思科ASA防火墙精华配置总结..doc

思科ASA防火墙精华配置总结 ??? 思科防火墙 PIX ASA 配置总结一（基础）： ??? 下面是我工作以来的配置总结，有些东西是6.3版本的，但不影响在7.＊版本的配置。 ??? 一：6个基本命令： nameif、 interface、 ip address 、nat、 global、 route。 ??? 二：基本配置步骤：??? step1: 命名接口名字??? nameif ethernet0 outside security0??? nameif ethernet1 inside security100??? nameif ethernet2 dmz security50 ??? ＊＊7版本的配置是先进入接口再命名。 ??? step2：配置接口速率 ??? interface ethernet0 10full auto??? interface ethernet1 10full auto??? interface ethernet2 10full ??? step3：配置接口地址 ??? ip address outside 2??? ip address inside ??? ip address dmz ??? step4：地址转换（必须） ??? * 安全高的区域访问安全低的区域（即内部到外部）需NAT和global;??? nat(inside) 1 ??? global(outside) 1 93 48 ??? ＊＊＊ nat (inside) 0 55 表示这个地址不需要转换。直接转发出去。 ??? * 如果内部有服务器需要映像到公网地址(外网访问内网)则需要static和conduit或者acl.??? static (inside, outside) 94 40??? static (inside, outside) 94 40 10000 10 ??? 后面的10000为限制连接数，10为限制的半开连接数。 ??? conduit permit tcp host 94 eq www any??? conduit permit icmp any any (这个命令在做测试期间可以配置，测试完之后要关掉，防止不必要的漏洞) ??? ACL实现的功能和conduit一样都可实现策略访问，只是ACL稍微麻烦点。conduit现在在7版本已经不能用了。??? Access-list 101 permit tcp any host 94 eq www??? Access-group 101 in interface outside (绑定到接口) ????? ＊＊＊允许任何地址到主机地址为94的www的tcp访问。 ??? Step5：路由定义：??? Route outside 0 0 93 1??? Route inside 1 ????? ＊＊如果内部网段不是直接接在防火墙内口，则需要配置到内部的路由。 ??? Step6：基础配置完成，保存配置。??? Write memory write erase 清空配置??? reload 　 ? 前言防火墙观念已经在企业网络相当普及，DataCenter提供企业主机代管业务或是ISP提供企业VPN需求时，常需考虑网络安全，需要帮客户建置防火墙服务，DataCenter提供为数众多的客户主机代管服务，亦需要为客户建置安全网络环境。DataCenter在众多客户的网络环境或是大型企业各个子公司需要不同防火墙策略时，即可考虑使用思科ASA系列防火墙的Multiple context 功能来建置一个灵活可扩充性高的防火墙环境。ASA Multiple context 是将一个实体防火墙分割成多个虚拟防火墙。每一虚拟防火墙可以有独立虚拟线路、路由表、NAT表、独立防火墙策略及个别管理者。使用限制上，ASA Multuple context启动后，ASA只支持静态路由，不支持动态路由、Multicast路由以及VPN与Threat Detection功能。 ? 一、ASA Multiple context 规格:目前CISCO ASA5500 支持0~50个multiple context . 表一、ASA 5500防火墙支持Security contexts 数量 ? Cisco ASA 5505 Cisco ASA 5510 Cisco ASA 5520 Cisco ASA 5540 Cisco ASA 5550 Cisco ASA 5580 Security context-虚拟防火墙(内建/最大) 0/0 2/5 2/20 2/50 2/50 2/50 ? 　CISCO