ASA与FTD的基本配置
思科安全的考纲就不用说了,但个人认为最难的是记命令,尤其那些个命令生产环境虽然要用,但都是依赖文档,考试的时候最好还是熟记。本篇就是整理归纳,懒得翻文档查google了。
一. ASA的HA
(默写了5遍。。。)
Primary Unit:
failover
failover lan unit primary
failover lan FAILOVER interface gi0/2
failover link STATEFUL gi0/3
failover interface ip FAILOVER 1.1.1.1 255.255.255.252 standby 1.1.1.2
failover interface ip STATEFUL 2.2.2.1 255.255.255.252 standby 2.2.2.2
Secondary Unit
failover
failover lan unit secondary
failover lan interface FAILOVER gi0/2
failover link STATEFUL gi0/3
failover interface ip FAILOVER 1.1.1.1 255.255.255.252 standby 1.1.1.2
failover interface ip STATEFUL 2.2.2.2 255.255.255.252 standby 2.2.2.2
show failover state/ show failover 等验证命令不放了,不过要记得查看monitor interface
使用prompt hostname state来显示是否是active standby
ASA有个特性,所有的流量必须得在配置了nameif security-level才能生效。比如,你只配置了接口的ip,而没有nameif 和security level,是无法ping通的。
练习下multi context但是ASAv不支持(其实也很好理解,虚拟机为啥要支持虚拟防火墙?再装个虚拟机不就完了么),但不管如何,抄一遍命令,加深下印象,不做注释了,项目都起过了。
ASA1:
mode multiple
接口部分
interface Gi0/1
no shut
interface Gi0/2
no shut
interface Gi0/1.10
vlan 10
interface Gi0/1.20
vlan 20
interface Gi0/2.30
vlan 30
interface Gi/0.240
vlan 40
Context C1
allocate-interface GigaEthernet0/1.10
allocate-interface GigaEthernet0/2.30
config-url disk0:/c1.cfg
Context C2
allocate-interface GigaEthernet0/1.20
allocate-interface GigaEthernet0/2.40
config-url disk0:/c2.cfg
HA部分
failover
failover lan unit primary
failover lan FAILOVER interface gi0/6
failover link STATEFUL gi0/7
failover interface ip FAILOVER 1.1.1.1 255.255.255.252 standby 1.1.1.2
failover interface ip STATEFUL 2.2.2.1 255.255.255.252 standby 2.2.2.2
failover-group 1
primary
preempt
failover-group 2
secondary
preempt
context C1
join-failover-group 1
context C2
joint-failover-group 2
ASA2
mode multiple
接口配置
interface Gi0/1
no shut
interface Gi0/2
no shut
interface gi0/1.10
vlan 10
interface gi0/1.20
vlan 20
interface gi0/2.30
vlan 30
interface gi0/2.40
vlan 40
context C1
allocate-interface GigaEthernet0/1.10
allocate-interface GigaEthernet0/2.30
config-url disk0:/c1.cfg
context C2
allocate-interface GigaEthernet0/1.20
allocate-interface GigaEthernet0/2.40
config-url disk0:/c2.cfg
HA的部分
failover
failover lan unit secondary
failover lan FAILOVER interface gi0/6
failover link STATEFUL gi0/7
failover interface ip FAILOVER 1.1.1.1 255.255.255.252 standby 1.1.1.2
failover interface ip STATEFUL 2.2.2.1 255.255.255.252 standby 2.2.2.2
二. ASA的NAT
先说个ASA的特性,我们知道由于security-level的存在,高级别进入级别的流量被默认放行,反之低级别进入高级别默认block。但是我们一旦在接口下配置了ACL,所有security-level都其实作废了。其实在生产环境下,security-level是没啥用的。。。参考文档:
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115904-asa-config-dmz-00.html
说回NAT,由于NAT的命令实在是太多了,项目中我也一般是用ASDM去配的。
留着这份文档日后再看。
https://www.practicalnetworking.net/stand-alone/cisco-asa-nat/
三. FTD接口与路由
嫌麻烦,直接用OSPF把所有5台CSR和FTD打通,这里直接截下图。毕竟FTD的OSPF配置还是5分钟就能明白搞定的。
可以进入FTD的console查看OSPF邻居接口状况
由于FTD是ASA的底层,所以一些我们熟知的ASA命令仍然是可以使用的。
下一篇写DM×××,使用证书认证。
转载于:https://blog.51cto.com/9272543/2400909
ASA与FTD的基本配置相关推荐
- ASA 防火墙 工作原理与配置实例
ASA是状态化防火墙,会建立一个用户信息连接表(Conn),连接表中包含的相关信息有源IP地址.目的IP地址.IP协议(如TCP或UDP).IP协议信息(如TCP/UDP的端口号.TCP序列号和TCP ...
- 思科nat配置实例_Cisco ASA 5520(8.2.4)配置企业内网案例
思科防火墙ASA5520 外观 网络拓扑图如下 内网 网段 192.168.2.0/24 公网IP地址 118.25.235.100 公网IP地址网关:118.25.235.1.1 防火墙内网IP:1 ...
- Cisco ASA、FTD和HyperFlex HX的漏洞分析复现
一.Cisco ASA设备任意文件删除漏洞 CVE-2020-3187 漏洞描述 Cisco ASA Software和FTD Software中的Web服务接口存在路径遍历漏洞,该漏洞源于程序没有对 ...
- cisco asa(asa5510 设置)防火墙的配置详解
今天在一个客户那边配置的 asa5510(config)# asa5510(config)# show run : Saved : ASA Version 7.0(7) ! hostname asa ...
- Cisco ASA 5520(8.2.4)配置企业内网案例(按时段限速)
1.基本配置及配置内外网接口 conf t hostname ASAFW #设置主机名 enable secret pass123 #设置特权密码 clock timezone GMT 8 #设置时区 ...
- Cisco ASA(防火墙)基本配置
Cisco ASA 分为软件防火墙和硬件防火墙. 其中,硬件防火墙比软件防火墙更有优势: 1).硬件防火墙功能强大,且明确是为抵御威胁而设计的. 2).硬件防火墙比软件防火墙的漏洞少. Cisco 硬 ...
- ASA L2L *** IKEV2共享密钥配置
IKE是一种混和协议,混和协议的复杂性使其不可避免地带来一些安全及性能上的缺陷,导致其成为整个IP-Sec实现中的瓶颈.为此,IETF一直对现有版本不合理部分积极征集修改意见,陆续推出了新的IKE草案 ...
- 思科修复 ASA/FTD 防火墙高危缺陷,已遭利用
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 思科修复了一个高危且已遭利用的只读路径遍历漏洞 (CVE-2020-3452),它影响两款防火墙产品的 web 服务接口. 如遭成功利 ...
- (四)FTD的基本需求配置
一.拓扑图 二.拓扑介绍 此拓扑分3个网络区域Outside.Inside.DMZ Outside网段为:200.1.1.0/24 Inside网段为:192.168.1.0/24 DMZ网段为:17 ...
最新文章
- 你应该知道的五种IO模型
- linux shell dig nslookup 指定dns服务器 查询域名解析
- 数据库界的Swagger:一键生成数据库文档!你不了解一下?
- 微信小程序 基础2【条件渲染、swiper组件、生命周期、发起请求API】
- Walle 瓦力 web部署系统
- 前端学习(3349):数组方法的运用和数值
- 自定义日期工具类 java 1614698552
- aspectj 注解
- azcopy将本地目录上传到blob远端仓库中
- Barefoot和Stordis在欧洲领导开源网络
- 街机模拟器 WinKawaks 及街机 ROM 下载
- C# XmlDocument.Save文件操作System.IO.IOException:The process cannot access the file because it is being
- vnc远程控制软件7款,7款非常好用的vnc远程控制软件
- 客房管理系统前台代码html,客房管理系统|客房软件|PMS系统|酒店管理系统|酒店管理软件...
- Serverless 极致弹性解构在线游戏行业痛点
- 超级详细-NMOS、PMOS的工作原理及相关内容整理(下)
- doccano安装与使用(Win10)
- 显卡驱动一定要更新吗?怎么更新显卡驱动?
- js中将从ajax获得的时间戳数字串转换成理解的时间格式
- 代码管理平台云效Codeup使用以及构建流水线
热门文章
- 2008最火爆的十大网络流行语:
- 水の三角(超级卡特兰数/大施罗德数)
- 双通道连续波多普勒雷达测速模型 - Matlab仿真
- python过京东app图形验证勾股定理_Python爬虫模拟登录京东获取个人信息
- 二进制#逻辑计算#与(∧)、或(∨)、非(¬)、异或(⨁)#与,或,非,异或的运算法则#与,或,非,异或运算的基础代码
- FAT、FAT32和exFAT文件系统
- phpstudy php+apache 环境PHP多版本环境配置
- java 命令 线程栈_JVM调试常用命令——jstack命令与Java线程栈(1)
- 绿联扩展坞拆解_拆解报告:UGREEN 绿联 3A1C 四口多功能扩展坞(带 SD 卡槽版)...
- [luogu2294] [HNOI2005]狡猾的商人