思科a的sa防火墙精华配置总结.doc

思科ASA防火墙精华配置总结 ??? 思科防火墙 PIX ASA 配置总结一（基础）： ??? 下面是我工作以来的配置总结，有些东西是6.3版本的，但不影响在7.＊版本的配置。 ??? 一：6个基本命令： nameif、 interface、 ip address 、nat、 global、 route。 ??? 二：基本配置步骤：??? step1: 命名接口名字??? nameif ethernet0 outside security0??? nameif ethernet1 inside security100??? nameif ethernet2 dmz security50 ??? ＊＊7版本的配置是先进入接口再命名。 ??? step2：配置接口速率 ??? interface ethernet0 10full auto??? interface ethernet1 10full auto??? interface ethernet2 10full ??? step3：配置接口地址 ??? ip address outside 2??? ip address inside ??? ip address dmz ??? step4：地址转换（必须） ??? * 安全高的区域访问安全低的区域（即内部到外部）需NAT和global;??? nat(inside) 1 ??? global(outside) 1 93 48 ??? ＊＊＊ nat (inside) 0 55 表示这个地址不需要转换。直接转发出去。 ??? * 如果内部有服务器需要映像到公网地址(外网访问内网)则需要static和conduit或者acl.??? static (inside, outside) 94 40??? static (inside, outside) 94 40 10000 10 ??? 后面的10000为限制连接数，10为限制的半开连接数。 ??? conduit permit tcp host 94 eq www any??? conduit permit icmp any any (这个命令在做测试期间可以配置，测试完之后要关掉，防止不必要的漏洞) ??? ACL实现的功能和conduit一样都可实现策略访问，只是ACL稍微麻烦点。conduit现在在7版本已经不能用了。??? Access-list 101 permit tcp any host 94 eq www??? Access-group 101 in interface outside (绑定到接口) ????? ＊＊＊允许任何地址到主机地址为94的www的tcp访问。 ??? Step5：路由定义：??? Route outside 0 0 93 1??? Route inside 1 ????? ＊＊如果内部网段不是直接接在防火墙内口，则需要配置到内部的路由。 ??? Step6：基础配置完成，保存配置。??? Write memory write erase 清空配置??? reload 　 ? 前言防火墙观经业络当DataCenter提供企业业务ISP提供企业VPN时虑络帮户墙务DataCenter提供为数众户务为户络环DataCenter在众户络环业个墙时虑ASA系列防火墙Multiple context 功能来个灵扩墙环ASA Multiple context 是将个实墙个虚拟墙虚拟墙独虚拟线NAT表、独墙个别ASA Multuple context启动ASA只支持静态动态Multicast路由以及VPN与Threat Detection功能。 ? 一、ASA Multiple context 规:目前CISCO ASA5500 支持0~50个multiple context . ASA 5500防火墙Security contexts 数 ? Cisco ASA 5505 Cisco ASA 5510 Cisco ASA 5520 Cisco ASA 5540 Cisco ASA 5550 Cisco ASA 5580 Security context-虚拟墙(内/最大) 0/0 2/5 2/20 2/50 2/50 2/50 ? 　CISCO ASA 防火墙强处达联数两个(ASA5580)ASA防火墙号ASA5505 ，ASA5510，ASA5520，ASA5540，ASA5550，ASA5580-20，ASA5580-40，适用于家庭、中小企业Service provider，客户络环调备备络备灵图(ASDM)，让轻??? 二、Multiple context 架