码迷,mamicode.com
首页 > 其他好文 > 详细

asa的基础配置

时间:2014-10-09 19:19:38      阅读:339      评论:0      收藏:0      [点我收藏+]

标签:asa nat   asa acl   asa url   asa 远程   

网络拓扑

 bubuko.com,布布扣

asa防火墙设置动态PAT使内网可以通过一个公网地址访问外网

命令如下:

ciscoasa(config)# nat (inside) 1192.168.1.0 255.255.255.0

ciscoasa(config)# global (outside) 1interface

 

asa防火墙设置静态NAT使客户机可以通过一个公网地址访问dmz区域的web服务器,还需要设置ACL策略允许客户端访问dmz区域。

命令如下:

ciscoasa(config)# static (dmz,outside)192.168.3.10 192.168.2.2

ciscoasa(config)# access-list out_to_dmzpermit tcp any host 192.168.3.10 eq 80

ciscoasa(config)# access-group out_to_dmzin interface outside

 

静态PAT和动态NAT类似,但是静态PAT允许为真实和映射地址指定TCPUDP端口

命令(使用静态PAT发布dmz区域的web网站)

ciscoasa(config)# static (dmz,outside) tcp192.168.3.1 htt 192.168.2.2 http

 

注意:写入静态NAT后不能写入静态PAT否则会报错

 

此命令查看NAT转换表

ciscoasa(config)# show xlate detail

 

 

ACL设置,比如内网搭建了ftp服务器,dns服务器,如果想要外网访问就需要设置ACL策略。

ciscoasa(config)#access-list out_to_dmzpermit tcp any host 192.168.2.2 eq 21

ciscoasa(config)#access-list out_to_dmzpermit udp any host 192.168.2.2 eq 53

ciscoasa(config)# access-group out_to_dmzin interface outside

 

URL过滤

创建class—map,识别传输流量

ciscoasa(config)# access-list 1 permit tcp192.168.1.0 255.255.255.0 any eq 80

ciscoasa(config)# class-map 2

ciscoasa(config-cmap)# match access-list 1

ciscoasa(config)# regex urll"\.baidu\.com"

//过滤的网站

ciscoasa(config)# class-map type regexmatch-any 3

ciscoasa(config-cmap)# match regex urll

ciscoasa(config)# class-map type inspecthttp 4

// inspect http检查http流量

ciscoasa(config-cmap)# match request headerhost regex class 3

创建policy—map,关联class—map

ciscoasa(config)# policy-map type inspecthttp 5

ciscoasa(config-pmap)# class 4

ciscoasa(config-pmap-c)# drop-connectionlog

//关闭链接,并发送系统日志

ciscoasa(config)# policy-map 6

ciscoasa(config-pmap)# class 2

ciscoasa(config-pmap-c)# inspect http 5

//检查http流量

应用policy—map到接口上

ciscoasa(config-pmap-c)# service-policy 6interface inside

 

配置设备的远程访问:

telnet接入

ciscoasa(config)# telnet 192.168.1.0255.255.255.0 inside


配置shh接入

ciscoasa(config)# domain-name asadomain.com

ciscoasa(config)# crypto key generate rsamodulus 1024

ciscoasa(config)# ssh 192.168.1.0255.255.255.0 inside

外部接口引入,0 0表示任意地址可连接

ciscoasa(config)# ssh 0 0 outside


本文出自 “梅花香自苦寒来” 博客,请务必保留此出处http://wangjunkang.blog.51cto.com/8809812/1561831

asa的基础配置

标签:asa nat   asa acl   asa url   asa 远程   

原文地址:http://wangjunkang.blog.51cto.com/8809812/1561831
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!