------------本文结束感谢您的阅读-------------