Cisco ASA5500 配置手册

《Cisco ASA5500 配置手册》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

CiscoASA5500系列防火墙基本配置手册一、配置基础1.1用户接口思科防火墙支持下列用户配置方式：Console，Telnet，SSH（1.x或者2.0，2.0为7.x新特性），ASDM的http方式，VMS的FirewallManagementCenter。支持进入RomMonitor模式，权限分为用户模式和特权模式，支持Help，History和命令输出的搜索和过滤。用户模式：Firewall>为用户模式，输入enable进入特权模式Firewall#。特权模式下输入configt可以进入全局配置模式。通过exit，ctrl-z退回上级模式。配置特性：在原有命令前加no可以取消该命令。Showrunning-config或者writeterminal显示当前配置。Showrunning-configall显示所有配置，包含缺省配置。Tab可以用于命令补全，ctrl-l可以用于重新显示输入的命令（适用于还没有输入完命令被系统输出打乱的情况），help和history相同于IOS命令集。Show命令支持begin，include，exclude，grep加正则表达式的方式对输出进行过滤和搜索。Terminalwidth命令用于修改终端屏幕显示宽度，缺省为80个字符，pager命令用于修改终端显示屏幕显示行数，缺省为24行。1.2初始配置跟路由器一样可以使用setup进行对话式的基本配置。二、配置连接性2.1配置接口接口基础：防火墙的接口都必须配置接口名称，接口IP地址和掩码和安全等级。接口基本配置：Firewall(config)#interfacehardware-id进入接口模式Firewall(config-if)#speed{auto|10|100|nonegotiate}设置接口速率Firewall(config-if)#duplex{auto|full|half}接口工作模式 Firewall(config-if)#[no]shutdown激活或关闭接口Firewall(config-if)#nameifif_name配置接口名称Firewall(config-if)#security-levellevel定义接口的安全级别例：interfaceGigabitEthernet0/0nameifoutsidesecurity-level0ipaddress125.78.33.22255.255.255.248!interfaceGigabitEthernet0/1nameifinsidesecurity-level100ipaddress192.168.18.254255.255.255.0在配置中，接口被命名为外部接口（outside），安全级别是0；被命名为内部接口（inside），安全级别是100.安全级别取值范围为1～99，数字越大安全级别越高。规则是高级别可以访问低级别，但低级别默认情况下是不可以访问高级别端口的。注：相同安全等级的接口这间互相不能通讯，除非是在全局配置模式下使用same-security-trafficpermitinter-interface命令。2.2配置IP地址Firewall(config)#interfacehardware-idFirewall(config)#ipaddressif_nameip_address[netmask]例:asa5520(config-if)#ipadd192.168.0.1255.255.255.0验证Firewall#showipARP配置配置一个静态的ARP条目：Firewall(config)#arpif_nameip_addressmac_address[alias]配置timeout时间：Firewall(config)#arptimeoutseconds缺省为4小时使用cleararp会清除所有的ARP缓存 2.3配置默认路由启用PRF防止地址欺骗Firewall(config)#ipverifyreverse-pathinterfaceif_name配置静态路由Firewall(config)#routeif_nameip_addressnetmaskgateway_ip[metric]例:asa5520(confgi)#routeoutside0.0.0.00.0.0.0125.78.33.172.4DHCP配置成为DHCPServer：配置地址池Firewall(config)#dhcpdaddressip1[-ip2]if_name  （最多256个客户端）配置DHCP参数Firewall(config)#dhcpddnsdns1[dns2]Firewall(config)#dhcpdwinswins1[wins2]Firewall(config)#dhcpddomaindomain_nameFirewall(config)#dhcpdleaselease_length  Firewall(config)#dhcpdping_timeouttimeout启用DHCP服务Firewall(config)#dhcpdenableif_name验证：showdhcdp,showdhcpdbindings,showdhcpdstatistics配置DHCP中继：定义真实DHCPServerFirewall(config)#dhcprelayserverdhcp_server_ipserver_ifc(最多4个)中继参数Firewall(config)#dhcprelaytimeoutsecondsFirewall(config)#dhcprelaysetrouteclient_ifc启用中继Firewall(config)#dhcprelayenableclient_ifc验证showdhcprelaystatistics三、系统管理3.1管理配置文件显示启动配置文件Firewall#showstartup-config保存当前配置文件writememory,copyrunning-configstartup-config删除启动配置文件writeerase3.2管理管理会话Firewall(config)#consoletimeoutminutes[/i]配置console登录的超时(缺省0不超时)禁止来自outside端口的telnet， 启用telnetFirewall(config)#telnetip_addressnetmaskif_name  [Firewall(config)#telnettimeoutminutes[/i][/i]配置telnet超时例：telnet0.0.0.00.0.0.0insidetelnettimeout53.3配置http服务指定镜像的位置，ASDM使用Firewall(config)#asdmimagedevice:/path来指定镜像位置，然后配置访问许可Firewall#httpip_addresssubnet_maskif_name启用HTTP进程Firewall#httpserverenable使用https://ip-address/admin来访问。Banner配置Firewall(config)#banner{exec|login|motd}text  对banner不能修改，只能用no来删除，或者clearbanner来清除所有的banner3.4系统重启和崩溃通常使用reload命令重启系统，从7.0以后支持在特定的时间重启系统Firewall#reloadathh:mm[monthday|daymonth][max-hold-time{minutes|hhh:mm}][noconfirm][quick][save-config][reasontext]或者经过一定的时间间隔后重启Firewall#reloadin{minutes|hh:mm}[max-hold-time{minutes|hhh:mm}][noconfirm][quick][save-config][reasontext]3.5用户密码管理telne密码配置Firewall(config)#{password|passwd}password[encrypted]清除密码用clear{password|passwd})enable特权模式密码配置Firewall(config)#enablepassword[pw][levelpriv_level][encrypted]定义用户Firewall(config)#usernameusername[{nopassword|passwordpassword}  [encrypted]]privilegelevel四、防火墙的路由模式和地址翻译4.1地址转换特性介绍：从高安全等级到低安全等级的访问称为outbound访问，需要配置地址翻译和outbound访问控制，ASA防火墙缺省情况下不用配置ACL就允许此类访问，而从低安全等级到高安全等级的访问称为inboud访问，也需要配置地址翻译和inboud访问控制，此类型必须配置ACL.同一安全等级的访问也可以配置地址翻译。 静态NAT基于地址的静态翻译Firewall(config)#static(real_ifc,mapped_ifc){mapped_ip|interface}{real_ip[netmaskmask]}[dns][norandomseq][max_conns[emb_limit]]例：static(inside,outside)125.78.33.19192.168.18.244netmask255.255.255.255基于端口的静态翻译Firewall(config)#static(real_ifc,mapped_ifc){tcp|udp}{mapped_ip|interface}mapped_port{real_ipreal_port[netmaskmask]}[dns][norandomseq][max_conns[emb_limit]]static(inside,outside)interfacetcp211192.168.0.18211netmask255.255.255.255动态地址翻译定义NAT的映射地址Firewall(config)#global(mapped_ifc)nat_idglobal_ip[-global_ip][netmaskglobal_mask]定义PAT的映射地址Firewall(config)#global(mapped_ifc)nat_id{global_ip|interface}定义翻译策略Firewall(config)#nat(real_ifc)nat_idreal_ip[mask[dns][outside][[norandomseq][max_conns[emb_limit]]]例：global(outside)1interfacenat(inside)10.0.0.00.0.0.04.2使用ACL进行访问控制特性介绍：防火墙的ACL配置跟IOS不同，子网掩码部分为正常的子网掩码不需要使用反转的子网掩码。还支持Objectgroup，包含IP地址组，ICMP类型组，IP协议或者端口组，并且支持组嵌套。配置定义ObjectGroup网络对象组Firewall(config)#object-groupnetworkgroup_idFirewall(config-network)#descriptiontextFirewall(config-network)#network-objectip_addrmask(或者hostip_addr)Firewall(config-network)#group-objectgroup_idICMP对象组Firewall(config)#object-groupicmp-typegroup_idFirewall(config-icmp-type)#descriptiontextFirewall(config-icmp-type)#icmp-objecticmp_type Firewall(config-icmp-type)#group-objectgroup_id协议对象组Firewall(config)#object-groupprotocolgroup_idFirewall(config-protocol)#descriptiontextFirewall(config-protocol)#protocol-objectprotocolFirewall(config-protocol)#group-objectgroup_id服务对象组Firewall(config)#object-groupservicegroup_id{tcp|udp|tcp-udp}Firewall(config-service)#descriptiontextFirewall(config-service)#port-objectrangebegin_portend_port(或者eqport)Firewall(config-service)#group-objectgroup_id例：object-groupservicejiankongtcpport-objectrange60006001port-objecteqwwwport-objecteq8080port-objecteq9001object-groupservicebs-apptcp-udpport-objecteq211port-objecteq1433port-objecteq4587配置ACLFirewall(config)#access-listacl_id[lineline-num][extended]{permit|deny}{protocol|object-groupprotocol_obj_group}  {source_addr  source_mask|object-group  network_obj_group}[operatorsport|object-groupservice_obj_group]{destination_addrdestination_mask|object-groupnetwork_obj_group}[operatordport|object-groupservice_obj_group][log[[disable|default]|[level]]][intervalsecs]][time-rangename][inactive]例：access-listoutside_access_inextendedpermiticmpanyanyaccess-listoutside_access_inextendedpermittcpanyhost125.78.33.20object-groupbs-appaccess-listoutside_access_inextendedpermittcpanyhost125.78.33.19object-groupjiankong access-listoutside_access_inextendedpermitudpanyhost125.78.33.20object-groupbs-app查看showaccess-list来验证，clearaccess-listacl_idcounters重置ACL计数器将ACL应用到相应的接口Firewall(config)#access-groupacl_id{in|out}interfaceif_name例：access-groupoutside_access_inininterfaceoutside五、防火墙健康检查CPU负荷Firewall#showcpuusageShowprocesses显示防火墙当前活动进程，一般关注Process和Runtime。内存利用Firewall#showmemoryXlate表大小Firewall#showxlatecountConn表大小Firewall#showconncount端口状态Firewall#showinterface