ASA型号及配置命令

ASA复习笔记 一、 Cisco防火墙 1. 软件防火墙

用在基于IOS软件的设备上，一般客户机上 具有应用层智能的状态检测防火墙引擎 占CPU、内存资源（可以定期升值） 2. 硬件防火墙（更有优势）

应用在一般企业外部网络：PIX 500系列安全设备、ASA 5500系列自适应安全设备、Catalyst 6500系列交换机和Cisco 7600 系列路由器的防火墙服务模块（不可以定期升值）

二、 Cisco ASA 1常见型号：

型 号 ASA 5505 ASA 5510 ASA 5520 ASA 5540 ASA 5550 ASA 5580 规模 作用 交换机接小型企业、分公司和企业设备成本低，易于部署、集成8个10/100端口快速口 远程办公环境 以太网交换机 中型企业、分公司企业环设备成本低，易于部署，具有高级安全和网络服务 境 中型企业 具有模块化、高性能网络中的高可用性主动/主动服路 (小凡模拟器) 务，并能连接千兆以太网设备 由 大中型企业，服务提供商 提供高密度，主动/主动高可用性服务和千兆以太网连器 接，设备具有高可靠性和高性能 接 大型企业、服务提供商网千兆级提供高达1.2Gb/s的防火墙吞吐量，具有主动口 络的高性能设备 /主动高可用性服务、光纤和千兆位以太网连接性 大型企业、数据中心、和提供王兆位以太网连接 运营商网络 型号为ASA 5580-20、ASA 5580-40 2.基本配置 配置主机名： ciscoasa>en ciscoasa#cinf t

ciscoasa(config)#hostname asa802 域名:

asa802(config)#domain-name asa.com 特权密码:

asa802(config)#enable password 123 Telnet或SSH密码:

asa802(config)#passwd cisco ASA接口名字和安全级别

asa802(config-if)#nameif inside（不起名，ping不通）

asa802(config-if)#security-level 100(取值0—100 ，值越大，安全级越高)

//默认情况下，outside口安全级别为0，inside口安全级别为100，防火墙允许数据从高安全级别流向低安全级别的接口，但不允许流量从低安全级别流向高安全级别的接口，若要放行，必须做策略，ACL放行；若接口的安全级别相同，那么它们之间不允许通信，绝对不允许，但有时有这个需要，故意把它们设成一样。

#show interface inside 接口地址：

asa802(config-if)#ip address 10.0.0.0.1 255.255.255.0 asa802(config-if)#no shut 查看接口地址：

asa802(config)#show ip address

（备注：在5505中不支持在物理接口上直接进行配置，必须将将接口加入vlan，进vlan配置，在vlan没no shu时，接口也不可以no shu）

配置路由：

asa802(config)#route outside（端口名称） 0.0.0.0 0.0.0.0 （目的网段）20.0.0.1(下一跳) 可简写asa802(config)#route outside（端口名称）0 0（目的网段） 20.0.0.1(下一跳) asa802#show route 查看路由表

3. ASA支持3种主要的远程管理接入方式：Telnet、SSH和ASDM。 ①配置允许Telnet接入：

asa802(config)#telnet 192.168.0.0 255.255.255.0 inside 允许某个网段通过inside口进行telnet asa802(config)#telnet 192.168.0.1 255.255.255.255 inside 允许某台主机通过inside口进行telnet asa802(config)#telnet 0.0 inside 允许所有主机通过inside口进行telnet

配置空闲超时时间asa802(config)#telnet timeout 15 （1—1440分钟，默认是5分钟） telnet时可用show run telnet 查看运行的telnet命令

使用Telnet远程管理是不安全的，所以一般禁止从外部接口使用Telnet接入。 ②配置SSH的接入：四步

第一步：给防火墙配置主机名和域名

第二步：生成RSA密钥对（RSA是一种算法）

asa802(config)#crypto key generate rsa modulue 1024（密钥长度，大小为512、768、1024 、2048，默认是1024）

第三步：配置防火墙允许SSH接入

asa802(config)#ssh 192.168.0.0 255.255.255.0 inside 允许某个网段通过inside口进行ssh asa802(config)#ssh 192.168.0.1 255.255.255.255 inside 允许某台主机通过inside口进行ssh asa802(config)#ssh 0.0 outside 允许所有主机通过outside口进行ssh （ 更安全） 配置空闲超时时间asa802(config)#ssh timeout 15 （1—1440分钟，默认是5分钟） 配置SSH版本：

asa802(config)#ssh version 1（版本号，有1和2两个版本，不兼容，防火墙与客户机的版本需要保持一致）

配置完成后，在主机上用Putty登陆ASA的相应接口ASA默认用户名是pix，密码是自己设置的 在ASA上查看SSH会话：asa802#show ssh session

③配置ASDM（自适应安全设备管理器，一种GUI远程管理方式）接入 使用前提:ASA的Flash中有ASDM映像，可以查看asa802#dir 第一步：启用防火墙HTTPS服务器功能 asa802（config）#http server enable [prot] 默认端口是443，可以指定端口 第二步：配置防火墙允许HTTP接入

asa802(config)#http 192.168.0.0 255.255.255.0 inside 允许某个网段通过inside口进行HTTP接入

第三步：指定ASDM映像的位置（也可用show disk查看） asa802(config)#asdm image disk0：/asdm-602.bin 第四步：登陆时用户名和密码

asa802(config)#username gaoyue（用户名）password 123 privilege（权限） 15（最大） 第五步：在客户端安装Jave Runtime Environment（JRE），可以在www.sun.com上下载 访问时在浏览器输入地址——运行ASDM（web方式运行）——进入图形界面 4.为出战流量配置nat

从高安全级别接口（Inside）访问低安全级别接口（Outside），一般需要配置动态网络地址转换，nat和global命令。

启用：asa802(config)#nat-control 配置动态nat：

asa802(config)#nat (inside）1（编号，0-21亿） 192.168.0.0 255.255.255.0 asa802(config)#nat (inside) 1 0 0 对所有地址实施nat

（编号为0指定不需要被转换的流量，一般应用在VPN的配置中） 定义一个全局地址池：

asa802(config)#global (outside) 1 200.1.1.100-200.0.0.110 asa802(config)#global (outside) 1 int (int指该接口地址) 在ASA上show xlate可以查看地址转换条目 5ASA.配置ACL控制流量

标准ACL：asa802(config)#access-list out-to-dmz standard {permit | deny} ip-add mask 扩展ACL：asa802(config)#access-list acl-name extended {permit | deny} protocol src-ip-add src-mask dst-ip-add dst-mask [operator port]

将ACL应用到接口：

asa802(config)#access-group acl-name {in| to} interface intface-name 以上掩码均为正码

从低安全级别接口（Outside）访问高安全级别接口（Inside）， 通常是配置静态NAT和ACL。

asa802(config)#static （dmz，outside）200.1.1.253 192.168.1.1

本文来源：https://www.bwwdw.com/article/nb3d.html