Cisco ASA防火墙图文配置实例

CiscoASA防火墙图文配置实例ByMast2010年2月15日本文是基于笔者2008年在原单位配置ASA5540和ASA5520的配置截图所做的一篇配置文档，从最初始的配置开始：1、连接防火墙登陆与其他的Cisco设备一样，用Console线连接到防火墙，初始特权密码为空。2、配置内部接口和IP地址进入到接口配置模式，配置接口的IP地址，并指定为inside。防火墙的地址配置好后，进行测试，确认可以和防火墙通讯。3、用dir命令查看当前的Image文件版本。4、更新Image文件。准备好TFTP服务器和新的Image文件，开始更新。5、更新ASDM。6、更新完成后，再用dir命令查看7、修改启动文件。以便于ASA防火墙能够从新的Image启动8、存盘，重启9、用shversion命令验证启动文件，可以发现当前的Image文件就是更新后的10、设置允许用图形界面来管理ASA防火墙表示内部接口的任意地址都可以通过http的方式来管理防火墙。11、打开浏览器，在地址栏输入防火墙内部接口的IP地址选择“是”按钮。12、出现安装ASDM的画面选择“InstallASDMLauncherandRunASDM”按钮，开始安装过程。13、安装完成后会在程序菜单中添加一个程序组14、运行ASDMLauncher，出现登陆画面15、验证证书单击“是”按钮后，开始登陆过程16、登陆进去后，出现防火墙的配置画面，就可以在图形界面下完成ASA防火墙的配置17、选择工具栏的“Configuration”按钮18、选择“Interface”，对防火墙的接口进行配置，这里配置g0/3接口选择g0/3接口，并单击右边的“Edit”按钮19、配置接口的IP地址，并将该接口指定为outside单击OK后，弹出“SecurityLevelChange”对话框，单击OK20、编辑g0/1接口，并定义为DMZ区域21、接口配置完成后，要单击apply按钮，以应用刚才的改变，这一步一定不能忘22、设置静态路由单击Routing-StaticRoute-Add23、设置enable密码24、允许ssh方式登录防火墙25、增加用户定义ssh用本地数据库验证26、用ssh登录测试登录成功27、建立动态NAT转换选择AddDynamicNATRuleInterface选择inside，Source处输入any单击Manage按钮单击add，增加一个地址池Interface选择Outside，选择PAT，单击Add按钮单击OK完成了添加动态NAT转换28、静态NAT转换由于笔者2009年离开了原单位，有些配置的截图没有做，新单位又没有ASA防火墙，只好参考《ASA8.0/ASDM6.0测试报告》的截图和文档来完成本文，并将该文档中部分常用的配置联接在本文后，对该文的作者表示感谢。关于在ASA上配置IPSecVPN和SSLVPN的截图都没有，所以本文中就只好省略掉这一部分了。为172.16.1.10添加静态NAT转换。29、免除NAT当穿过防火墙的访问某些区域而不需要进行NAT转换时就需要用到免除NAT功能。如为inside访问DMZ区域的服务器时就不需要进行NAT转换，这时就可以配置免除NAT。以下为《ASA8.0/ASDM6.0测试报告》文档的部分内容，对原文档中的序号等未作修改。7定义安全策略注意缺省情况下高安全级别到低安全级别安全策略是允许通过的，所以inside到ouside，DMZ到ouside不用设置安全策略流量就可以通过此时我们只需要建立outside到DMZ的HTTPserver（172.16.1.10）的安全策略PDFcreatedwithpdfFactoryProtrialversion口添加context在本例中我们加两个contextA和BPDFcreatedwithpdfFactoryProtrialversion已经配置完毕，contextB的配置方法一样。登陆contextAPDFcreatedwithpdfFactoryProtrialversion模式是一样的。9透明模式9.1设置透明模式转换模式定义接口设置管理IPPDFcreatedwithpdfFactoryProtrialversion透明模式下安全策略的定义和路由模式的设置是一样的。9.2透明模式下的NATPDFcreatedwithpdfFactoryProtrialversion上设置如下:PDFcreatedwithpdfFactoryProtrialversion然后我们将利用ASA的应用安全策略进行控制.PDFcreatedwithpdfFactoryProtrialversion无法登陆。我们可以通过CLI验证配置PDFcreatedwithpdfFactoryProtrialversion将无法正常显示。通过CLI验证PDFcreatedwithpdfFactoryProtrialversion验证结果：11对HTTP进行应用过滤11.1FilteringJavaAppletsPDFcreatedwithpdfFactoryProtrialversion过滤前：过滤后：PDFcreatedwithpdfFactoryProtrialversion配置：通过ASDM配置：PDFcreatedwithpdfFactoryProtrialversion建立组1如下图建立组2如下图PDFcreatedwithpdfFactoryProtrialversion