一、ASA常用命令
show run interface #查看接口配置 show ip address #查看IP地址 show conn #查看防火墙状态信息,U代表up;I,代表进流量;O,代表出流量;B,代表从outside过来的始发流量 write erase #清空startup-config,并立即重启 clear configuration all #清空startup-config配置 reload #重启
二、ASA的接口配置
#接口配置 interface GigabitEthernet0/0 nameif Inside #设置安全区域 security-level 100 #安全区域级别 ip address 10.1.1.1 255.255.255.0 no shut
三、ASA的SSH配置
#配置ssh登陆 username test password 111111 privilege 15 #设置本地用户名和密码 crypto key generate rsa modulus 1024 #配置RSA密钥对 ssh 10.1.1.0 255.255.255.0 inside #允许10.1.1.0/24网段通过inside区来登陆 aaa authentication ssh console LOCAL #通过ssh认证,用户名密码来自于LCOAL #注:默认enable没有密码,直接按回车就可以进入#模式
四、ASA配置ASDM(图形化)登陆
#配置ssh登陆 username test password 111111 privilege 15 #设置本地用户名和密码 http server enable #开启http服务 http 10.1.1.0 255.255.255.0 inside #允许10.1.1.0/24网段通过inside区来http登陆 aaa authentication httpconsole LOCAL #通过http认证,用户名密码来自于
五、Security Level介绍
#1.从高安全级别接口到低安全级别接口的流量叫outbound流量,这种流量默认是允许的 #2.从低安全级别接口到高安全级别接口的流量叫inbound流量,这种流量默认是不允许的,但是可以通过acl来放行inbound流量 #3.相同安全级别接口之间的流量默认是不允许的,但是可以使用命令(same-security-traffic permit inter-interface)打开,使其可通 #4.安全级别的范围为0-100 #5.默认inside安全级别为100,其余接口默认为0,可修改
5.2 ASA关于ACL的介绍
#1.Cisco ASA接口访问规则控制网络应用穿越ASA,不影响到本地的流量(与路由器交换机等网络设备不一样) #2.接口访问规则决定哪些“新建连接”能够进入ASA连接表(connection table)(acl只对始发流量起作用,即对syn起作用)
5.3 配置ACL放行Inbound流量
access-list test_out permit tcp host 202.100.1.1 10.1.1.0 255.255.255.0 eq 23 #在ASA上网段用的是掩码,而非反码,此点与路由器或者交换机上的acl不一样 access-group test_out in interface outside #全局模式