1.模式介绍
“>”用户模式
firewall>enable 由用户模式进入到特权模式
password:
“#”特权模式
firewall#config t 由特权模式进入全局配置模式
“(config)#”全局配置模式
防火墙的配置只要在全局模式下完成就可以了。
2.接口配置(以5510以及更高型号为例,5505接口是基于VLAN的):
interface Ethernet0/0
nameif inside (接口的命名,必须!)
security-level 100(接口的安全级别)尹世雅
ip address 10.0.0.10 255.255.255.0
no shut
interface Ethernet0/1
nameif outside
security-level 0
ip address 202.100.1.10 255.255.255.0
no shut
3.路由配置:
默认路由:
route outside 0 0 202.100.1.1 (0 0 为0.0.0.0 0.0.0.0)
静态路由:
route inside 192.168.1.0 255.255.255.0 10.0.0.1
5505接口配置:
interface Ethernet0/0
!
interface Ethernet0/1
switchport access vlan 2
教育观察法的基本步骤
interface Vlan1
nameif inside
security-level 100
ip address 192.168.6.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 202.100.1.10
ASA防火墙NAT配置
内网用户要上网,我们必须对其进行地址转换,将其转换为在公网上可以路由的注册地址,
防火墙的nat和global是同时工作的,nat定义了我们要进行转换的地址,而global定义了要被转换为的地址,
这些配置都要在全局配置模式下完成,
Nat配置:
firewall(config)# nat (inside) 1 0 0
上面inside代表是要被转换得地址,
1要和global 后面的号对应,类似于访问控制列表号,也是从上往下执行,
0 0 代表全部匹配(第一个0代表地址,第二个0代表掩码),内部所有地址都回进行转换。
Global配置:
firewall(config)#global (outside)1 interface
Gobalb定义了内网将要被转换成的地址,
Interface 代表外端口的地址
当然,如果您有更多的公网IP地址,您也可以设置一个地址池,上面一条也是必须的,地址转换首先会用地址池内地址,
一旦地址被用完后会用到上面一条及外端口做PAT转换上网。
或者在如下的配置后面再加上一条:firewall(config)#global (outside)1222.128.1.10
firewall(config)#global (outside)1222.128.1.100-222.128.1.254
服务器映射配置:
如果在内网有一台web服务器需要向外提供服务,那么需要在防火墙上映射,公网地址多的情况下可以做一对一的映射,如下
firewall(config)#static (inside,outside)222.128.100.100 1.1.1.50
如果只有一个公网地址,那么可以做端口映射,如下
firewall(config)#static (inside,outside)tcp 222.128.100.100 80 1.1.1.50 80
映射完毕后还必须配置访问控制列表,允许外部来访问映射的WEB服务器,如下:
firewall(config)#access-list outside per tcp any host 222.128.100.100 eq 80
firewall(config)#access-group outside in interface outside
其中“access-list”和“access-group”后面的outside为防问控制列表的名字,“access-group”最后的outside 为端口名。
允许外面任意一台主机通过TCP的80端口访问到222.128.100.100这台主机,下面还要把此条访问控制列表应用到outside接口上,
这样互联网上的用户才能访问到WEB服务器。如果有多条地址映射请重复上述操作。
NAT BYPASS配置:
有时候,由于技术需求,不能将内网的地址转换,但是如果配置了nat (inside)了,那么说明地址必须要进行转换,流量才能转发
譬如,当一个防火墙利用了2个以上接口时(inside,outside,dmz),这是配置了inside的nat,那么inside到dmz也就不通了,还有
,当防火墙配置了VPN,那么兴趣流量是不可以被NAT的,那么思科提出了一个NAT BYPASS技术,也就是说,这个地址在被转换之前
就已经被旁路掉,不进行任何的转换了。
firewall(config)#access-list nonat permit ip 192.168.1.0 255.255.255.0
firewall(config)#nat (inside) 0 access-list nonat
ASA防火墙DHCP配置
firewall(config)# dhcpd address 1.1.1.200-1.1.1.254 inside 定义地址池并在inside接口开启DHCP功能firewall(config)# dhcpd dns 202.106.196.115 202.106.0.20 定义给客户分发的DNS
firewall(config)# dhcpd enable inside 内接口打开DHCP功能
ASA防火墙的ADSL拨号
firewall(config)# vpdn group adsl request dialout pppoe
firewall(config)# vpdn group adsl localname 200000175639
firewall(config)# vpdn group adsl ppp authentication pap
firewall(config)# vpdn username ********* password ********* (ISP提供的账户名和密码)
firewall(config)# dhcpd auto_config outside
interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.6.1 255.255.255.0
interface Ethernet0/1
nameif outside
security-level 0
pppoe client vpdn group adsl
ip address pppoe setroute
ASA防火墙更改内部服务器端口配置
默认HTTP的端口号是TCP80,那么如果内部的服务器更改了默认的TCP80端口的话,那么
防火墙的监控策略也要随之改变,这样才能够保障内部服务器的正常工作。
ciscoasa/c1(config)# class-map new.http
ciscoasa/c1(config-cmap)# match port tcp eq 8080
ciscoasa/c1(config)# policy-map global_policy
ciscoasa/c1(config-pmap)# class new.http
ciscoasa/c1(config-pmap-c)# inspect http
将内网服务器映射到外网(OUTSIDE接口的80):
ciscoasa/c1(config)# static (inside,outside) tcp interface www 192.168.1.100 8080 netmask 255.255.255.255 dns
外网放开HTTP流量:
ciscoasa/c1(config)# access-list outside extended permit tcp any host 202.100.1.10 eq www
ciscoasa/c1(config)# access-group outside in interface outside
ASA防火墙基本SHOW命令
Firewall(config)#show conn
若用show conn查看到某个内部IP到互联网上的链接特别多,且都是UDP高端口号的,可以断定此机器是在P2P下载,
然后可以通过在防火墙上的show arp命令查看到此计算机的MAC地址,在用上面交换机维护命令讲到的命令确认他连
接在交换机的端口,然后将此端口shutdown,或通过机房点位直接到用户要求其停止,否则会占用出口带宽和防火墙的资源。
赵忠祥丑闻Firewall(config)#show conn local 192.168.40.69 查看具体一个IP地址的链接项:
Firewall(config)#show version 查看防火墙的硬件信息
Firewall(config)#show xlate 查看内部地址时否转换成外端口地址来上网
Fierwall(config)#clear arp 清除ARP表
Firewall(config)#clear xlate 清除内部所有地址的转换项,网络中断一下
Firewall(config)#clear xlate local 192.168.40.69 清除内部具体一台机器的转换项
Firewall(config)#show running-config 查看防火墙的当前配置文件
Firewall(config)#show perfmon 查看各协议的会话信息
Firewall(config)#show ip address 查看IP地址信息
Firewall(config)#show nameif 查看ASA接口nameif
销售团队激励口号Firewall(config)#show int ip br 相当于路由器的show ip int br,查看端口基本状态信息
ASA防火墙接口间路由注意事项
1.子接口配置
如同路由器一样,防火墙在5510之上的型号是支持子接口配置的,也就是说防火墙一样可以做独臂路由,那么配置就不像路由器繁琐,只是在接口下面指定VLAN就可以了。
interface Ethernet0/0
no shut
no nameif
no security-level
no ip address
interface Ethernet0/0.2
vlan 2
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/0.3
vlan 3
nameif dmz
security-level 50
ip address 192.168.3.1 255.255.255.0
注:1.子接口对应的物理接口要no shut。
2.该物理接口对应的交换机接口一定要trunk!!!!!!!!!!
2.物理接口充当路由接口
解释:也许题目起的并不是很准确,但是描述的意思是当一个接口下面有多个路由器,防火墙是HUB时,那么防火墙要充当
这些路由器的路由功能(当然,这种情况不是经常出现),那么就牵扯到一个问题,也就是,默认情况下,路由器在同一个
接口收到的流量,也可以从这个接口出去,那么防火墙则不然,防火墙的默认行为是:从一个接口收到的流量,必须从零一个
接口出去,所以要去除这个特性,有一个配置,简称开关。
ciscoasa(config)# same-security-traffic permit intra-interface
那么如果这个Inside接口配置了NAT ,那么同样,不通网段流量必须要NAT-BYPASS!!!也就是NAT 0
例:
access-list nonat extended permit ip 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0
access-list nonat extended permit ip 172.16.1.0 255.255.255.0 192.168.1.0 255.255.255.0
nat (inside) 0 access-list nonat
3.同级别接口通信
默认情况下,相同安全级别接口是不允许通信的(是同一个设备上的接口间),例如INSIDE1和DMZ
那么要允许相同安全级别接口通信,配置开关:
全国一卷
ciscoasa(config)# same-security-traffic permit inter-interface
注:接口命名时,除了inside接口的命名,安全级别为100,其他所有命名接口的接口安全界别均为“0”。
那么需要特别注意的是,当一个防火墙配置了3个接口,其中有一个接口命名为了“DMZ”。
那么按照防火墙的命名规则,“DMZ”的接口安全级别也就为“0”,那么这时候带来的问题就是,DMZ和OUTSIDE接口不能通信,因为安全级别一样,所以当命名DMZ时候,务必要将DMZ接口配置为1-99之间的值。
推荐是“50”,当然,如果有两个DMZ接口,那么推荐一个“50”,一个“60”。
例:
interface Ethernet0/0.2
vlan 2
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/0.3