首页 >> 新闻中心 >>行业动态 >> 思科cisco防火墙的配置全解析
详细内容

思科cisco防火墙的配置全解析

思科cisco防火墙的配置全解析

 

Cisco思科防火墙的配置问题

 

1:接口名称和安全级别

 

 1.1:ASA的接口名称通常有两种,一种是物理名称一种是逻辑名称

 

物理名称:通常指的就是与路由器的接口一样,如E0/0 E0/1.

 

逻辑名称:通常指的就是配置命令的ACL,逻辑名称用来描述安全区域。

 

 1.2:接口的安全级别

 

ASA的每个接口都有一个安全级别,范围是在0~100之间,并且数值越大其安全级别就越高,当配置接口的名称为inside时,其接口的安全级别自动设置成100。当配置的接口为outside时,其接口的安全级别自动设置成0.

 

不同安全级别的接口之间的相互访问需遵循以下之间的默认规则

 

·允许出站(outbount)链接,即允许从高安全级别接口到低安全阶别的接口流量通过。

 

·禁止入站(inbount)链接,即禁止从低安全级别接口到高安全级别接口的流量通过。

 

 

2:ASA的基本配置

 

 2.1挂载并登陆防火墙

 

   # /mnt/disk0/lina_monitor

 

       ciscoasa> enable

 

   Password:#默认没有密码

 

   ciscoasa#

 

2.2:配置主机名

 

       ciscoasa# configure terminal#进入特权模式

 

       ciscoasa(config)# hostname asa

 

       asa(config)#

 

2.3:配置密码

 

   可以配置特权密码和远程登陆密码

 

    1)配置特权密码

 

       asa(config)# enable password 123456

 

    2)配置远程登陆密码

 

       asa(config)# passwd 123456

 

 

3:ASA的接口配置

 

    1)普通接口   

 

      asa(config)# int e0/0

 

      asa(config-if)# nameif inside

 

      INFO: Security level for "inside" set to 100 by default.

 

      asa(config-if)# security-level 100

 

      asa(config-if)# ip add 11.0.0.2 255.255.255.0

 

      asa(config-if)# no shut

 

  2)ASA的型号是5505,则不支持物理接口上进行配置,通过WLAN虚拟接口来配置

 

     asa(config)# int vlan 1

 

     asa(config-if)# nameif inside

 

     INFO: Security level for "inside" set to 100 by default.

 

     asa(config-if)# security-level 100

 

     asa(config-if)# ip add 11.0.0.2 255.255.255.0

 

     asa(config-if)# no shut

 

     asa(config-if)# int e0/0

 

     asa(config-if)# no shut

 

     asa(config-if)# switchport access vlan 1

 

 

 

4 :  ASA中配置ACL

 

ASA中配置ACL有两个作用,一个是允许流量入站,另一个是禁止流量入站

 

 

  · 配置标准ACL

 

       asa(config)# access-list acl_name [standrad] {permit | deny} ip_addr mask

 

  ·配置扩展ACL

 

       asa(config)# access-list acl_name [extended] {permit | deny} protocol src_ip_addr src_mask dst_ip_addr dst_mask [operator port]

 

  ·将ACL应用到接口

 

      asa(config)# access-group acl_name {in | out} interface interface_ name

 

 

   需要注意的是,路由器上配置的ACL是使用的反码,而ASA配置的ACL是使用正常的掩码,另外,标准ACL过滤流量时不能应用在接口上只能应用在其他场合。

 

 

1)允许入站链接

 

ASA的默认规则就是禁止入站的,那么想要流量的通过,就需要使用ACL

 

asa(config)# access-list out_to_in permit ip host 172.16.1.1 host 10.1.1.1

 

asa(config)# access-group out_to_in in int outside

 

 

 

2)控制出站链接流量-禁止入站

 

   asa(config)# access-list in_to_out deny ip 10.1.1.0 255.255.255.0 any

 

asa(config)# access-list in_to_out permit ip any any

 

asa(config)# access-group in_to_out in int inside

 

 

 

NAT-PAT

 

1:静态NAT转换--->一对一 (IP地址)

 

   是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

 

2:动态NAT转换--->多对多 (IP地址)

 

   是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对是不确定的,是多对多的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集(地址池)当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

 

3:动态NAT和静态NAT的具体以下区别:

 

1、静态的NAT,只能是固定的映射, 不能动态更新 ;

 

    2、动态NAT,可以根据你写的规则 ,进行自动的映射 ;

 

4:动态PAT转换--->多对一 (接口)

 

   是一种动态复用技术,实现多对一转换。多个私有用户同时用一个外部(公网ip)地址时,路由器用上层的TCP或UDP的端口等唯一标识某个地址。 就是在IP-IP的映射上加上端口号 完成多个内部地址映射到一个外部地址的功能

 

5:静态PAT转换--->一对零 (端口号)

 

   当公网IP地址池中没有IP地址时,就是将私有IP地址的一个端口映射到局域网中一台机器,当私有用户访问这个IP的这个端口时,服务器自动将请求映射到对应局域网分机 。

 

6:NAT和PAT的区别

 

   NAT中文全称是地址转换,一般指的是内部IP和内部全局IP一一对应,PAT中文全称是端口转换,一般指的是内部IP与内部全局IP一对多对应,就是将路由器上的多个内部地址映射为一个公网地址,但以不同的协议端口号与不同的内部地址相对应。这种方式常用于拨号上Internet网

 

——————————————————————————————————————————————

深圳汉林时代:致力于为客户提供最优质的网络整体解决方案,我司在企业网络与安全、楼宇网络与安全、酒店无线、餐饮无线、会场无线等领域有丰富的行业经验,欢迎来电共同交流。

0755-23481516  18926565590(微信同号)

专业专注,用心服务。




联系方式
公司二维码
关注汉林公众号 获得报价

电话:0755-23481516   18928454669    18926565590

地址:深圳市福田区天安数码城天祥大厦CD座308室

 

微信公众号:Hanlin_time888

客服QQ:3227620096  410723282   3477747146

邮箱:fanz@hl-era.com

联系人:张先生  李先生  王先生  蔡小姐

在线客服
- 售前咨询
  • 点击这里给我发消息
- 销售1
  • 点击这里给我发消息
- 销售2
  • 点击这里给我发消息
- 销售3
  • 点击这里给我发消息
- 售后服务
  • 点击这里给我发消息
- 投述建议
  • 点击这里给我发消息
技术支持: 续费联系电话:18616906657 | 管理登录
×