ASA--WEB服务器环境应用配置
2013-01-15 19:20
531 查看
外网------ASA-------内部服务器
|
内部客户机
ASA的基本配置一般包括:
1、配置主机名、域名和密码
2、配置接口
3、配置路由
4、配置远程管理接入
5、为出站流量配置网络地址转换
6、配置ACL
1、hostname ASA5520
domain-name lpq.com
enable password asa5520 特权密码
passwd cisco 远程登录密码
2、nameif name
(inside outside dmz)
security-level number(0<100 inside<dmz<outside)接口安全级别
ip addr 192.168.1.1 255.255.255.0
no shutdown
exit
3、route interface-name network mask next-hop-address 配置静态路由
route outside 0.0.0.0 0.0.0.0 61.54.226.62
show route
4、telnet {network|ip-address} mask interface-name
telnet 192.168.1.0 255.255.255.0 inside 允许网段
telnet 192.168.1.5 255.255.255.255 inside 允许主机
telnet timeout minutes 空闲超时
配置SSH
crypto key generate rsa modulus 1024 生成密钥对
ssh 192.168.1.0 255.255.255.0 inside
ssh 0 0 outside 允许SSH接入
ssh timeout 30 超时
ssh version 2 版本
username asa5520 password cisco 设置一个本地账号
aaa authertication ssh console LOCAL为SSH启用aaa认证
passwd aaa 远程访问密码
配置ASDM(自适应安全设备管理器)接入
http server enable [port] 启用HTTPS服务器功能
http {network|ip-address} mask interface_name 允许HTTPS接入
asdm image disk0:/asdmfile 指定ASDM映象位置
username user password password privilege 15
5、nat (interface_name) nat-id local-ip mask 指定NAT
global (interface_name) nat-id {global-ip[global-ip]|interface} 定义全局地址池
案例:nat-control
nat (inside) 1 0 0
global (outside) 1 interface
global (dmz) 1 192.168.202.10-192.168.202.110
6、access-list acl_name standard {permit|deny} ip_addr mask 标准访问列表
access-list acl_name extended {permit|deny} protocol src_ip_addr src_mask dst_ip_addr dst_mask [operator port] 扩展访问列表
access-group acl_name {in|out} interface interface_name 将ACL应用到接口
案例:access-list in_to_out extended deny ip 192.168.201.0 255.255.255.240 any
access-list in_to_out extended permit ip any any
access-group in_to_out in interface inside
配置Static NAT
static (real_interface,mapped_interface) mapped_ip real_ip
案例:static (dmz,outside) 210.10.10.253 192.168.202.1
access-list out_to_dmz extended permit tcp any host 210.10.10.253 eq www
access-group out_to_dmz in inter outside
ICMP协议
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any unreachable
access-list 111 permit icmp any any time-exceeded
access-group 111 in inter outside
保存配置:write memory //copy running-config startup-config
清除所有配置:clear configure all
清除部分配置:clear configure command [level2command]
===============================================================
ASA的高级应用
1、URL地址过滤
2、防火墙日志管理
3、启用防火墙安全功能
基本威胁检测
防范IP分片攻击
启用集成的IDS特性执行边界入侵检测功能
--------------------------------------------------------
1、URL
企业需求
IP地址范围在192.168.202.1-192.168.202.15中的主机只能访问www.sina.com,不能访问其他任何网站。
禁止所有主机访问www.game.com
实施URL过滤分为3个步骤
创建映射class-map,识别传输流量
access-list tcp_filter1 permit tcp 192.168.201.0 255.255.255.240 any eq www
class-map tcp_filter_class1
match access-list tcp_filter1
exit
regex url1 \.sina\.com
class-map type regex match-any url_class1
match regex url1
exit
class-map type inspect http http_url_class1
match not request header host regex class url_class1
exit
创建策略映射policy-map,关联class-map
应用策略映射policy-map到接口上
本文出自 “network” 博客,请务必保留此出处http://lipq09.blog.51cto.com/856751/1118955
|
内部客户机
ASA的基本配置一般包括:
1、配置主机名、域名和密码
2、配置接口
3、配置路由
4、配置远程管理接入
5、为出站流量配置网络地址转换
6、配置ACL
1、hostname ASA5520
domain-name lpq.com
enable password asa5520 特权密码
passwd cisco 远程登录密码
2、nameif name
(inside outside dmz)
security-level number(0<100 inside<dmz<outside)接口安全级别
ip addr 192.168.1.1 255.255.255.0
no shutdown
exit
3、route interface-name network mask next-hop-address 配置静态路由
route outside 0.0.0.0 0.0.0.0 61.54.226.62
show route
4、telnet {network|ip-address} mask interface-name
telnet 192.168.1.0 255.255.255.0 inside 允许网段
telnet 192.168.1.5 255.255.255.255 inside 允许主机
telnet timeout minutes 空闲超时
配置SSH
crypto key generate rsa modulus 1024 生成密钥对
ssh 192.168.1.0 255.255.255.0 inside
ssh 0 0 outside 允许SSH接入
ssh timeout 30 超时
ssh version 2 版本
username asa5520 password cisco 设置一个本地账号
aaa authertication ssh console LOCAL为SSH启用aaa认证
passwd aaa 远程访问密码
配置ASDM(自适应安全设备管理器)接入
http server enable [port] 启用HTTPS服务器功能
http {network|ip-address} mask interface_name 允许HTTPS接入
asdm image disk0:/asdmfile 指定ASDM映象位置
username user password password privilege 15
5、nat (interface_name) nat-id local-ip mask 指定NAT
global (interface_name) nat-id {global-ip[global-ip]|interface} 定义全局地址池
案例:nat-control
nat (inside) 1 0 0
global (outside) 1 interface
global (dmz) 1 192.168.202.10-192.168.202.110
6、access-list acl_name standard {permit|deny} ip_addr mask 标准访问列表
access-list acl_name extended {permit|deny} protocol src_ip_addr src_mask dst_ip_addr dst_mask [operator port] 扩展访问列表
access-group acl_name {in|out} interface interface_name 将ACL应用到接口
案例:access-list in_to_out extended deny ip 192.168.201.0 255.255.255.240 any
access-list in_to_out extended permit ip any any
access-group in_to_out in interface inside
配置Static NAT
static (real_interface,mapped_interface) mapped_ip real_ip
案例:static (dmz,outside) 210.10.10.253 192.168.202.1
access-list out_to_dmz extended permit tcp any host 210.10.10.253 eq www
access-group out_to_dmz in inter outside
ICMP协议
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any unreachable
access-list 111 permit icmp any any time-exceeded
access-group 111 in inter outside
保存配置:write memory //copy running-config startup-config
清除所有配置:clear configure all
清除部分配置:clear configure command [level2command]
===============================================================
ASA的高级应用
1、URL地址过滤
2、防火墙日志管理
3、启用防火墙安全功能
基本威胁检测
防范IP分片攻击
启用集成的IDS特性执行边界入侵检测功能
--------------------------------------------------------
1、URL
企业需求
IP地址范围在192.168.202.1-192.168.202.15中的主机只能访问www.sina.com,不能访问其他任何网站。
禁止所有主机访问www.game.com
实施URL过滤分为3个步骤
创建映射class-map,识别传输流量
access-list tcp_filter1 permit tcp 192.168.201.0 255.255.255.240 any eq www
class-map tcp_filter_class1
match access-list tcp_filter1
exit
regex url1 \.sina\.com
class-map type regex match-any url_class1
match regex url1
exit
class-map type inspect http http_url_class1
match not request header host regex class url_class1
exit
创建策略映射policy-map,关联class-map
应用策略映射policy-map到接口上
本文出自 “network” 博客,请务必保留此出处http://lipq09.blog.51cto.com/856751/1118955
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 在工作组环境下配置CA并应用到Web服务器和客户端
- 软件开发工程师(JAVA)中级考试大纲之--五 J2EE WEB高级组件开发--(三)Tomcat服务器的环境及配置;应用发布和数据源配置;
- 使用webpack、babel、react、antdesign配置单页面应用开发环境
- linux环境下搭建osm_web服务器二(Mapnik及apache2mod_tile配置):
- Web服务器证书应用配置手册(五)
- tomcat配置及使用(环境变量设置及测试,一个简单的web应用实例)
- WIN2003下Web服务器配置(实现WAP应用)
- WEB服务器应用_服务器安全设置之_服务器安全和性能配置
- Java Web应用的开发环境配置
- 高性能Web服务器Nginx的配置与部署研究(13)应用模块之Memcached模块+Proxy_Cache双层缓存模式
- mac下配置Linux阿里云服务器的web环境—入门篇
- WEB应用环境的搭建(一)配置Tomcat步骤
- 阿里云服务器 Centos 6.5 32位配置javaweb环境
- 一步一步学JSP(环境配置,数据库连接,web应用配置)
- 配置Web应用环境实现JSP留言簿
- 实用工具-在Mac OS环境下配置Web和PHP服务器
- 分布式Web应用----Linux环境下zookeeper集群环境的安装与配置
- win7+iis7 配置asp.net环境下的问题(1):web服务器被配置为不列出此目录的内容
- centos从头学习配置web服务器环境
- IIS服务器 远程发布(Web Deploy)配置 VS2010 开发环境 Windows Server 2008服务器系统