防火墙ASA

常见的防火墙品牌

华为、思科、H3C、TP-LINK、D-LINK、深信服、绿盟、网康、飞塔

常用配置命令

hostname 主机名 配置主机名

enable password 密码 配置特权密码

passwd 密码 配置远程登录密码

nameif name 配置接口名称

security-level number 配置接口的安全级别

write memory 保存ASA配置

clear configure all 清除ASA的所有配置

crypto key generate ras modulus 1024 生成ras密钥

show crypto key mypubkey rsa 查看生成的密钥

PS:防火墙默认拒绝ping命令，需要单独放行

Access-list 111 permit icmp any any

Access-group 111 in int outside 放行ICMP协议

不同安全级别的接口之间访问时，遵从默认规则：

1. 允许出站（outbound）连接，默认安全级别为0（最低）
2. 禁止入站（inbound）连接，默认安全级别为100（最高）
3. 禁止相同安全级别的接口之间通信

在防火墙中配置ACL的作用

1. 运行入站连接
2. 控制出站连接的流量

动态PAT

Nat (inside) 1192.168.1.0 255.255.255.0

配置ASA内网接口的静态NAT 将此网段全部映射到外网地址上

Global (outside) 1192.168.2.254(地址不重叠）

使外网主机访问此端口时转发到内网对应主机（需配合端口映射补充配置）

实验一：使host1远程控制路由器及防火墙

1.配置路由器接口IP

① R1

R1(config)#interface f0/0 R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit

R1(config)#interface f1/0 R1(config-if)#ip address 10.10.1.147 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit

②R2

R2(config)#interface f0/0 R2(config-if)#ip address 192.168.2.2 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit

2.配置防火墙

（1）配置接口IP并设置出入站

①入站

ciscoasa(config)# interface e0/0 切换接口 ciscoasa(config-if)# ip address 192.168.1.2 255.255.255.0 配置接口IP ciscoasa(config-if)# no shutdown 开启接口 ciscoasa(config-if)# nameif inside 设置为入口 ciscoasa(config-if)# security-level 100 设置安全级别为100 ciscoasa(config-if)# exit 返回

②出站

ciscoasa(config)# interface e0/1 切换接口 ciscoasa(config-if)# ip address 192.168.2.1 255.255.255.0 设置接口IP ciscoasa(config-if)# no shutdown 启用接口 ciscoasa(config-if)# nameif outside 设置为出口（默认安全等级为0） ciscoasa(config-if)# security-level 0 设置安全等级 ciscoasa(config-if)# exit 返回

（2）放行ICMP

ciscoasa(config)# access-list 111 permit icmp any any ciscoasa(config)# access-group 111 in interface outside

（3）公布防火墙直连网络

ciscoasa(config)# router rip ciscoasa(config-router)# network 192.168.1.0 ciscoasa(config-router)# network 192.168.2.0

（4）设置远程登录

ciscoasa(config)# enable password 123.com 设置进入特权模式密码 ciscoasa(config)# passwd 123.com 设置远程登录密码 ciscoasa(config)# telnet 10.10.1.0 255.255.255.0 inside 放行10.10.1.0网段进入远程连接

3.路由器设置RIP及VTY远程登录

（1）R1

① RIP

R1(config)#router rip R1(config-router)#network 192.168.1.0 R1(config-router)#network 10.10.1.0

②VTY

R1(config)#line vty 0 4 R1(config-line)#password 123.com R1(config-line)#exit

（2）R2

①RIP

R2(config)#router rip R2(config-router)#network 192.168.2.0

②VTY

R2(config)#line vty 0 4 R2(config-line)#password 123.com R2(config-line)#exit

4.测试

①防火墙

②路由器