思科ASA防火墙常用设置

思科ASA防火墙常用设置

Microsoft Edge浏览器将自动阻止信誉较低的应用程序防止安全问题

一、装备登录

 

登录方式:

内网使用协议:telnet

内网登录IP地址:192.168.201.6

外网使用协议:ssh

外网登录IP地址:XXX.XXX.XXX.XXX

用户名:cisco

密码:123456

特权密码:123456

 

原创:思科ASA<a href=防火墙常用设置" img_height="151" img_width="829" inline="0" src="https://qizs.oss-cn-shenzhen.aliyuncs.com/caiji/2020/6/NjAnau.jpeg" class="aligncenter">

 

二、平安区域及IP地址

 

interface GigabitEthernet0/1 //进入接口

nameif outside1 //设置平安区域名称(可自行编写)

security-level 0 //设置平安区域平安品级(默认outside为0,inside为100,高平安品级能够接见低平安品级,低平安品级不能接见高平安品级内容,除非使用接见控制列表permit)

ip address 218.246.213.75 255.255.255.240 //设置接口IP地址

 

DMZ区也是一个平安区域,建立区域的目的是为了区域之间做接见控制、攻击检测和隔离,外网outside1到inside区域需要做攻击检测,建立DMZ区域的目的是将一部分需要隔离的主机接见其他区域也做检测,类似于交换机的VLAN,内网分为DMZ VLAN和inside VLAN,这样就可以给DMZ VLAN和inside VLAN之间做接见控制计谋了。

 

DMZ区域举例:

interface GigabitEthernet0/7 //进入接口

nameif DMZ //设置平安区域名称(可自行编写)

security-level 50 //设置平安区域平安品级(默认outside为0,inside为100,高平安品级能够接见低平安品级,低平安品级不能接见高平安品级内容,除非使用接见控制列表permit)

ip address 172.16.50.1 //设置接口IP地址

 

三、设置路由(路由冗余)

路由优先级数字越小,优先级越高

route outside2 0.0.0.0 0.0.0.0 181.12.111.1 2 //outside2平安区域默认路由

route outside1 0.0.0.0 0.0.0.0 238.201.237.1 3 //outside1平安区域默认路由

route inside 172.16.1.0 255.255.255.0 192.168.202.25 1

//inside平安区域明细路由,接见172.16.1.0网段,下一条为192.168.202.25(焦点交换机)

 

四、设置上网NAT

object network internet1 //建立允许上网的网段

subnet 0.0.0.0 0.0.0.0

object network internet2

subnet 0.0.0.0 0.0.0.0

 

object network internet1

nat (inside,outside1) dynamic interface //允许所有网段均可上网

object network internet2

nat (inside,outside2) dynamic interface

 

不允许上网网段通过接见控制列表限制

五、端口映射

object network mailowa110 //建立映射内网地址的object项,名称自取

host 192.168.203.12 //添加需要映射的内网服务器地址

nat (inside,outside1) static 238.106.237.19 service tcp pop3 pop3

//设置端口映射,外网可以通过238.106.237.19地址接见192.168.203.12服务器的pop3(110)端口

 

开放相关接见控制(需要添加在deny条目之前)

IPv6环境获取IPV6地址,无状态地址分配,一分钟了解下

access-list outside1-inside extended permit permit tcp any host 238.106.237.19 eq 110

 

access-list outside1-inside extended deny ip any any

 

默认接见控制列表禁用所有IP,端口映射后需要在接见控制列表中添加

六、反向映射(用于内网接见外网端口)

same-security-traffic permit inter-interface

same-security-traffic permit intra-interface //打开反向映射功效

 

object network oa_outside-inside //建立映射内网地址的object项,名称自取

host 192.168.202.53 //添加需要映射的内网服务器地址

object network oa-outside //建立映射外网地址的object项,名称自取

host 238.106.237.19 //添加需要映射的外网服务器地址

object service tcp80 //建立映射的服务object项,名称自取

service tcp destination eq www //添加80端口

 

nat (inside,inside) source static any interface destination static oa-outside oa_outside-inside service tcp80 tcp80

 

//映射服务,挪用上面所建立object,让接见inside区域接见outside区域端口映射的主机直接通过内网服务器端口接见

七、接见控制列表

例:内网172.16.110.0段(厂房扫码使用)不允许接见外网

 

access-list inside-outside extended deny ip 172.16.110.0 255.255.255.0 any

//建立名称为"inside-outside"的克制172.16.110.0段接见任何网络的表项

access-list inside-outside extended permit ip any any

//建立允许所有网段都允许的表项

access-group inside-outside in interface inside

//应用在防火墙"inside"区域"in"偏向,即可

 

八、双联路负载(计谋路由)

access-list yidong1 extended permit ip 172.16.200.0 255.255.255.0 any

access-list yidong1 extended permit ip 172.16.30.0 255.255.254.0 any

access-list yidong1 extended permit ip 172.16.100.0 255.255.254.0 any

access-list yidong1 extended permit ip 172.16.110.0 255.255.255.0 any

access-list yidong1 extended permit ip 172.16.111.0 255.255.255.0 any

access-list yidong1 extended permit ip 172.16.120.0 255.255.255.0 any

//建立名为yidong1的接见控制列表,列表中为需要指定走那条公网的内网网段

 

route-map yidong permit 10 //建立名为yidong的计谋

match ip address yidong1 //匹配上面建立的"yidong1"列表

set ip default next-hop 238.106.237.19 //指定匹配"yiding1"列表的下一条指向"238.106.237.19"(移动IP)

 

interface GigabitEthernet0/0 //进入inside接口

policy-route route-map yidong //挪用"yidong"计谋,即可

 

九、DHCP设置

防火墙DHCP设置不能设置网关,网关已经被指定为响应平安区域接口地址

dhcpd address 192.168.1.2-192.168.1.254 management

//为management平安区域分配IP地址段为"192.168.1.2到192.168.1.254"

dhcpd enable management

//为management平安区域开启DHCP功效

dhcpd DNS 114.114.114.114 8.8.8.8 interface management

//为management平安区域设置DNS

谷歌详细解释为什么会提示Microsoft Edge浏览器使用扩展不够安全

分享到 :
相关推荐

发表评论

登录... 后才能评论