您的位置:首页 > 数码常识数码常识
asa5520防火墙配置(关于asa5520防火墙你一定要知道的事情)
2025-05-11人已围观
asa5520防火墙配置(关于asa5520防火墙你一定要知道的事情)
一、设备登录登录方式:
asa5520防火墙配置二、安全区域及IP地址
interface GigabitEthernet0/1 //进入接口
nameif outside1 //配置安全区域名称(可自行编写)
security-level 0 //配置安全区域安全等级(默认outside为0,inside为100,高安全等级能够访问低安全等级,低安全等级不能访问高安全等级内容,除非使用访问控制列表permit)
ip address 218.246.213.75 255.255.255.240 //配置接口IP地址
DMZ区也是一个安全区域,创建区域的目的是为了区域之间做访问控制、攻击检测和隔离,外网outside1到inside区域需要做攻击检测,创建DMZ区域的目的是将一部分需要隔离的主机访问其他区域也做检测,类似于交换机的VLAN,内网分为DMZ VLAN和inside VLAN,这样就可以给DMZ VLAN和inside VLAN之间做访问控制策略了。
DMZ区域举例:
interface GigabitEthernet0/7 //进入接口
nameif DMZ //配置安全区域名称(可自行编写)
security-level 50 //配置安全区域安全等级(默认outside为0,inside为100,高安全等级能够访问低安全等级,低安全等级不能访问高安全等级内容,除非使用访问控制列表permit)
ip address 172.16.50.1 //配置接口IP地址
三、配置路由(路由冗余)
路由优先级数字越小,优先级越高
route outside2 0.0.0.0 0.0.0.0 181.12.111.1 2 //outside2安全区域默认路由
route outside1 0.0.0.0 0.0.0.0 238.201.237.1 3 //outside1安全区域默认路由
route inside 172.16.1.0 255.255.255.0 192.168.202.25 1
//inside安全区域明细路由,访问172.16.1.0网段,下一条为192.168.202.25(核心交换机)
四、配置上网NAT
object network internet1 //创建允许上网的网段
subnet 0.0.0.0 0.0.0.0
object network internet2
subnet 0.0.0.0 0.0.0.0
object network internet1
nat (inside,outside1) dynamic interface //允许所有网段均可上网
object network internet2
nat (inside,outside2) dynamic interface
不允许上网网段通过访问控制列表限制
五、端口映射
object network mailowa110 //创建映射内网地址的object项,名称自取
host 192.168.203.12 //添加需要映射的内网服务器地址
nat (inside,outside1) static 238.106.237.19 service tcp pop3 pop3
//配置端口映射,外网可以通过238.106.237.19地址访问192.168.203.12服务器的pop3(110)端口
开放相关访问控制(需要添加在deny条目之前)
access-list outside1-inside extended permit permit tcp any host 238.106.237.19 eq 110
access-list outside1-inside extended deny ip any any
默认访问控制列表禁用所有IP,端口映射后需要在访问控制列表中添加
六、反向映射(用于内网访问外网端口)
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface //打开反向映射功能
object network oa_outside-inside //创建映射内网地址的object项,名称自取
host 192.168.202.53 //添加需要映射的内网服务器地址
object network oa-outside //创建映射外网地址的object项,名称自取
host 238.106.237.19 //添加需要映射的外网服务器地址
object service tcp80 //创建映射的服务object项,名称自取
service tcp destination eq www //添加80端口
nat (inside,inside) source static any interface destination static oa-outside oa_outside-inside service tcp80 tcp80
//映射服务,调用上面所创建object,让访问inside区域访问outside区域端口映射的主机直接通过内网服务器端口访问
七、访问控制列表
例:内网172.16.110.0段(厂房扫码使用)不允许访问外网
access-list inside-outside extended deny ip 172.16.110.0 255.255.255.0 any
//创建名称为"inside-outside"的禁止172.16.110.0段访问任何网络的表项
access-list inside-outside extended permit ip any any
//创建允许所有网段都允许的表项
access-group inside-outside in interface inside
//应用在防火墙"inside"区域"in"方向,即可
八、双联路负载(策略路由)
access-list yidong1 extended permit ip 172.16.200.0 255.255.255.0 any
access-list yidong1 extended permit ip 172.16.30.0 255.255.254.0 any
access-list yidong1 extended permit ip 172.16.100.0 255.255.254.0 any
access-list yidong1 extended permit ip 172.16.110.0 255.255.255.0 any
access-list yidong1 extended permit ip 172.16.111.0 255.255.255.0 any
access-list yidong1 extended permit ip 172.16.120.0 255.255.255.0 any
//创建名为yidong1的访问控制列表,列表中为需要指定走那条公网的内网网段
route-map yidong permit 10 //创建名为yidong的策略
match ip address yidong1 //匹配上面创建的"yidong1"列表
set ip default next-hop 238.106.237.19 //指定匹配"yiding1"列表的下一条指向"238.106.237.19"(移动IP)
interface GigabitEthernet0/0 //进入inside接口
policy-route route-map yidong //调用"yidong"策略,即可
九、DHCP配置
防火墙DHCP配置不能配置网关,网关已经被指定为相应安全区域接口地址
dhcpd address 192.168.1.2-192.168.1.254 management
//为management安全区域分配IP地址段为"192.168.1.2到192.168.1.254"
dhcpd enable management
//为management安全区域开启DHCP功能
dhcpd dns 114.114.114.114 8.8.8.8 interface management
//为management安全区域配置DNS
一、设备登录
内网使用协议:telnet
内网登录IP地址:192.168.201.6
外网使用协议:ssh
外网登录IP地址:XXX.XXX.XXX.XXX
用户名:cisco
密码:123456
特权密码:123456
上面就是小居数码小编今天给大家介绍的关于(关于asa5520防火墙你一定要知道的事情)的全部内容,希望可以帮助到你,想了解更多关于数码知识的问题,欢迎关注我们,并收藏,转发,分享。
94%的朋友还想知道的:
ArduinoIDE安装与配置(arduinoide安装教程)
一般什么配置电脑可以运行cad(适合运行cad的电脑配置)
mysql安装配置教程(mysql安装及配置超详细教程)
mysql安装配置步骤(mysql安装与配置详细教程)
97731
一、设备登录登录方式:
asa5520防火墙配置二、安全区域及IP地址
interface GigabitEthernet0/1 //进入接口
nameif outside1 //配置安全区域名称(可自行编写)
security-level 0 //配置安全区域安全等级(默认outside为0,inside为100,高安全等级能够访问低安全等级,低安全等级不能访问高安全等级内容,除非使用访问控制列表permit)
ip address 218.246.213.75 255.255.255.240 //配置接口IP地址
DMZ区也是一个安全区域,创建区域的目的是为了区域之间做访问控制、攻击检测和隔离,外网outside1到inside区域需要做攻击检测,创建DMZ区域的目的是将一部分需要隔离的主机访问其他区域也做检测,类似于交换机的VLAN,内网分为DMZ VLAN和inside VLAN,这样就可以给DMZ VLAN和inside VLAN之间做访问控制策略了。
DMZ区域举例:
interface GigabitEthernet0/7 //进入接口
nameif DMZ //配置安全区域名称(可自行编写)
security-level 50 //配置安全区域安全等级(默认outside为0,inside为100,高安全等级能够访问低安全等级,低安全等级不能访问高安全等级内容,除非使用访问控制列表permit)
ip address 172.16.50.1 //配置接口IP地址
三、配置路由(路由冗余)
路由优先级数字越小,优先级越高
route outside2 0.0.0.0 0.0.0.0 181.12.111.1 2 //outside2安全区域默认路由
route outside1 0.0.0.0 0.0.0.0 238.201.237.1 3 //outside1安全区域默认路由
route inside 172.16.1.0 255.255.255.0 192.168.202.25 1
//inside安全区域明细路由,访问172.16.1.0网段,下一条为192.168.202.25(核心交换机)
四、配置上网NAT
object network internet1 //创建允许上网的网段
subnet 0.0.0.0 0.0.0.0
object network internet2
subnet 0.0.0.0 0.0.0.0
object network internet1
nat (inside,outside1) dynamic interface //允许所有网段均可上网
object network internet2
nat (inside,outside2) dynamic interface
不允许上网网段通过访问控制列表限制
五、端口映射
object network mailowa110 //创建映射内网地址的object项,名称自取
host 192.168.203.12 //添加需要映射的内网服务器地址
nat (inside,outside1) static 238.106.237.19 service tcp pop3 pop3
//配置端口映射,外网可以通过238.106.237.19地址访问192.168.203.12服务器的pop3(110)端口
开放相关访问控制(需要添加在deny条目之前)
access-list outside1-inside extended permit permit tcp any host 238.106.237.19 eq 110
access-list outside1-inside extended deny ip any any
默认访问控制列表禁用所有IP,端口映射后需要在访问控制列表中添加
六、反向映射(用于内网访问外网端口)
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface //打开反向映射功能
object network oa_outside-inside //创建映射内网地址的object项,名称自取
host 192.168.202.53 //添加需要映射的内网服务器地址
object network oa-outside //创建映射外网地址的object项,名称自取
host 238.106.237.19 //添加需要映射的外网服务器地址
object service tcp80 //创建映射的服务object项,名称自取
service tcp destination eq www //添加80端口
nat (inside,inside) source static any interface destination static oa-outside oa_outside-inside service tcp80 tcp80
//映射服务,调用上面所创建object,让访问inside区域访问outside区域端口映射的主机直接通过内网服务器端口访问
七、访问控制列表
例:内网172.16.110.0段(厂房扫码使用)不允许访问外网
access-list inside-outside extended deny ip 172.16.110.0 255.255.255.0 any
//创建名称为"inside-outside"的禁止172.16.110.0段访问任何网络的表项
access-list inside-outside extended permit ip any any
//创建允许所有网段都允许的表项
access-group inside-outside in interface inside
//应用在防火墙"inside"区域"in"方向,即可
八、双联路负载(策略路由)
access-list yidong1 extended permit ip 172.16.200.0 255.255.255.0 any
access-list yidong1 extended permit ip 172.16.30.0 255.255.254.0 any
access-list yidong1 extended permit ip 172.16.100.0 255.255.254.0 any
access-list yidong1 extended permit ip 172.16.110.0 255.255.255.0 any
access-list yidong1 extended permit ip 172.16.111.0 255.255.255.0 any
access-list yidong1 extended permit ip 172.16.120.0 255.255.255.0 any
//创建名为yidong1的访问控制列表,列表中为需要指定走那条公网的内网网段
route-map yidong permit 10 //创建名为yidong的策略
match ip address yidong1 //匹配上面创建的"yidong1"列表
set ip default next-hop 238.106.237.19 //指定匹配"yiding1"列表的下一条指向"238.106.237.19"(移动IP)
interface GigabitEthernet0/0 //进入inside接口
policy-route route-map yidong //调用"yidong"策略,即可
九、DHCP配置
防火墙DHCP配置不能配置网关,网关已经被指定为相应安全区域接口地址
dhcpd address 192.168.1.2-192.168.1.254 management
//为management安全区域分配IP地址段为"192.168.1.2到192.168.1.254"
dhcpd enable management
//为management安全区域开启DHCP功能
dhcpd dns 114.114.114.114 8.8.8.8 interface management
//为management安全区域配置DNS
一、设备登录
内网使用协议:telnet
内网登录IP地址:192.168.201.6
外网使用协议:ssh
外网登录IP地址:XXX.XXX.XXX.XXX
用户名:cisco
密码:123456
特权密码:123456
上面就是小居数码小编今天给大家介绍的关于(关于asa5520防火墙你一定要知道的事情)的全部内容,希望可以帮助到你,想了解更多关于数码知识的问题,欢迎关注我们,并收藏,转发,分享。
94%的朋友还想知道的:
ArduinoIDE安装与配置(arduinoide安装教程)
一般什么配置电脑可以运行cad(适合运行cad的电脑配置)
mysql安装配置教程(mysql安装及配置超详细教程)
mysql安装配置步骤(mysql安装与配置详细教程)
97731
很赞哦! ()
相关文章
- asa5520防火墙配置(关于asa5520防火墙你一定要知道的事情)
- 漫步者NeoBuds S评测(漫步者NeoBuds S蓝牙耳机怎么样)
- 发布网站外链资源的平台(网站SEO外链平台)
- 小米显示器值不值得买(小米VS戴尔,最后的胜利者)
- 华为matebook16能玩大型游戏吗(华为Matebook16笔记本评测)
- 戴尔灵越14r笔记本好用吗(戴尔灵越14r笔记本评测)
- 三星galaxyA535g版评测(三星galaxyA53怎么样值得入手吗)
- SEO站外优化的内容(seo站外优化推广技巧)
- 荣耀平板6参数详细参数(荣耀平板6玩法更丰富)
- 网件RAX10 wifi6路由器介绍(网件RAX10 wifi6路由器怎么样)