思科防火牆 PIX ASA 配置總結

思科防火牆 PIX ASA 配置總結一(基礎)：

思科防火牆已經從PIX發展到ASA了，IOS也已經從早期的6.0發展到7.2。但總體的配置思路並沒有多少變化。只是更加人性化，更加容易配置和管理了。

下面是我工作以來的配置總結，有些東西是6.3版本的，但不影響在7.*版本的配置。

一：6個基本命令： nameif、 interface、 ip address 、nat、 global、 route。

二：基本配置步驟：

step1: 命名接口名字

nameif ethernet0 outside security0

nameif ethernet1 inside security100

nameif ethernet2 dmz security50

**7版本的配置是先進入接口再命名。

step2：配置接口速率

interface ethernet0 10full auto

interface ethernet1 10full auto

interface ethernet2 10full

step3：配置接口地址

ip address outside

ip address inside

ip address dmz

step4：地址轉換(必須)

* 安全高的區域訪問安全低的區域(即內部到外部)需NAT和global;

nat(inside) 1

global(outside) 1

*** nat (inside) 0 表示這個地址不需要轉換。直接轉發出去。

* 如果內部有服務器需要映射到公網地址(外網訪問內網)則需要static和conduit或者acl.

static (inside, outside)

static (inside, outside) 10000 10

後面的'10000爲限制連接數，10爲限制的半開連接數。

conduit permit tcp host eq www any

conduit permit icmp any any (這個命令在做測試期間可以配置，測試完之後要關掉，防止不必要的漏洞)

ACL實現的功能和conduit一樣都可實現策略訪問，只是ACL稍微麻煩點。conduit現在在7版本已經不能用了。

Access-list 101 permit tcp any host eq www

Access-group 101 in interface outside (綁定到接口)

***允許任何地址到主機地址爲的www的tcp訪問。

Step5：路由定義：Route outside 0 0 1

Route inside 1

**如果內部網段不是直接接在防火牆內口，則需要配置到內部的路由。

Step6：基礎配置完成，保存配置。

Write memory write erase 清空配置

reload