CISCO ASA思科防火墙常用命令-Toy模板网

这篇具有很好参考价值的文章主要介绍了CISCO ASA思科防火墙常用命令。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

CISCO ASA防火墙常用命令有：nameif、interface、ip address、nat、global、route、static等。
global
指定公网地址范围：定义地址池。
Global命令的配置语法：
global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中：
(if_name)：表示外网接口名称，一般为outside。
nat_id：建立的地址池标识(nat要引用)。
ip_address-ip_address：表示一段ip地址范围。
[netmark global_mask]：表示全局ip地址的网络掩码。
nat
地址转换命令，将内网的私有ip转换为外网公网ip。
nat命令配置语法：nat (if_name) nat_id local_ip [netmark]
其中：
(if_name)：表示接口名称，一般为inside.
nat_id：表示地址池，由global命令定义。
local_ip：表示内网的ip地址。对于0.0.0.0表示内网所有主机。
[netmark]：表示内网ip地址的子网掩码。
route
route命令定义静态路由。
语法：
route (if_name) 0 0 gateway_ip [metric]
其中：
(if_name)：表示接口名称。
0 0 ：表示所有主机
Gateway_ip：表示网关路由器的ip地址或下一跳。
[metric]：路由花费。缺省值是1。
static
配置静态IP地址翻译，使内部地址与外部地址一一对应。
语法：
static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address
其中：
internal_if_name表示内部网络接口，安全级别较高，如inside。
external_if_name表示外部网络接口，安全级别较低，如outside。
outside_ip_address表示外部网络的公有ip地址。
inside_ ip_address表示内部网络的本地ip地址。
(括号内序顺是先内后外，外边的顺序是先外后内)
例如：
asa(config)#static (inside，outside) 133.0.0.1 192.168.0.8
表示内部ip地址192.168.0.8，访问外部时被翻译成133.0.0.1全局地址

asa#conf t
asa(config)# hostname asa   //设置主机名
asa(config)#enable password cisco     //设置密码
  配置外网的接口，名字是outside，安全级别0，输入ISP给您提供的地址就行了。
asa(config)#interface GigabitEthernet0/0
asa(config)#nameif outside                      //名字是outside
asa(config)#securit-level 0                    //安全级别0
asa(config)#ip address *.*.*.* 255.255.255.0   //配置公网IP地址
asa(config)#duplex full
asa(config)#
asa(config)#no shutdown
  配置内网的接口，名字是inside，安全级别100
asa(config)#interface GigabitEthernet0/1
asa(config)#nameif inside
asa(config)#securit-level 100
asa(config)#duplex full
asa(config)#speed 100
asa(config)#no shutdown
  配置DMZ的接口,名字是dmz，安全级别50
asa(config)#interface GigabitEthernet0/2
asa(config)#nameif dmz
asa(config)#securit-level 50
asa(config)#duplex full
asa(config)#
asa(config)#no shutdown
  网络部分设置
asa(config)#nat(inside) 1 192.168.1.1 255.255.255.0
asa(config)#global(outside) 1 222.240.254.193 255.255.255.248
asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255     //表示192.168.1.1这个地址不需要转换。直接转发出去。
asa(config)#global (outside) 1 133.1.0.1-133.1.0.14      //定义的地址池
asa(config)#nat (inside) 1 0 0                           //0 0表示转换网段中的所有地址。定义内部网络地址将要翻译成的全局地址或地址范围
  配置静态路由
asa(config)#route outside 0 0 133.0.0.2                        //设置默认路由  133.0.0.2为下一跳
如果内部网段不是直接接在防火墙内口，则需要配置到内部的路由。
asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
  地址转换
asa(config)#static (dmz，outside) 133.1.0.1 10.65.1.101        ;静态NAT
asa(config)#static (dmz，outside) 133.1.0.2 10.65.1.102        ;静态NAT
asa(config)#static (inside，dmz) 10.66.1.200 10.66.1.200       ;静态NAT
如果内部有服务器需要映射到公网地址(外网访问内网)则需要static
asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240
asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240 10000 10   //后面的10000为限制连接数，10为限制的半开连接数
ACL实现策略访问
asa(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置ACL
asa(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;设置ACL
asa(config)#access-list 101 deny ip any any                    ;设置ACL
asa(config)#access-group 101 in interface outside     ;将ACL应用在outside端口
    当内部主机访问外部主机时，通过nat转换成公网IP，访问internet。
    当内部主机访问中间区域dmz时，将自己映射成自己访问服务器，否则内部主机将会映射成地址池的IP，到外部去找。
    当外部主机访问中间区域dmz时，对133.0.0.1映射成10.65.1.101，static是双向的。

    PIX的所有端口默认是关闭的，进入PIX要经过acl入口过滤。
    静态路由指示内部的主机和dmz的数据包从outside口出去。

文章来源地址https://www.toymoban.com/news/detail-416245.html

到了这里，关于CISCO ASA思科防火墙常用命令的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！