思科防火墙PIXASA怎么配置
思科cisco制造的路由器、交换机设备和其他设备承载了全世界80%的互联网通信,成为硅谷中新经济的传奇,那么你知道思科防火墙PIX ASA怎么配置吗?下面是学习啦小编整理的一些关于思科防火墙PIX ASA怎么配置的相关资料,供你参考。
思科防火墙PIX ASA配置的方法:
学习啦在线学习网 思科防火墙已经从PIX发展到ASA了,IOS也已经从早期的6.0发展到7.2。但总体的配置思路并没有多少变化。只是更加人性化,更加容易配置和管理了。
下面是我工作以来的配置总结,有些东西是6.3版本的,但不影响在7.*版本的配置。
一:6个基本命令: nameif、 interface、 ip address 、nat、 global、 route。
二:基本配置步骤:
学习啦在线学习网 step1: 命名接口名字
nameif ethernet0 outside security0
学习啦在线学习网 nameif ethernet1 inside security100
nameif ethernet2 dmz security50
学习啦在线学习网 **7版本的配置是先进入接口再命名。
step2:配置接口速率
interface ethernet0 10full auto
interface ethernet1 10full auto
interface ethernet2 10full
学习啦在线学习网 step3:配置接口地址
ip address outside 218.106.185.82
ip address inside 192.168.100.1 255.255.255.0
ip address dmz 192.168.200.1 255.255.255.0
step4:地址转换(必须)
学习啦在线学习网 * 安全高的区域访问安全低的区域(即内部到外部)需NAT和global;
nat(inside) 1 192.168.1.1 255.255.255.0
global(outside) 1 222.240.254.193 255.255.255.248
*** nat (inside) 0 192.168.1.1 255.255.255.255 表示192.168.1.1这个地址不需要转换。直接转发出去。
学习啦在线学习网 * 如果内部有服务器需要映射到公网地址则需要static和conduit或者acl.
学习啦在线学习网 static (inside, outside) 222.240.254.194 192.168.1.240
学习啦在线学习网 static (inside, outside) 222.240.254.194 192.168.1.240 10000 10
后面的10000为限制连接数,10为限制的半开连接数。
学习啦在线学习网 conduit permit tcp host 222.240.254.194 eq www any
学习啦在线学习网 conduit permit icmp any any (这个命令在做测试期间可以配置,测试完之后要关掉,防止不必要的漏洞)
学习啦在线学习网 ACL实现的功能和conduit一样都可实现策略访问,只是ACL稍微麻烦点。conduit现在在7版本已经不能用了。
学习啦在线学习网 Access-list 101 permit tcp any host 222.240.254.194 eq www
Access-group 101 in interface outside (绑定到接口)
学习啦在线学习网 ***允许任何地址到主机地址为222.240.254.194的www的tcp访问。
学习啦在线学习网 Step5:路由定义:
学习啦在线学习网 Route outside 0 0 222.240.254.193 1
Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
**如果内部网段不是直接接在防火墙内口,则需要配置到内部的路由。
Step6:基础配置完成,保存配置。
学习啦在线学习网 Write memory write erase 清空配置
reload
看过文章“思科防火墙PIX ASA怎么配置”的人还看了: