码迷,mamicode.com
首页 > 其他好文 > 详细

asa的基础配置

时间:2014-10-09 19:19:38      阅读:339      评论:0      收藏:0      [点我收藏+]

标签:asa nat   asa acl   asa url   asa 远程   

网络拓扑

 bubuko.com,布布扣

asa防火墙设置动态PAT使内网可以通过一个公网地址访问外网

命令如下:

ciscoasa(config)# nat (inside) 1192.168.1.0 255.255.255.0

ciscoasa(config)# global (outside) 1interface

 

asa防火墙设置静态NAT使客户机可以通过一个公网地址访问dmz区域的web服务器,还需要设置ACL策略允许客户端访问dmz区域。

命令如下:

ciscoasa(config)# static (dmz,outside)192.168.3.10 192.168.2.2

ciscoasa(config)# access-list out_to_dmzpermit tcp any host 192.168.3.10 eq 80

ciscoasa(config)# access-group out_to_dmzin interface outside

 

静态PAT和动态NAT类似,但是静态PAT允许为真实和映射地址指定TCPUDP端口

命令(使用静态PAT发布dmz区域的web网站)

ciscoasa(config)# static (dmz,outside) tcp192.168.3.1 htt 192.168.2.2 http

 

注意:写入静态NAT后不能写入静态PAT否则会报错

 

此命令查看NAT转换表

ciscoasa(config)# show xlate detail

 

 

ACL设置,比如内网搭建了ftp服务器,dns服务器,如果想要外网访问就需要设置ACL策略。

ciscoasa(config)#access-list out_to_dmzpermit tcp any host 192.168.2.2 eq 21

ciscoasa(config)#access-list out_to_dmzpermit udp any host 192.168.2.2 eq 53

ciscoasa(config)# access-group out_to_dmzin interface outside

 

URL过滤

创建class—map,识别传输流量

ciscoasa(config)# access-list 1 permit tcp192.168.1.0 255.255.255.0 any eq 80

ciscoasa(config)# class-map 2

ciscoasa(config-cmap)# match access-list 1

ciscoasa(config)# regex urll"\.baidu\.com"

//过滤的网站

ciscoasa(config)# class-map type regexmatch-any 3

ciscoasa(config-cmap)# match regex urll

ciscoasa(config)# class-map type inspecthttp 4

// inspect http检查http流量

ciscoasa(config-cmap)# match request headerhost regex class 3

创建policy—map,关联class—map

ciscoasa(config)# policy-map type inspecthttp 5

ciscoasa(config-pmap)# class 4

ciscoasa(config-pmap-c)# drop-connectionlog

//关闭链接,并发送系统日志

ciscoasa(config)# policy-map 6

ciscoasa(config-pmap)# class 2

ciscoasa(config-pmap-c)# inspect http 5

//检查http流量

应用policy—map到接口上

ciscoasa(config-pmap-c)# service-policy 6interface inside

 

配置设备的远程访问:

telnet接入

ciscoasa(config)# telnet 192.168.1.0255.255.255.0 inside


配置shh接入

ciscoasa(config)# domain-name asadomain.com

ciscoasa(config)# crypto key generate rsamodulus 1024

ciscoasa(config)# ssh 192.168.1.0255.255.255.0 inside

外部接口引入,0 0表示任意地址可连接

ciscoasa(config)# ssh 0 0 outside


本文出自 “梅花香自苦寒来” 博客,请务必保留此出处http://wangjunkang.blog.51cto.com/8809812/1561831

asa的基础配置

标签:asa nat   asa acl   asa url   asa 远程   

原文地址:http://wangjunkang.blog.51cto.com/8809812/1561831

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!