这个不错。。。。
{:6_267:}
查看本帖隐藏内容请回复
好东西
感谢分享!
kankanruhe
{:6_267:}
123
谢谢楼主分享
{:6_263:}
cisco ASA学习
ASA学习笔记
一、清空所有配置
clear configture all
二、清空NAT配置
clear configture nat(其他配置以此类推)
三、快速重新启动(默认需要断开所有链接才会重新启动)
reload qiut
四、两个接口安全级别相等不通
五、management-only 指定端口为管理端口只允许抵达流量,不允许穿越流量
六、nat control (如果输入这条命令,任何穿越流量都需要配置NAT,如果NO那么就相当于路由器,只需要开相应的策略)
七、same-security-traffic permit inter-interface让相同安全级别的端口可以相互通信
八、动态地址转换配置:
nat (inside) 110.0.0.0 255.255.255.0 定义内部转换接口、需要转换的网段(ID必须大于等于1)
global(outside)1 192.168.0.20 - 192.168.0.254 netmask 255.255.255.0定义外部转换接口 定义转换池
基于两个不同的内部网段转换成两段不同的global的地址:
nat (inside) 1 10.0.0.0 255.255.255.0 定义内部转换接口和第一个需要转换的地址段
nat (inside) 220.2.0.0 255.255.255.0 定义内部转换接口和第二个需要转换的地址段
global (outside) 1 192.168.0.3 - 192.168.0.16 netmask 255.255.255.0 定义转换后接口、和第一个转后的IP地址段
global (outside) 2 192.168.0.17 - 192.168.0.32 netmask 255.255.255.0定义转换后接口、和第二个转换后的IP地址段
三接口的NAT(inside需要访问outside同时需要访问DMZ、dmz需要访问outside)
nat (inside) 110.0.0.0 255.255.255.0 定义内部转换接口、需要转换的网段
nat (dmz) 1 172.16.0.0 255.255.255.0 定义DMZ转换接口、需要转换的网段
global (outside) 1 192.168.0.20 - 192.168.0.254 netmask 255.255.255.0 定义外部转换接口、定义转换后地址池(inside、dmz如果访问外部同时转换)
global (dmz)1172.16.0.20 - 172.16.0.254 netmask 255.255.255.0 定义dmz global地址 (作用于inside 访问dmz时)
PAT多对一的NAT(源端口转为一个没有被使用的port、并且大于1023)
nat (inside) 1 10.0.0.0 255.255.0.0 定义内部转换接口、和内部转换网段
global (outsied)1192.168.0.3 natmask 255.255.255.255 定义转后接口和转后后地址(如果你定义一个global地址,系统将提示你在做一个pat)
PAT多对一定NAT(不知道global地址时的配置)
ip address outside dhcp
nat (inside)1 10.0.0.0 255.255.0.0 定义内部转换接口、和内部转换地址
global (outside)1 interface定义外部转换地址和转成接口地址(当你明确需要转换后的地址为接口地址时建议写interface)
多pat(一个内部地址段转换成多个global地址段 只有当第一个global段耗尽才启用第二个 global的端口范围 65535减去1023,一个用户可能需要很多端口)
nat (inside) 1 10.0.0.0 255.255.255.0 定义内部转换接口和内部转换地址段
global (outside) 1 192.168.0.8 netmask 255.255.255.255 定义第一个global地址
global(outside) 1 192.168.0.9 netmask 255.255.255.255定义第二个global地址
identity (自己转换自己,用于当访问外部时不需要转换时,只会对它地安全级别的端口启作用)
nat (dmz) 0 192.168.0.9 255.255.255.255 (配置不需要转换的ip地址,0表示不转换)
静态转换:
static (dmz,outside)192.168.1.4(global地址)172.16.1.10(dmz需要转换的地址)
端口转换(static PAT):
static (dmz,outside) tcp 192.168.0.9(global地址) ftp 172.16.1.9(内部需要转换地址)ftp netmask 255.255.255.255
连接限制:
在ACL后可以跟 最大TCP、udp的最大连接数
show local-host :
查看:统计内部有多少主机发起多少连接、外部有多少主机发起了多少连接
claer local-host清楚现有连接表象
转换顺序:
NAT 0 static
static (tcp udp)
nat policy
为什么要自己转换自己:
因为当高安全级别的端口去访问低安全级别的端口时包出去的时候是没有问题的(因为高安全级别可以访问低安全级别)但是当包回来就不行了(因为低安全级别不能访问高安全级别。)
九、ACL
outbound:从高安全级别到底安全级别
inbound : 从低安全级别到高安全级别
如果没有访问控制列表:
内部可以出去
外部不可以进来
访问控制列表:
如果限制内部地址访问外部时:
需要限制的IP地址是转换前的地址
如果限制外部地址访问内部时:
需要限制的IP地址是转换后的地址
实现从低安全级别到高安全级别的访问:
1、配置一个静态的地址转换
2、写一个inbound的访问控制列表
3、应用这个ACL到outside接口
1、static (dmz,outside)192.168.0.9(global) 172.16.0.2(内部IP)
2、access-list aclout permit tcp any host 192.168.0.9 eq www
3、access-group aclout in interface outside (in 应用的方向)
十一、清除 ACL的计数器:
clear access-list aclout counters
十二、时间访问控制列表(只能跟访问控制联用)
防止DOS攻击
access-list deny-flow-max 1024 定义deng flow log最大阀值
access-list alert-interval 120定义在12秒内
十三、禁用ACL条目
access-list 101 line 2 extended permit ip any any inactive
十四、过滤 activeX
filter activex 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 (过滤所有IP地址的80端口里面的ACTIVEX)
十五、object groups(定义归纳一组服务或网段的ACL)
对协议、网段、端口号、icmp类型
网络地址的归纳:
1、 object-group network +cui(名字)
2、 network-jbject+ 网段
network-object host 192.168.0.1
network-object host 192.168.0.2
network-object host 192.168.0.3
access-list +名字 permit tcp any object-group cui
服务的归纳:
1、object-group+ server名字
2、port-object eq=23
port-object eq=24
port-object eq=25
access-list +名字 permit tcp any object-group cui server
第二部分
一、trunk
物理端口起TRUNK
pix
515R版 物理 3个 虚拟 10个
525R版 6 25
535R版 8 50
ASA
5510 R版 5 10
5520 R版 5 25
5530 R版 5 100
interface ethernet 1
interface Ethernet1.1定义子接口
vlan 2 相应的VLAN
ip address 1.1.1.1 255.255.255.0IP地址
nameif dmz 定义名字
二、路由
支持 静态路由、默认路由、OSPF、rip
静态路由
route outside 0.0.0.0 0.0.0.0 192.168.0.1 默认路由是经过outside 抵达的(默认路由可以写多个、实现负载均衡,必须相同接口抵达)
RIP:
只能接受更新包,不发送更新包
rip inside passive(被动的学)version 2 authentication md5 cisco 1 在inside接口启用RIP
rip inside default version 2 authentication md5 cisco 向inside接口发送一条默认路由
OSPF:(OSPF、rip只能同时启用一个)
1、enable ospf 启用ospf
2、define interface on which ospf runs 宣告端口运行OSPF
3、define ospf areas 定义ospf区域
实例:
router ospf 1(最多有两个进程)
network 1.1.1.0 255.255.255.0 area 0 (宣告使用的是正掩码)
三、QOS:
总体:三步
1、class map 分类
2、policy map 给每个类定义策略
3、service-policy应用的相应的接口
四、VPN
与路由VPN配置相同
配置步骤:
1、ip route 0.0.0.0 0.0.0.0 202.102.48.66 配置路由保证互通
2、crypto isakmp enable 在路由器上启用isakmp(默认是开启的)
3、crypto isakmp key 0 ciscokey address 211.64.135.34配置共享密钥,对等密钥一定要相同
0表示一个未加密的密钥,如果加密需要
配置一个6的密钥
ciscokey 为配置的密钥
address标识对等体是谁
4、crypto isakmp policy 1 (编号可以不同) 为IKE阶段一协商配置ISA的策略
hash md5 启用isakmp
encryption des 配置散列算法为md5
authentication pre-share 加密算法为DES
lifetime 86400 认证使用共享密钥
group 1
5、crypto ipsec transform-set my—trans esp-des 配置IPsec变换集用于第二阶段SA协商
mode tunnel 指定用于隧道模式
6、access-list 100 permit ip 172.16.0.0 255.255.0.0 192.168.0.0 255.255.0.0 定义感兴趣流
7、crypto map VPN-TO-R3 10 ipsec-isakmp 配置加密映射表,用于关联相关的变换集
set peer 211.64.135.34 指定对等
set transform my-trans 引用前面定义的变换集
match address 100 保护的对象
8、interface serial 1/1 将加密映射表应用到建立隧道的接口
crypto map vpn-to-R3
五、透明、多模式防火墙:
可以关闭ARP学习功能(做好ARP静态表项)
防火墙透明模式,inside和outside接口不能在同一个VLAN里面
透明模式基于MAC地址查询
三层流量穿越防火墙内外必须明确放行
必须配置网管IP地址,如果不配置不转发任何数据包
透明防火墙不支持:
NAT
动态路由协议
IPV6
DHCP relay
QOS
multicast(组播)
开启透明防火墙模式:
show firewall 查看防火墙模式
firewalltransparent 开启
改变模式时会丢掉以前的配置
贴配置的时候要把防火墙的模式放在最前面
OSPF inout 都要放行
多模式防火墙(虚拟防火墙):
如何把包从一个物理接口分配到不同的虚拟防火墙
基于原接口(vlan)
目的IP地址
show mode查看模式
mode multipl切换到多模式 需要重新启动
谢谢楼主
学习。。。。。。。。。。。。。。。。。。。。。。。
发达阿范德萨发达
{:6_267:}
