思科防火墙 pix asa 配置总结

《思科防火墙 pix asa 配置总结》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、思科防火墙PIXASA配置总结　　思科防火墙已经从PIX发展到ASA了，IOS也已经从早期的发展到。但总体的配置思路并没有多少变化。只是更加人性化，更加容易配置和管理了。 　　下面是我工作以来的配置总结，有些东西是版本的，但不影响在7.*版本的配置。 　　一：6个基本命令：nameif、interface、ipaddress、nat、global、route。 二：基本配置步骤： step1:命名接口名字 　　nameifethernet0outsidesecurity0 　　nameifethernet1insidesecurity100 　　nameifeth

2、ernet2dmzsecurity50 **7版本的配置是先进入接口再命名。 step2：配置接口速率 　　interfaceethernet010fullauto 　　interfaceethernet110fullauto 　　interfaceethernet210full step3：配置接口地址 ipaddressoutside ipaddressinside ipaddressdmz step4：地址转换(必须) 　　*安全高的区域访问安全低的区域(即内部到外部)需NAT和global; nat(inside)1 global(outside)1 　　

3、***nat(inside)0表示这个地址不需要转换。直接转发出去。 　　*如果内部有服务器需要映射到公网地址(外网访问内网)则需要static和conduit或者acl. 　　static(inside,outside) 　　static(inside,outside)1000010 　　后面的10000为限制连接数，10为限制的半开连接数。 　　conduitpermittcphosteqwwwany 　　conduitpermiticmpanyany(这个命令在做测试期间可以配置，测试完之后要关掉，防止不必要的漏洞) 　　ACL实现的功能和conduit一样

4、都可实现策略访问，只是ACL稍微麻烦点。conduit现在在7版本已经不能用了。 　　Access-list101permittcpanyhosteqwww 　　Access-group101ininterfaceoutside(绑定到接口) 　　***允许任何地址到主机地址为的www的tcp访问。 　　Step5：路由定义：Routeoutside001 Routeinside1 　　**如果内部网段不是直接接在防火墙内口，则需要配置到内部的路由。 Step6：基础配置完成，保存配置。 　　Writememorywriteerase清空配置 reload