1、 Cisco ASA 防火墙图文配置实例 By Mast 2010 年 2 月 15 日 本文是基于笔者2008年在原单位配置ASA5540和ASA5520的配置截图所做的一篇配置文档,从最初始的配置开始: 1、 连接防火墙登陆 与其他的Cisco设备一样,用Console线连接到防火墙,初始特权密码为空。 2、 配置内部接口和IP地址 进入到接口配置模式,配置接口的IP地址,并指定为inside。 防火墙的地址配置好后,进行测试,确认可以和防火墙通讯。 3、 用dir命令查看当前的Image文件版本。 4、 更新Image文件。 准备好TFTP服务器和新的Image文件,开始更新。 5、 更
2、新ASDM。 6、 更新完成后,再用dir命令查看 7、 修改启动文件。以便于ASA防火墙能够从新的Image启动 8、 存盘,重启 9、 用sh version命令验证启动文件,可以发现当前的Image文件就是更新后的 10、 设置允许用图形界面来管理ASA防火墙 表示内部接口的任意地址都可以通过http的方式来管理防火墙。 11、 打开浏览器,在地址栏输入防火墙内部接口的IP地址 选择“是”按钮。 12、 出现安装ASDM的画面 选择“Install ASDM Launcher and Run ASDM”按钮,开始安装过程。 13、 安装完成后会在程序菜单中添加一个程序组 14、 运行AS
3、DM Launcher,出现登陆画面 15、 验证证书 单击“是”按钮后,开始登陆过程 16、 登陆进去后,出现防火墙的配置画面,就可以在图形界面下完成ASA防火墙的配置 17、 选择工具栏的“Configuration”按钮 18、 选择“Interface”,对防火墙的接口进行配置,这里配置g0/3接口 选择g0/3接口,并单击右边的“Edit”按钮 19、 配置接口的IP地址,并将该接口指定为outside 单击OK后,弹出“Security Level Change”对话框,单击OK 20、 编辑g0/1接口,并定义为DMZ区域 21、 接口配置完成后,要单击apply按钮,以应用刚才
4、的改变,这一步一定不能忘 22、 设置静态路由 单击Routing-Static Route-Add 23、 设置enable密码 24、 允许ssh方式登录防火墙 25、 增加用户 定义ssh用本地数据库验证 26、 用ssh登录测试 登录成功 27、 建立动态NAT转换 选择Add Dynamic NAT Rule Interface选择inside,Source处输入any 单击Manage按钮 单击add,增加一个地址池 Interface选择Outside,选择PAT,单击Add按钮 单击OK 完成了添加动态NAT转换 28、 静态NAT转换 由于笔者2009年离开了原单位,有些配置
5、的截图没有做,新单位又没有ASA防火墙,只好参考ASA8.0/ASDM6.0测试报告的截图和文档来完成本文,并将该文档中部分常用的配置联接在本文后,对该文的作者表示感谢。关于在ASA上配置IPSec VPN和SSL VPN的截图都没有,所以本文中就只好省略掉这一部分了。 为172.16.1.10添加静态NAT转换。 29、 免除NAT 当穿过防火墙的访问某些区域而不需要进行NAT转换时就需要用到免除NAT功能。如为inside访问DMZ区域的服务器时就不需要进行NAT转换,这时就可以配置免除NAT。 以下为ASA8.0/ASDM6.0测试报告文档的部分内容,对原文档中的序号等未作修改。 7 定
6、义安全策略 注意缺省情况下高安全级别到低安全级别安全策略是允许通过的,所以 inside到ouside,DMZ到 ouside 不用设置安全策略流量就可以通过 此时我们只需要建立 outside 到 DMZ 的 HTTP server (172.16.1.10)的安全策略 PDF created with pdfFactory Pro trial version 8 multi-context 模式 PDF created with pdfFactory Pro trial version 将管理PC接到M0/0 口 添加context 在本例中我们加两个context A和B PDF created with pdfFactory Pro trial version PDF created with pdfFactory Pro trial version 此时context A 已经配置完毕,context B 的配置方法一样。 登陆context A PDF created with pdfFactory Pro trial version
