asa防火墙配置命令

一、基本配置

#hostname name //名字的设置

#interface gigabitethernet0/0 //进入接口0/0

#nameif outside //配置接口名为outside

#security-level 0 //设置安全级别。 级别从0--100，级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown

#interface ethernet0/1 //进入接口0/1

#nameif inside //配置接口名为inside

#security-level 100 //设置安全级别。 级别从0--100，级别越高安全级别越高 #ip address 192.168.10.1 255.

一.IPSEC VPN (site to site)

第一步：在外部接口启用IKE协商 crypto ikev1 enable outside

第二步：配置ikev1协商 策略

Ikev1 策略两边要一致，可设置多个策略模板，只要其中一个和对方匹配即可

crypto ikev1 policy 5 //启用并创建一个ikev1策略，并指定优先级为5

authentication pre-share //配置认证方式为预共享密钥

encryption 3des //配置策略的加密算法，有3des、des、ase等 hash sha //配置策略的哈希算法，校验算法有sha、md5等 group 2 //配置Diffie-Hellman组，1为768位，2为1024位 lifetime 86400 //默认的有效时间

第三步：配置需要加密的数据流

10.30.0.0为本地内网地址，172.17.0.0为对方内网地址

access-list ipsec-vpn extended permit ip 10.30.

一.IPSEC VPN (site to site)

第一步：在外部接口启用IKE协商 crypto isakmp enable outside

第二步：配置isakmp协商 策略

isakmp 策略两边要一致，可设置多个策略模板，只要其中一个和对方匹配即可 isakmp policy 5 authentication pre-share //配置认证方式为预共享密钥 isakmp policy 5 encryption des //配置isakmp 策略的加密算法 isakmp policy 5 hash md5 //配置isakmp 策略的哈希算法 isakmp policy 5 group 2 //配置Diffie-Hellman组 isakmp policy 5 lifetime 86400 //默认的有效时间

第三步：配置需要加密的数据流

192.168.241.0为本地内网地址，10.10.10.0为对方内网地址

access-list ipsec-vpn extended permit ip 192.1

一.IPSEC VPN (site to site)

第一步：在外部接口启用IKE协商 crypto ikev1 enable outside

第二步：配置ikev1协商 策略

Ikev1 策略两边要一致，可设置多个策略模板，只要其中一个和对方匹配即可

crypto ikev1 policy 5 //启用并创建一个ikev1策略，并指定优先级为5

authentication pre-share //配置认证方式为预共享密钥

encryption 3des //配置策略的加密算法，有3des、des、ase等 hash sha //配置策略的哈希算法，校验算法有sha、md5等 group 2 //配置Diffie-Hellman组，1为768位，2为1024位 lifetime 86400 //默认的有效时间

第三步：配置需要加密的数据流

10.30.0.0为本地内网地址，172.17.0.0为对方内网地址

access-list ipsec-vpn extended permit ip 10.30.

一，配置接口

配置外网口：

interface GigabitEthernet0/0 nameif outside 定义接口名字

security-level 0

ip address 111.160.45.147 255.255.255.240 设定ip noshut !

配置内网口：

interface GigabitEthernet0/1 nameif inside security-level 100

CISCO ASA5510 防火墙配置手册

一． 密码配置

1.telnet密码

Ciscoasa(config)#passwd 123 (用于telnet登陆ASA的密码) 2.enable密码

Ciscoasa(config)#enable password 456 (进入enable特权模式的密码) 3.设备命名

Ciscoasa(config)#hostname wy-ciscoasa 二． 接口配置

2.1接口命名

Ciscoasa(config)#interface Ethernet0/0

Ciscoasa(config-if)#nameif outside 一般的情况将E0/0命为外网接口，而将E0/1命为内网接口。 2.2配置接口安全级别

Ciscoasa(config-if)#security-level 100 (100指权限，数字越高权限越高) 2.3配置IP地址

Ciscoasa(config-if)#ip address 219.139.*.* 2.4关闭/激活接口

Ciscoasa(config-if)#shutdown/no shutdown 三． 静态路由配置

配置设备介绍：（只为做实验实际应用请根据自己具体情况更改相关参数即可） 核心交换机 4507

提供VLAN3 网关地址：192.168.3.254 提供 DNS 服务器连接：192.168.0.1

接入交换机 2960

提供 VLAN3 TURNK 连接， 可用IP 地址为

192.168.3.0－192.168.3.240 掩码：255.255.255.0 网关：192.168.3.254 DNS: 192.168.0.1

内网实验防火墙 CISCO ASA 5510 E0/0 IP:192.168.3.234 E0/1 IP 10.1.1.1

实现配置策略

1. 动态内部 PC1 DHCP 自动获得IP 地址，可访问INTERNET，并PING 通外部网关。 PC1 Ethernet adapter 本地连接:

Connection-specific DNS Suffix . : gametuzi Description . . .

配置设备介绍：（只为做实验实际应用请根据自己具体情况更改相关参数即可） 核心交换机 4507

提供VLAN3 网关地址：192.168.3.254 提供 DNS 服务器连接：192.168.0.1

接入交换机 2960

提供 VLAN3 TURNK 连接， 可用IP 地址为

192.168.3.0－192.168.3.240 掩码：255.255.255.0 网关：192.168.3.254 DNS: 192.168.0.1

内网实验防火墙 CISCO ASA 5510 E0/0 IP:192.168.3.234 E0/1 IP 10.1.1.1

实现配置策略

1. 动态内部 PC1 DHCP 自动获得IP 地址，可访问INTERNET，并PING 通外部网关。 PC1 Ethernet adapter 本地连接:

Connection-specific DNS Suffix . : gametuzi Description . . .

公司网络不断更新，新进一设备名为cisco ASA-5505防火墙。公司准备把四台监控系统服务器通过防火墙与公司现有网络隔离。但是现有的服务器有三台在之前分别在给市煤管局、集团公司、国投总公司提供监控信息。所以更改IP地址的话会很麻烦。所以公司决定将原有三台电脑的IP地址做地址转换。开放相应端口即可。公司现有网络段为192.168.0.0 隔离后网络段为

172.168.1.0 IOS版本为ASA-7.2 与之前版本的配置有一定区别。下面说说具体的操作步骤：

1、将四台监控系统服务器通过普通交换机连接接，交换机接防火墙1口，防火墙0口与公司现有网络交换机连接，用console 线将防火墙与PC连接到一起。

2、打开PC运行超级终端，出现新建连接界面，随便输入名称确定，出现 借口选择界面，选择相应的COM口即可，确定出现COM口属性设置，恢复默认即可。 3、进入防火墙出现Pre-configure PIX Firewall now through interactive prompts [yes]? 意思是否进入交互配置对话模式 选择N 4、进入防火墙的命令提示符界面，ciscoa

华为H3C防火墙配置命令

2009-03-28 09:28:26

标签：华为 H3C 防火墙配置

H3CF100S配置

172.18.100.1

255.255.255.0

255.255.255.0

初始化配置

〈H3C〉system-view

开启防火墙功能

[H3C]firewall packet-filter enable

[H3C]firewall packet-filter default permit

分配端口区域

[H3C] firewall zone untrust

[H3C-zone-trust] add interface GigabitEthernet0/0

[H3C] firewall zone trust

[H3C-zone-trust] add interface GigabitEthernet0/1

工作模式

firewall mode transparent 透明传输

firewall mode route 路由模式

http 服务器

使能HTTP 服务器 undo ip http shutdown

关闭HTTP 服务器 ip http shutdown

添加WEB用户

[H3C] local-user admin

[H3C-luser-admin] pas