ASA 防火墙 NAT 类型
动态 NAT
动态 PAT
静态 NAT
静态 PAT
动态 PAT
object network inside(inside 为自定义名称)
subnet 10.1.1.0 255.255.255.0
nat(inside,outside)dynamic 119.1.1.201(用于 PAT 转换的 IP 地址)
或者基于 outside 端口上网
nat(inside,outside)dynamic interface
查看 NAT 转换命令 (xlate 表)
show xlate
portmap 端口映射
静态 NAT
object network ob-out(外网 ob-out 为自定义名称 /)
host 200.8.8.4(配置外网的 IP 地址)
object network dmz01(隔离区 dmz01 为自定义名称)
host 192.168.3.100(配置隔离区 web 服务器的 IP 地址)
nat (dmz,outside)static ob-out service tcp 80 80(配置外网 --> 隔离区域 WEB 服务器的静态地址转换)
object network dmz02(隔离区 dmz02 为自定义名称)
host 192.168.3.101(配置隔离区 ftp 服务器的 IP 地址)
nat (dmz,outside) static ob-out service tcp 21 21(配置外网 --> 隔离区域 WEB 服务器的静态地址转换)
access-list out-to-dmz permit tcp any object dmz01 eq http(out-to-dmz 为此条 acl 的自定义名称, dmz01 为之前配置隔离区 nat 的自定义名称)
access-list out-to-dmz permit tcp any object dmz02 eq ftp(out-to-dmz 为此条 acl 的自定义名称, dmz02 为之前配置隔离区 nat 的自定义名称)
access-group out-to-dmz in interface outside(应用上面 2 条 ACL 条目, out-to-dmz 为上面 2 条 acl 条目的自定义名称)
查看关于 object 的所有配置信息
ciscoasa(config)# show running-config object
查看关于 object 的某一条 ID 对应的信息
ciscoasa(config)# show running-config object id dmz02
远程管理 ASA
telnet
telnet 10.1.1.0 255.255.255.0 inside(配置 10.1.1.0 网段的用户去 telnet)
telnet 0 0 inside(配置任何内网用户都可以 telnet)
outside 是不允许 telnet 防火墙的
SSH
hostname XXX(XXX 为自定义名称)
domain-name XXX.com(XXX.com 为自定义域名)
crypto key generate rsa moduls 1024
RSA 密钥对, 默认长度是 1024 位 modulus: 长度
2048 位
512 位
768 位
ssh 0 0 outside(0 0 是允许任何用户)
username XXX password XXX(XXX 为自定义用户名 + 自定义密码)
aaa authentication ssh console LOCAL(LOCAL 必须大写)
备注: SSH 验证的方法是通过 CRT 来进行验证
ASDM
http server enable (启用 HTTPS 服务)
http 0 0 outside (在外网开启 ASDM 服务, 0 0 为允许任何外网用户登录)
asdm image disk0:/asdm-649.bin (挂载镜像文件, 可用 dir 命令查询具体. bin 系统镜像)
username cisco password cisco privilege 15 (设置用户名和秘钥, 并配置优先级, 范围 0-15. 默认 1, 最好的是 15)
备注: ASDM 的验证方法是通过网页 https://200.8.8.6 来进行访问通过安装 java 来安装图形化界面监控器
日志服务器
安装 firewall analyzer, 使用 UDP 端口 514 和 1514
ASA 的两种工作模式
路由模式 (默认)
充当一个 3 层设备, 基于目的 IP 地址转发数据包
透明模式
充当一个 2 层设备, 基于目的 MAC 地址转发数据帧
透明模式下继续使用应用层智能执行状态检测和各项常规防火墙功能但只支持 2 个区域
透明模式下不需要在接口上配置 IP 地址这样就不用重新设计现有的 IP 网络, 方便部署
ASA 学习笔记
来源: http://www.bubuko.com/infodetail-2484161.html