CISCO_ASA5510_防火墻配置手册.doc

CISCO ASA5510 防火墙配置手册 密码配置 1.telnet密码 Ciscoasa(config)#passwd 123 (用于telnet登陆ASA的密码) 2.enable密码 Ciscoasa(config)#enable password 456 (进入enable特权模式的密码) 3.设备命名 Ciscoasa(config)#hostname wy-ciscoasa 接口配置 2.1接口命名 Ciscoasa(config)#interface Ethernet0/0 Ciscoasa(config-if)#nameif outside 一般的情况将E0/0命为外网接口，而将E0/1命为内网接口。 2.2配置接口安全级别 Ciscoasa(config-if)#security-level 100 (100指权限，数字越高权限越高) 2.3配置IP地址 Ciscoasa(config-if)#ip address 219.139.*.* 2.4关闭/激活接口 Ciscoasa(config-if)#shutdown/no shutdown 静态路由配置 Ciscoasa(config)#route inside 意思为：在inside接口上创建一条到/24 网络走 的路由，ASA会将到/24网络的所有数据包转发给下一条 Ciscoasa(config)#route outside 创建一条外网默认路由，ASA将所有互联网流量转发给internet网关 网络地址转换（NAT）配置 4.1NAT的简介 NAT实现的方式有三种：动态NAT 、静态NAT、PAT 动态NAT：指将内部网络私有IP地址转换为公有IP地址，IP地址不确定，是随机的，所有被授权访问intelnet的私有IP地址可随机转换为任何指定合法IP地址。 静态NAT：指IP地址一对一的转换。 PAT：指改变外出数据包的源端口并进行端口转换。内部所有网络均可以共享一个合法外部IP地址实现对intelnet的访问，从而可以最大限度节约IP地址资源。同时，又可以隐藏网络内部的所有主机，有效避免来自己intelnet的攻击。因此，武英项目做NAT时推荐用PAT。 4.2动态NAT的配置 Ciscoasa(config)#nat (inside) 1 将网络接口为/16网络激活NAT Ciscoasa(config)#global(outside) 1 0-219.139.*.* netmask 将把来自insid接口12/24网络的地址动态转换为0-219.139.*.*的地址。 4.3静态NAT的配置 Ciscoasa(config)#nat (inside) 2 54 55 将此地址激活NAT Ciscoasa(config)#global 2 219.139.*.* 将54这个地址转换为219.139.*.* 4.4 PAT配置 Ciscoasa(config)#nat (inside) 3 将此地址激活NAT Ciscoasa(config)#global (outside) 3 interface(这个是电信只提供了一个IP时可以这样做，所有内网共享一个IP上网) 4.5端口映射的配置 4.5.1 什么时候要做端口映射 当外网需要访问内网中的一台服务器时，ASA并不知道访问的是哪 一台内网中的机器，这时就需要做静态的端口映射。 4.5.2端口映射的配置 语法：Ciscoasa(config)#access-list list-name extended permit tcp/udp any hsot outside_address eq port_num list_name:访问控制列表名称 tcp/udp:需要映射的协议类型 port_num:需要映射的端口号 Ciscoasa(config)#static (inside,outside) tcp/udp interface port_num local_address port_num netmask 55 Tcp/udp:需要映射的协议类型 port_num：映射前的端口号 local_address：映射后的内网主机IP地址 port_num：映射后的端口号 例如：Ciscoasa(config)#access-list 100 extended permit tcp any host 219.139.*.* eq 80 允许外网访问219.139.*.*的tcp 80端口 Ciscoasa(config)#static (inside,outside) tcp interface 80 54 80