Cisco ASA 5520配置笔记
基本规则
1) 默认情况下,ASA只对穿越的TCP/UDP流量维护状态化信息,由于ping使用icmp,所以默认是ping不通的。
2) 接口安全级别的范围为0-100,inside接口安全级别默认为100,其他接口为0。
3) 默认情况下,从高安全级别接口往低安全级别接口的流量是放行的;从低安全级别接口到高安全级别接口的流量是不允许的,但可以通过ACL放行;相同安全级别的接口间流量不允许相通,但可通过same-security-traffic permit inter-interface命令放行。
rommon模式重传镜像
1) 网线连接ASA GigabitEthernet0/0(第一个接口)与PC,设置PC ip为192.168.1.2。
2) 配置并开启TFTP Server,将镜像文件放在Tftpd32 Current Directory目录中。
3) 通过console接口连接ASA,在终端中按Esp键进入rommon模式,执行以下命令:
rommon #0>ADDRESS=192.168.1.1
rommon #1>IMAGE=asa842-k8.bin
rommon #2>PORT= GigabitEthernet0/0
rommon #3>SERVER=192.168.1.2
rommon #3>unset GATEWAY
rommon #4>tftpdnld
接着ASA将重启
添加本地用户
ASA(config-if)# username usr password pwd
telnet登录配置
最低安全级别的接口不支持telnet,如outside。
1) 使用telnet密码登录
ASA(config)# telnet 192.168.1.0 255.255.255.0 inside //该网段的IP都能访问
ASA(config)# password cisco
2) 使用本地用户名和密码登录
ASA(config)#username cisco privilege 15 password cisco
ASA(config)# aaa authentication telnet console LOCAL
ssh登录配置
最低安全级别的接口支持ssh登录,如outside。
1) 使用本地用户名和密码登录
ASA(config)# crypto key generate rsa modulus 1024
ASA(config)# ssh 192.168.254.131 255.255.255.255 inside //只能特定IP访问
ASA(config)# ssh 192.168.254.0 255.255.255.0 inside //该网段的IP都能访问
ASA(config)#username cisco privilege 15 password cisco
ASA(config)# aaa authentication ssh console LOCAL
访问控制ACL
1、 Inside、DMZ 网段ping 不通outside网段的
原因:
1) Inside 网段发起的ICMP ECHO包能够抵达outside
2) Outside 网段返回的ICMP ECHO REPLAY因为ASA的默认策略被拒绝
解决办法:
1) Inspect
policy-map global_policy
class inspection_default
inspect icmp
2) access-list
access-list out permit icmp any any //
access-group out in interface outside //由outside接口调用out列表
2、 Inside、DMZ 网段telnet登录outside网段能成功,反之不通
解决办法:
access-list in permit tcp host outhostIP host inhostIP eq 23
access-group in in interface outside //由outside端口调用in规则
Cisco ASA 5520配置笔记相关推荐
- CISCO ASA 5520 snmp 协议启用
Cisco ASA 5520 snmp协议 有时需要看下防火墙的流量状况,这里就需要配置防火墙的snmp协议才能达到监控接口流量的目的,我采用的cacti监 控流量的办法,防火墙为pix ASA 55 ...
- Cisco ASA IPSec配置流程(9.8.2)
Cisco ASA IPSec 配置流程(9.8.2) 定义感兴趣流: object-group network remote //创建peer的地址组network-object 192.168.1 ...
- Cisco ASA 5520 基本配置
cisco asa5520 基本配置 一般网络机构来理解asa5520 外网-----asa5520----分别是内网和dmz asa配置都在全局模式下配置,很多跟cisco路由交换的一样(大同小异) ...
- Cisco ASA SSH配置
1.配置服务器端 ciscoasa(config)#crypto key generate rsa (创建RSA密钥,默认是1024bit) //指定rsa系数的大小,这个值越大,产生rsa的时间越长 ...
- Cisco asa 5520 oid
一 Cisco asa CPU LOAD的oid1 5sec CPU 负载1.3.6.1.4.1.9.2.1.562 1min CPU 负载1.3.6.1.4.1.9.2.1.573 5min CPU ...
- CISCO ASA防火墙配置实验
实验要求: 分别划分inside(内网),outside(外网),dmz(服务器区)三个区 配置PAT,直接使用outside接口的ip地址进行转换 配置静态NAT,发布内网服务器 启用NAT控制,配 ...
- Cisco ASA 5520(8.2.4)配置企业内网案例(按时段限速)
1.基本配置及配置内外网接口 conf t hostname ASAFW #设置主机名 enable secret pass123 #设置特权密码 clock timezone GMT 8 #设置时区 ...
- Cisco ASA Web ××× 配置详解
实验环境如拓朴图. 在做实验之前让我们先来了解一下SSL ×××. 目前市场上×××产品很多,而且技术各异,就比如传统的 IPSec ××× 来讲, SSL 能让公司实现更多远程用户在不同地点接入,实 ...
- ASA 5520配置failover及双出口
转载于:https://blog.51cto.com/gsliedu/2385938
最新文章
- 机器学习数学基础:常见分布与假设检验
- PyTorch称霸学界,TensorFlow固守业界,ML框架之争将走向何方?
- 开始报名丨CCF C³-05@亚马逊云科技:未来云计算之旅
- Ambari Metrics Monitor/Sink 架构
- 【C 语言】指针间接赋值 ( 指针作为 函数参数 的意义 | 间接赋值 代码示例 )
- 官方乌镇定调互联网金融,P2P、众筹专项对待
- flutter能开发游戏吗_Steam上架游戏开发软件,不用代码也能制作游戏,而且还是免费的...
- html菜单不动属性,html5规定元素的上下文菜单属性contextmenu
- 拆分窗口QSplitter
- 检查数组中的子字符串– Java,Python和Swift
- PHP常量详解:define和const的区别
- 计算机网络基础 — Bypass 网卡
- IE安全系列:脚本先锋(IV)—网马中的Shellcode
- 美女视频都想下载,今天我们就来批量下载它们~
- 第八章:项目质量管理 - (8.0 项目质量管理是什么)
- websocket站内信实时消息推送
- PatchMatch分析
- 云主机和物理机的区别
- 二进制形式配置k8s集群(二)-生成证书
- mySQL没有 with as