Cisco ASA5500系列防火墙基本配置手册
一、配置基础 1.1用户接口
思科防火墙支持下列用户配置方式:
Console,Telnet,SSH(1.x或者2.0,2.0为7.x新特性),ASDM的http方式,VMS的Firewall Management Center。
支持进入Rom Monitor模式,权限分为用户模式和特权模式,支持Help,History和命令输出的搜索和过滤。 用户模式:
Firewall> 为用户模式,输入enable进入特权模式Firewall#。特权模式下输入config t可以进入全局配置模式。通过exit,ctrl-z退回上级模式。 配置特性:
在原有命令前加no可以取消该命令。Show running-config 或者 write terminal显示当前配置。Show running-config all显示所有配置,包含缺省配置。Tab可以用于命令补全,ctrl-l可以用于重新显示输入的命令(适用于还没有输入完命令被系统输出打乱的情况),help和history相同于IOS命令集。
Show命令支持 begin,include,exclude,grep 加正则表达式的方式对输出进行过滤和搜索。
Terminal width 命令用于修改终端屏幕显示宽度,缺省为80个字符,pager命令用于修改终端显示屏幕显示行数,缺省为24行。 1.2初始配置
跟路由器一样可以使用setup进行对话式的基本配置。 二、 配置连接性 2.1配置接口 接口基础:
防火墙的接口都必须配置接口名称,接口IP地址和掩码和安全等级。接口基本配置: Firewall(config)# interface hardware-id 进入接口模式 Firewall(config-if)# speed {auto | 10 | 100 | nonegotiate} 设置接口速率 Firewall(config-if)# duplex {auto | full | half} 接口工作模式
Firewall(config-if)# [no] shutdown 激活或关闭接口 Firewall(config-if)# nameif if_name 配置接口名称 Firewall(config-if)# security-level level 定义接口的安全级别 例:interface GigabitEthernet0/0 nameif outside security-level 0
ip address 125.78.33.22 255.255.255.248 !
interface GigabitEthernet0/1 nameif inside security-level 100
ip address 192.168.18.254 255.255.255.0
在配置中,接口被命名为外部接口(outside),安全级别是0;被命名为内部接口(inside),安全级别是100.安全级别取值范围为1~99,数字越大安全级别越高。规则是高级别可以访问低级别,但低级别默认情况下是不可以访问高级别端口的。 注:相同安全等级的接口这间互相不能通讯,除非是在全局配置模式下使用same-security-traffic permit inter-interface命令。 2.2配置IP地址
Firewall(config)# interface hardware-id
Firewall(config)# ip address if_name ip_address [netmask] 例:asa5520(config-if)#ip add 192.168.0.1 255.255.255.0 验证
Firewall# show ip ARP配置
配置一个静态的ARP条目:Firewall(config)# arp if_name ip_address mac_address [alias] 配置timeout时间:Firewall(config)# arp timeout seconds 缺省为4小时 使用clear arp会清除所有的ARP缓存 2.3配置默认路由
启用PRF防止地址欺骗 Firewall(config)# ip verify reverse-path interface if_name
配置静态路由Firewall(config)# route if_name ip_address netmask gateway_ip [metric]
例:asa5520(confgi)# route outside 0.0.0.0 0.0.0.0 125.78.33.17
2.4 DHCP
配置成为DHCP Server:
配置地址池 Firewall(config)# dhcpd address ip1[-ip2] if_name (最多256个客户端) 配置DHCP参数 Firewall(config)# dhcpd dns dns1 [dns2]
Firewall(config)# dhcpd wins wins1 [wins2] Firewall(config)# dhcpd domain domain_name Firewall(config)# dhcpd lease lease_length Firewall(config)# dhcpd ping_timeout timeout
启用DHCP服务 Firewall(config)# dhcpd enable if_name
验证:show dhcdp, show dhcpd bindings, show dhcpd statistics 配置DHCP中继:
定义真实DHCP Server Firewall(config)# dhcprelay server dhcp_server_ip server_ifc(最多4个)
中继参数Firewall(config)# dhcprelay timeout seconds
Firewall(config)# dhcprelay setroute client_ifc
启用中继 Firewall(config)# dhcprelay enable client_ifc 验证 show dhcprelay statistics 三、系统管理 3.1 管理配置文件
显示启动配置文件Firewall# show startup-config
保存当前配置文件 write memory, copy running-config startup-config 删除启动配置文件 write erase 3.2 管理管理会话
Firewall(config)# console timeout minutes[/i] 配置console登录的超时(缺省0不超时)
禁止来自outside端口的telnet,
启用telnet Firewall(config)# telnet ip_address netmask if_name [
Firewall(config)# telnet timeout minutes [/i] [/i]配置telnet超时 例:telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 5 3.3配置http服务
指定镜像的位置,ASDM使用Firewall(config)# asdm image device:/path 来指定镜像位置,
然后配置访问许可Firewall# http ip_address subnet_mask if_name 启用HTTP进程Firewall# http server enable 使用https://ip-address/admin来访问。
Banner配置 Firewall(config)# banner {exec | login | motd} text 对banner不能修改,只能用no来删除,或者clear banner来清除所有的banner 3.4 系统重启和崩溃
通常使用reload命令重启系统,从7.0以后支持在特定的时间重启系统Firewall# reload at hh:mm [month day | day month] [max-hold-time {minutes | hhh:mm}] [noconfirm] [quick] [save-config] [reason text]或者经过一定的时间间隔后重启Firewall# reload in {minutes | hh:mm} [max-hold-time {minutes | hhh:mm}] [noconfirm] [quick] [save-config] [reason text] 3.5 用户密码管理
telne密码配置 Firewall(config)# {password | passwd} password [encrypted] 清除密码用clear {password | passwd})
enable特权模式密码配置 Firewall(config)# enable password [pw] [level priv_level] [encrypted]
定义用户 Firewall(config)# username username [{nopassword | password password} [encrypted]] privilege level 四、 防火墙的路由模式和地址翻译 4.1地址转换
特性介绍:从高安全等级到低安全等级的访问称为outbound访问,需要配置地址翻译和outbound访问控制,ASA防火墙缺省情况下不用配置ACL就允许此类访问,而从低安全等级到高安全等级的访问称为inboud访问,也需要配置地址翻译和inboud访问控制,此类型必须配置ACL.同一安全等级的访问也可以配置地址翻译。
相关推荐:
loading