ASA-5505配置手册

ASA5505配置手册1.初始配置ciscoasaenable从进入用户模式进入特权模式ciscoasa#configureterminal从特权模式进入全局配置模式ciscoasa(config)#hostnameAYKJ-FW更改防火墙名称AYKJ-FW(config)#passwdaykj配置远程登录密码AYKJ-FW(config)#enablepasswordaykj配置enable密码2.端口配置AYKJ-FW(config)#interfaceVlan2创建SVI口，ASA5505必须通过SVI口配置地址AYKJ-FW(config)#nameifoutside定义为outside口，即连接外网接口AYKJ-FW(config)#security-level0定义安全级别，范围0~100，其中inside、outside口安全级别为系统自动定义和生成AYKJ-FW(config)#ipaddress221.226.186.58255.255.255.252配置运营商分配公网地址AYKJ-FW(config)#interfaceVlan3AYKJ-FW(config)#nameifinside定义为inside口，即连接内网接口AYKJ-FW(config)#security-level100inside口默认安全级别100AYKJ-FW(config)#ipaddress10.0.0.1255.255.255.0配置内网口地址3.管理配置AYKJ-FW(config)#telnet0.0.0.00.0.0.0inside允许内网所有地址通过telnet登录防火墙AYKJ-FW(config)#ssh0.0.0.00.0.0.0outside允许外网所有地址通过ssh登录防火墙AYKJ-FW(config)#sshversion1使用ssh版本1AYKJ-FW(config)#httpserverenable开启web页面，即开启asdm，与传统的如ASA5520等有专门管理口的防火墙不同，ASA5505只要启用服务，并应用到端口，那么只要网络通畅就可以通过asdm管理，更加灵活AYKJ-FW(config)#http0.0.0.00.0.0.0insideAYKJ-FW(config)#http0.0.0.00.0.0.0outside这两条命令意味着所有只要能够访问防火墙的地址均可以通过asdm管理防火墙4.路由配置AYKJ-FW(config)#routeoutside0.0.0.00.0.0.0221.226.186.57配置上网默认路由，下一条为运营商分配的网关AYKJ-FW(config)#routeinside[内网网段][掩码][防火墙内网口]配置内网路由，由于本次内网与防火墙在一个地址段，所以不需要5.NAT配置5.1动态NAT配置AYKJ-FW(config)#global(outside)1interface将outside接口设置为NAT的外网接口AYKJ-FW(config)#nat(inside)110.0.0.0255.255.255.0允许内网网段通过NAT访问互联网5.2静态NAT映射AYKJ-FW(config)#access-listperoutextendedpermittcpanyhost221.226.186.58eq(config)#access-groupperoutininterfaceoutside在外网口启用该ACLAYKJ-FW(config)#static(inside,outside)tcpinterface(config)#global(inside)1interfaceAYKJ-FW(config)#static(inside,inside)tcp221.226.186.58以上两条命令的作用是当内网用户通过外网地址去访问内网服务器时，直接映射到内网，如果不做则内网用户不能通过外网地址访问内网服务器6.VPN配置6.1VPN基础配置AYKJ-FW(config)#iplocalpoolvpn10.0.1.210-10.0.1.220mask255.255.255.0创建vpn地址池，地址池应与本地网段不在同一个段AYKJ-FW(config)#access-listinside_nat0_outboundextendedpermitip10.0.0.0255.255.255.010.0.1.0255.255.255.0定义vpn流量与内网流量的互访AYKJ-FW(config)#nat(inside)0access-listinside_nat0_outbound该流量不参与nat翻译AYKJ-FW(config)#access-listsplitstandardpermit10.0.0.0255.255.255.0定义vpn用户允许访问网段AYKJ-FW(config)#usernameasapasswordcisco创建vpn用户，不做策略则该用户可以通过SSL和IPSEC拨入VPN6.2SSL(WEB)VPN配置AYKJ-FW(config)#webvpn配置webvpnAYKJ-FW(config-webvpn)#enableoutside在外网口启用webvpnAYKJ-FW(config-webvpn)#svcimagedisk0:/anyconnect-win-2.4.1012-k9.pkg调用vpn客户端软件AYKJ-FW(config-webvpn)#svcenable启用客户端软件AYKJ-FW(config)#group-policysslinternal创建webvpn组策略AYKJ-FW(config)#group-policysslattributes配置组策略属性AYKJ-FW(config-group-policy)#vpn-tunnel-protocolsvcwebvpn启用webvpn隧道AYKJ-FW(config-group-policy)#split-tunnel-policytunnelspecified只允许split匹配流量通过vpn隧道AYKJ-FW(config-group-policy)#split-tunnel-network-listvaluesplit水平分割策略使用split，由于vpn用户没有网关，需要通过该策略使vpn用户访问内网AYKJ-FW(config)#tunnel-groupssltyperemote-access创建vpn隧道，类型为远程接入AYKJ-FW(config)#tunnel-groupsslgeneral-attributes配置vpn隧道基础属性AYKJ-FW(config-tunnel-general)#address-poolvpn调用vpn地址池6.3IPSECVPN配置AYKJ-FW(config)#cryptoisakmpenableoutside在outside口启用ipsecvpnAYKJ-FW(config)#cryptoisakmpdisconnect-notify连接中断时报错AYKJ-FW(config)#cryptoisakmppolicy10配置策略优先级AYKJ-FW(config-isakmp-policy)#authenticationpre-share通过预共享密钥拨入vpnAYKJ-FW(config-isakmp-policy)#encryption3des通过3des格式加密数据AYKJ-FW(config-isakmp-policy)#hashmd5通过md5算法校验数据AYKJ-FW(config-isakmp-policy)#group2设置迪夫-赫尔曼算法组AYKJ-FW(config-isakmp-policy)#lifetime86400设置连接时长AYKJ-FW(config)#group-policyaykjinternal创建ipsecvpn策略组AYKJ-FW(config)#group-policyaykjattributes配置策略组属性AYKJ-FW(config-group-policy)#vpn-tunnel-protocolIPSec启用ipsecvpn隧道AYKJ-FW(config-group-policy)#split-tunnel-policytunnelspecified只允许split匹配流量通过vpn隧道AYKJ-FW(config-group-policy)#split-tunnel-network-listvaluesplit水平分割策略使用split，由于vpn用户没有网关，需要通过该策略使vpn用户访问内网AYKJ-FW(config)#tunnel-groupaykjtyperemote-access创建vpn隧道，类型为远程接入AYKJ-FW(config)#tunnel-groupaykjgeneral-attributes配置隧道基础属性AYKJ-FW(config-tunnel-general)#address-poolvpn调用地址池AYKJ-FW(config-tunnel-general)#default-group-policyaykj调用组策略AYKJ-FW(config)#tunnel-groupaykjipsec-attributes配置隧道ipsec属性AYKJ-FW(config-tunnel-ipsec)#pre-shared-keyaykj预共享密钥为aykj