Cisco ASA5520防火墙配置前言●主要从防火墙穿越的角度，描述Cisco ASA5520防火墙的配置●对Pix ASA系列防火墙配置具有参考意义内容●防火墙与NAT介绍●基本介绍●基本配置●高级配置●其它●案例防火墙与NAT介绍●防火墙门卫●NAT过道●区别两者可以分别使用Windows有个人防火墙Windows有Internet Connect sharing服务一般防火墙产品，同时带有NAT基本介绍●配置连接●工作模式●常用命令●ASA5520介绍配置连接●初次连接使用超级终端登陆Console口Cicso的波特率设置为9600●Telnet连接默认不打开，在使用Console配置后，可以选择开启开启命令：telnet ip_addressnetmaskif_name连接命令：telnet 192.168.1.1ASA5520默认不允许外网telnet,开启比较麻烦●ASDM连接图形界面配置方式●SSH连接工作模式●普通模式连接上去后模式进入普通模式需要有普通模式密码Enable 进入特权模式，需要特权密码●特权模式Config terminal 进入配置模式●配置模式●模式转换exit 或者ctrl-z退出当前模式，到前一模式也适用于嵌套配置下退出当前配置常用命令●命令支持缩写，只要前写到与其它命令不同的地方即可config terminal = conf term = conf tTab键盘补全命令？Or help 获取帮助●取消配置no 命令取消以前的配置Clear 取消一组配置，具体请查看帮助●查看配置Show versionshow run [all] , write terminalShow xlatShow run natShow run global●保存配置Write memoryASA5520介绍●硬件配置：ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz●1个Console口，一个Aux口，4个千兆网口●支持并发：280000个●支持VPN个数：150●支持双机热备、负载均衡●可以通过show version 查看硬件信息基本配置●接口配置●NAT配置●ACL访问控制接口配置●四个以太网口GigabitEthernet0/0、gig0/1、gig0/2、gig0/3进入接口配置: interface if_name●配置IPip address ip_address [netmask]ip address ip_addressdhcp打开端口: no shutdown配置安全级别security-level [0-100]数据从安全级别高的流向底的，不能倒流倒流需要保安允许所以外网一般配置为0，内网为100配置别名供其它命令引用Nameifif_nameNAT●NAT (Network Address Translate)●NAT类型(与防火墙穿越提到的类型不相关）Dynamic NATPATStatic NAT & Static PATIdentity NATNAT exemptionPolicy NAT●地址表超时NAT配置●普通NATDynamic NATPAT●NAT例外Static NATIdentity NATNAT exemptionPolicy NAT普通NAT●普通NAT，只允许内网先发起连接●地址池配置global (if_name) natidstart_addr-end_addrnetmask如：global (outside) 1 192.168.85.111-192.168.85.113 255.255.255.0定义了natid 1 和地址池192.168.85.111-192.168.85.113Dynamic NATnat (real_ifc) nat_idinside_networkoutside_network动态分配给内网一个独立的IP●PATPAT使用1个地址+65535个端口为内网提供地址转换地址池中只有一个值时，就是PAT分配给内网连接一个固定IP和一个动态的端口Static NAT●Static NAT允许外网先发起连接是一个外网IP固定一个内网IP可以称为IP映射●命令Static (internal_if_name, external_if_name) maped_addrreal_addrMaped_addr与real_addr不相同Static PAT●Static PAT允许外网先发起连接是一个内网IP+一个端口转换成一个固定的外网IP+固定的外网端口可以称为端口映射●命令static (real_interface,mapped_interface) {tcp | udp} {mapped_ip |interface} mapped_portreal_ipreal_port [netmask mask]Identity NAT●Identity NAT不使用地址转换，采用原地址出去只能内网发起连接外网必须配置ACL permit才能先发起连接●命令NAT （real_if_name）0 addr/network networkmask如: nat (inside) 0 192.168.1.2 255.255.255.255●Static Identity NAT不使用地址转换，采用原地址出去内外网都可先发起连接●命令static (real_interface,mapped_interface) real_ipreal_ipNAT exemption●NAT exemptionIdentity NAT和ACL的混合，功能更加强大不使用地址转换，采用原地址出去内外网均可发起连接●命令例1：access-list EXEMPT permit ip10.1.2.0 255.255.255.0 anynat (inside) 0 access-list EXEMPT例2：access-list NET1 permit ip 10.1.2.0 255.255.255.0 209.165.201.0access-list NET1 permit ip 10.1.2.0 255.255.255.0 209.165.200.224nat (inside) 0 access-list NET1Policy NAT●Policy NAT & Policy PAT用ACL定义的NAT和PAT更加灵活●命令Policy nat : static (real_interface,mapped_interface) {mapped_ip | interface}access-list acl_namePolicy pat : static (real_interface,mapped_interface) {tcp | udp} {mapped_ip |interface} mapped_port access-list acl_name●举例hostname(config)# access-list NET1 permit ip 10.1.2.0 255.255.255.0 209.165.201.0255.255.255.224hostname(config)# access-list NET2 permit ip 10.1.2.0 255.255.255.0 209.165.200.224255.255.255.224hostname(config)# nat (inside) 1 access-list NET1hostname(config)# global (outside) 1 209.165.202.129hostname(config)# nat (inside) 2 access-list NET2hostname(config)# global (outside) 2 209.165.202.130地址表超时●地址转换表超时查看命令：show run timeout xlate默认超时为3小时设置命令：timeout xlatehh:mm:ss清除当前表：clear xlat在重新配置了NAT后，如果不重启，只有等到当前表超时才能生效，可以强制清除表，但此时的连接都将中断●连接超时查看命令: show run timeout conn默认超时为1小时设置命令：timeout conn hh:mm:ss清除当前连接：clear conn清除当前连接，当前的连接都将中断ACL访问控制●ACL访问控制权限列表，定义外网数据包是否可以进入Deny 优先配合NAT, Static等命令使用内网一般配置成允许所有，外网需要根据实际情况配置●命令access-list access_list_name [line line_number] [extended]{deny | permit} protocol source_address mask [operator port] dest_address mask [operator port| icmp_type] [inactive]与接口绑定：access-group access_list_name in/out interface if_nameACL访问控制●举例access-list ACL_IN extended permit ip any anyaccess-list ACL_IN extended permit ip 192.168.1.0 255.255.255.0 209.165.201.0 255.255.255.224access-list alout extended permit tcp any interface outside eq 3389access-list alout extended permit tcpany host 192.168.85.113 eq 3389Access-group alout in interface outside高级配置●对象组●应用层协议检查●AAA认证●VPN配置对象组●对象组（Object-group）对其它命令（NAT、access-listd等)用到类似的对象进行的分组有四种类型的对象组●icmp-type Specifies a group of ICMP types, such as echo●network Specifies a group of host or subnet IP addresses●protocol Specifies a group of protocols, such as TCP, etc●service Specifies a group of TCP/UDP ports/services●命令Object-group grpTypegrpNamedescription 组描述group-object 组中嵌套别的组network-object 具体的一个Object定义，这里举network类型的情况对象组●举例Object-group network grpNetWorknetwork-object 192.168.85.111 255.255.255.255network-object 192.168.85.111 255.255.255.255exitaccess-list alout permit tcp object-group grpNetWork any应用层协议检查●应用层协议检查除使用当前连接，还需要协商使用其它端口的协议。