Cisco ASA防火墙

Cisco ASA流量示意图：

相同安全级别的接口之间的通讯

ASA初始化管理配置：

拓扑图如下所示：
在gns3里桥接所分配给ASA的网卡

首先可以从官网或者其他网上渠道获得思科ASA的镜像，并在Vmware进行安装完成后…

起始可以先还原设备：write erase 或 clear startup-config
首先第一步配通直连网络，g0-g3分别为第一到第四张网卡，必须都要配置nameif、level和ip地址（默认名inside的level为100）

之后即可通信（将云桥接到ASA所在网卡网段）

当新ASA买回来或安装好时没有图形化操作asdm，网上下载或者思科官网进行购买也行，这里就通过ftp到物理机上拷贝

可show version 或 show flash：查看asdm信息
物理机下ftpServer 操作：

创建共享目录，输入正确地址及文件名

上传成功！！！！！！！！！！！！！！！！！！

若没显示asdm信息，如下操作即可

在ASA开启http服务，并且这里允许inside接口下该地址网管

创建本地账号密码授予等级，并在http进行调用

LOCAL为预先定义的AAA协议“本地”服务器标记
在网页登陆之前首先安装好底层java运行环境

再在网页输入ASA地址后下载asdm launcher客户端

输入ASA地址和刚创建的本地用户数据库的账号密码

finash…

在tools的file management里可以在本地或远端上传下载文件并可以配置编辑文件

还可以在mount points添加挂载一个ftp服务器上来作为共享内存，以便备份和下载文件

设置指定的ios 、asdm和配置文件进行加载启动项

在monitoring模块下的logging功能将日志输出到asdm可以查看实时日志信息和buffer log信息

同时还可以过滤日志信息，list定义名为ccie的过滤掉3级别以上的errors信息，还可以在特定级别后面加class挑选更具体的过滤信息
最后在输出日志到asdm后面调用指定的名为ccie的list

另外还可以将6级别的icmp的id 为302020的信息的级别改为1级别，这样即使上面过滤掉3级别以上的信息，icmp的id为302020的信息仍然可以作为1级别显示出来

另外日志相关输出和过滤操作在asdm也可以完成

还可以在CLI和asdm模拟地址进行ping 、traceroute和packet-tracer 等的测试网络的连通性

在菜单栏Wizards可以选择capture wizard 对穿越流量进行抓取下来，

在tools的preferences选项里将wiresharek路径输入进来，就可以通过点击launch network snifferapplication 调用wireshark将抓取下来流量进行查看

配置带外网管口时输入management-only命令，其他流量即不可通过

放行几种网管方式的允许流量：
Telnet 192.168.30.0 255.255.255.0 inside
http 192.168.30.0 255.255.255.0 inside （http server enable）
Domain-name dasf6g68afa.onion
Crypto key generate rsa
Ssh 192.168.30.0 255.255.255.0 inside
用本地数据库用户认证配置如下：

end