asa防火墻配置命令(asa5525 防火墻忘記密碼)

發(fā)布時(shí)間：2024-07-29

本文主要介紹asa防火墻配置命令(asa5525防火墻忘記密碼)，下面一起看看asa防火墻配置命令(asa5525防火墻忘記密碼)相關(guān)資訊。
一、設(shè)備登錄
內(nèi)部網(wǎng)協(xié)議:telnet
內(nèi)網(wǎng)登錄ip地址:192.168.201.6
外聯(lián)網(wǎng)使用協(xié)議:ssh
外網(wǎng)登錄ip地址:xxx。xxx.xxx.xxx
用戶名:思科
密碼:123456
特權(quán)密碼:123456
二、安全區(qū)和ip地址接口gigabitethernet0/1 //進(jìn)入接口。
nameif outside1 //配置安全區(qū)域的名稱(chēng)(可以自己寫(xiě))
安全級(jí)別0 //配置安全區(qū)域的安全級(jí)別(外部默認(rèn)為0，內(nèi)部默認(rèn)為100。高安全級(jí)別可以訪問(wèn)低安全級(jí)別，低安全級(jí)別不能訪問(wèn)高安全級(jí)別內(nèi)容，除非使用訪問(wèn)控制列表許可)。
ip地址218.246.213.75 255 . 255 . 255 . 240//配置接口的ip地址。
非軍事區(qū)也是一個(gè)安全區(qū)。創(chuàng)建區(qū)域的目的是進(jìn)行訪問(wèn)控制、攻擊檢測(cè)和區(qū)域間的隔離，在外部網(wǎng)絡(luò)的外部1到內(nèi)部區(qū)域需要進(jìn)行攻擊檢測(cè)。創(chuàng)建dmz區(qū)域的目的是讓一些需要隔離的主機(jī)訪問(wèn)其他區(qū)域進(jìn)行檢測(cè)，類(lèi)似于交換機(jī)的vlan。內(nèi)部網(wǎng)絡(luò)分為vlan非軍事區(qū)和vlan內(nèi)部，因此可以在vlan非軍事區(qū)和vlan內(nèi)部之間制定訪問(wèn)控制策略。
非軍事區(qū)的例子:
接口gigabitethernet0/7 //進(jìn)入接口
nameif dmz //配置安全區(qū)域的名稱(chēng)(您可以自己編寫(xiě))
安全級(jí)別50 //配置安全區(qū)域的安全級(jí)別(外部默認(rèn)為0，內(nèi)部默認(rèn)為100。高安全級(jí)別可以訪問(wèn)低安全級(jí)別，低安全級(jí)別不能訪問(wèn)高安全級(jí)別內(nèi)容，除非使用訪問(wèn)控制列表許可)。
ip地址172.16.50.1 //配置接口的ip地址。
三。配置路由(路由冗余)路由優(yōu)先級(jí)數(shù)字越小，優(yōu)先級(jí)越高。
2外路由0 . 0 . 0 . 0 . 0 0.0 181.12.111.1 2//安全區(qū)域中的2外默認(rèn)路由。
1外的路由0 . 0 . 0 . 0 . 0 0 . 0 238 . 201 . 237 . 13//安全區(qū)域的1外默認(rèn)路由。
172 . 16 . 1 . 0 255 . 255 . 255 . 0 192 . 168 . 202 . 25 1內(nèi)的路由
//在側(cè)安全區(qū)詳細(xì)路由，訪問(wèn)172.16.1.0網(wǎng)段，下一個(gè)是192.168.202.25(核心交換機(jī))。
4.配置對(duì)象網(wǎng)絡(luò)internet1 //創(chuàng)建允許internet訪問(wèn)的網(wǎng)段。
子網(wǎng)0.0.0.0 0.0.0
對(duì)象網(wǎng)絡(luò)internet2
子網(wǎng)0.0.0.0 0.0.0
對(duì)象網(wǎng)絡(luò)internet1
nat(內(nèi)部、外部1)動(dòng)態(tài)接口//允許所有網(wǎng)段訪問(wèn)互聯(lián)網(wǎng)。
對(duì)象網(wǎng)絡(luò)internet2
nat(內(nèi)部、外部2)動(dòng)態(tài)接口
互聯(lián)網(wǎng)網(wǎng)段不允許受訪問(wèn)控制列表的限制。
動(dòng)詞 （verb的縮寫(xiě)）端口映射對(duì)象網(wǎng)絡(luò)mailowa110 //創(chuàng)建一個(gè)映射內(nèi)網(wǎng)地址的對(duì)象項(xiàng)，名稱(chēng)自己取。
主機(jī)192.168.203.12 //添加要映射的內(nèi)部網(wǎng)服務(wù)器的地址。
nat(內(nèi)部、外部1)靜態(tài)238.106.237.19服務(wù)tcp pop3 pop3
//配置端口映射，外網(wǎng)可以通過(guò)地址238.106.237.19訪問(wèn)192.168.203.12服務(wù)器的pop3(110)端口。
打開(kāi)相關(guān)的訪問(wèn)控制(需要在拒絕進(jìn)入之前添加)
訪問(wèn)列表外部1內(nèi)部擴(kuò)展許可允許tcp任何主機(jī)238.106.237.19 eq 110
訪問(wèn)列表外部1內(nèi)部擴(kuò)展拒絕ip any any
默認(rèn)訪問(wèn)控制列表禁用所有ip，這些ip需要在端口映射后添加到訪問(wèn)控制列表中。
六、反向映射(用于內(nèi)部網(wǎng)絡(luò)訪問(wèn)外部網(wǎng)絡(luò)端口)相同安全流量允許接口間
相同安全流量允許內(nèi)部接口//打開(kāi)反向映射功能。
object network oa _ outsideinside//創(chuàng)建一個(gè)映射內(nèi)網(wǎng)地址的對(duì)象項(xiàng)，名稱(chēng)自己取。
主機(jī)192.168.202.53 //添加要映射的內(nèi)部網(wǎng)服務(wù)器的地址。
對(duì)象網(wǎng)絡(luò)oa外部//創(chuàng)建外部網(wǎng)絡(luò)地址的映射。對(duì)象項(xiàng)，名稱(chēng)自行取。
主機(jī)238.106.237.19 //添加要映射的外部服務(wù)器地址。
對(duì)象服務(wù)tcp80 //使用您自己的名稱(chēng)創(chuàng)建映射的服務(wù)對(duì)象項(xiàng)目。
服務(wù)tcp目的地eq www //添加端口80。
nat(內(nèi)部、內(nèi)部)源靜態(tài)任何接口目的靜態(tài)oa外部oa _外部?jī)?nèi)部服務(wù)tcp80 tcp80
//映射服務(wù)，調(diào)用上面創(chuàng)建的對(duì)象，讓訪問(wèn)內(nèi)部區(qū)域和外部區(qū)域端口映射的主機(jī)可以通過(guò)內(nèi)網(wǎng)服務(wù)器端口直接訪問(wèn)。
七。訪問(wèn)控制列表示例:內(nèi)網(wǎng)172.16.110.0段(用于廠房代碼掃描)不允許訪問(wèn)外網(wǎng)。
訪問(wèn)列表內(nèi)外擴(kuò)展拒絕ip 172.16.110.0 255.255.255.0 any
//創(chuàng)建一個(gè)名為 內(nèi)外 禁止172.16.110.0訪問(wèn)任何網(wǎng)絡(luò)。
訪問(wèn)列表內(nèi)外擴(kuò)展許可ip any any
//創(chuàng)建一個(gè)允許所有網(wǎng)段的表項(xiàng)。
內(nèi)部接口中的內(nèi)部外部訪問(wèn)組
//應(yīng)用于 amp方向；in 在 內(nèi)部 防火墻的區(qū)域。
八、雙負(fù)載(戰(zhàn)略路由)訪問(wèn)列表yidong 1擴(kuò)展許可ip 172.16.200.0 255.255.255.0 any
訪問(wèn)列表yidong1擴(kuò)展許可ip 172.16.30.0 255.255.254.0 any
訪問(wèn)列表yidong1擴(kuò)展許可ip 172.16.100.0 255.255.254.0 any
訪問(wèn)列表yidong1擴(kuò)展許可ip 172.16.110.0 255.255.255.0 any
訪問(wèn)列表yidong1擴(kuò)展許可ip 172.16.111.0 255.255.255.0 any
訪問(wèn)列表yidong1擴(kuò)展許可ip 172.16.120.0 255.255.255.0 any
//創(chuàng)建一個(gè)名為yidong1的訪問(wèn)控制列表，它是需要指定走哪個(gè)公網(wǎng)的內(nèi)部網(wǎng)段。
路由映射yidong permit 10 //創(chuàng)建名為yidong的策略。
匹配ip地址yidong1 //匹配 移動(dòng)1號(hào) 上面創(chuàng)建的列表。
set ip default nexthop 238 . 106 . 237 . 19//指定列表中的下一個(gè)項(xiàng)目匹配 一鼎 指向 238 . 106 . 237 . 19 (移動(dòng)ip)。
接口gigabitethernet0/0 //進(jìn)入內(nèi)部接口。
政策路線線路圖一東//打給 一東 策略。
九、dhcp配置防火墻dhcp配置不能配置網(wǎng)關(guān)，網(wǎng)關(guān)已被指定為相應(yīng)的安全區(qū)接口地址。
dhcpd地址192.168.1.2192.168.1.254管理
//將ip地址段分配給管理安全區(qū)域作為 192.168.1.2至192 . 168 . 1 . 254
dhcpd啟用管理
//打開(kāi)管理安全區(qū)域的dhcp功能。
dhcp d dns 114.114.114.114 8.8.8.8接口管理
//為管理安全區(qū)域配置dns。
了解更多asa防火墻配置命令(asa5525防火墻忘記密碼)相關(guān)內(nèi)容請(qǐng)關(guān)注本站點(diǎn)。