5540 asa 8.4 防火墙
配置等级策略,保证outside端口可以访问inside端口
access-list 100 extended permit icmp any any
access-list 100 extended permit ip any any
access-group 100 in interface outside
做PAT:
object network nat
subnet 192.168.1.0 255.255.255.0
nat (inside,ouside) dynamic interfac
做路由:
route outside 0.0.0.0 0.0.0.0 60.22.23.1
把内网路由到外网(内网的默认路由)
route inside 172.168.1.0 255.255.255.0 172.16.1.1 1
把外网路由到内网
route inside 192.168.0.0 255.255.0.0 172.16.1.1 1
9:开启SSH和telnet:
ciscoasa(config)#crypto key generate rsa modulus 1024
ciscoasa(config)#write mem
ciscoasa(config)#ssh 0.0.0.0 0.0.0.0 outside
//任何外网都可以通过shh登录
ciscoasa(config)#ssh timeout 30 //设置超时时间,单位为分钟
ciscoasa(config)#ssh version 1 //指定SSH版本,可以选择版本2
ciscoasa(config)#passwd 密码 //passwd命令所指定的密码为远程访问密码
telnet 0.0.0.0 0.0.0.0 inside
telnet 192.168.10.0 255.255.255.0 inside
telnet 10.1.2.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
开启ASDM
asdm image disk0:/asdm-645.bin
no asdm history enable
http server enable
http 192.168.0.0 255.255.0.0 inside
http 192.168.1.0 255.255.255.0 management
http 192.168.10.0 255.255.255.0 inside
配置SSL VPN:
----------------------产生证书---------------------------
crypto key generate rsa label asa.yeslab.net modulus 1024
crypto ca trustpoint localtrustpoint
enrollment self
fqdn asa.yeslab.net
subject-name cn=asa.yeslab.net
keypair asa.yeslab.net
crl configure
ssl trust-point localtrustpoint
---------------------anyconnect配置---------------------------
webvpn
enable outside
no anyconnect-essentials
anyconnect image disk0:/anyconnect-win-3.0.1047-k9.pkg 1
anyconnect enable
ip local pool vpn-pool 172.16.2.1-172.16.2.100
根据原有配置或者客户需求配置该地址池
group-policy simapolicy internal
group-policy simapolicy attributes
vpn-tunnel-protocol ikev2 ssl-client ssl-clientless
address-pools value vpn-pool
webvpn
url-list none
anyconnect ask enable
url-entry disable
username sima password 123 privilege 15 更具客户安排定义用户名和密码
username sima attributes
vpn-group-policy simapolicy
---------------------------IKEv2配置-----------------------------------
crypto ikev2 enable Outside client-services port 443
crypto ikev2 remote-access trustpoint localtrustpoint
crypto ikev2 policy 10
crypto ipsec ikev2 ipsec-proposal ikev2-p
crypto dynamic-map dymap 100 set ikev2 ipsec-proposal
ikev2-p
crypto map cisco 1000 ipsec-isakmp dynamic dymap
crypto map cisco interface Outside
12:隧道分离:
ciscoasa(config)# access-list split-ssl extended permit ip
172.16.1.0 255.255.255.252 any
!注意源地址为ASA的inside网络地址,目标地址始终为any
!
ciscoasa(config)# group-policy sslvpn-group-policy
attributes
ciscoasa(config-group-policy)# split-tunnel-policy
tunnelspecified
ciscoasa(config-group-policy)# split-tunnel-network-list value
split-ssl
13:SSL VPN关注流量不需要NAT:
object network inside-router-loop0
subnet 192.168.0.0 255.255.0.0
object network remote-vpn-address
subnet 172.16.2.0 255.255.255.0 //定义object关联做nat豁免
nat (inside,outside) source static inside-router-loop0
inside-router-loop0 destination static remote-vpn-address
remote-vpn-address
14: 端口映射
dhcpd address 192.168.55.2-192.168.55.254 management
dhcpd enable management
object network obj-192.168.2.27
host 192.168.2.27
object network obj-192.168.2.13
host 192.168.2.13
object network obj_any
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) static 202.97.156.21 server tcp www
www
ERROR: Address 202.97.156.21 overlaps with outside interface
address.
ERROR: NAT Policy is not downloaded
object network obj-192.168.2.27
nat (inside,outside) static 218.26.213.126 service tcp www
8080
object network obj-192.168.2.13
nat (inside,outside) static 218.26.213.126 service tcp www
www
object network obj_any
nat (inside,outside) dynamic interface
SSL连接建立成功以后,ASA上将自动创建指向客户的静态路由。
5540 asa 8.4 防火墙的更多相关文章
- cisco asa 5525 思科防火墙设置拨号访问内网以及外网
WZ-2A10-SAS5525-0938# show running-config : Saved : : Serial Number: FCH17307098 : Hardware: ASA5525 ...
- BlackNurse攻击:4Mbps搞瘫路由器和防火墙
研究人员宣称,最新的知名漏洞BlackNurse,是一种拒绝服务攻击,能够凭借仅仅15到18Mbps的恶意ICMP数据包就将防火墙和路由器干掉. 该攻击会滥用Internet控制报文协议(ICMP)第 ...
- CISCO ASA 防火墙 IOS恢复与升级
在IOS被误清除时的处理办法: 1.从tftp上的ios启动防火墙 防火墙启动后 ,按“ESC”键进入监控模式 rommon #2> ADDRESS=192.168.1.116 rommon # ...
- 交换机 路由器 防火墙asa 安全访问、配置 方式
这里交换机 路由器 暂时统称为 网络设备 我们一般管理网络设备采用的几种方法 一般来说,可以用5种方式来设置路由器: 1. Console口接终端或运行终端仿真软件的微机(第一次配置要使用此方式) ...
- 思科 ASA 系列防火墙 官方文档下载指南
思科 ASA 系列命令参考 思科 ASA 系列命令参考,A 至 H 命令 思科 ASA 系列命令参考, I 至 R 命令 思科 ASA 系列命令参考,S 命令 思科 ASA 系列命令参考, ASASM ...
- OPCDA通信--工作在透明模式下的CISCO ASA 5506-X防火墙配置
尊重原创,转发请声名 inside OPCSERVER 一台 outside OPCCLIENT 一台 route模式 配置没成功,放弃,采用透明模式 !----进入全局配置-- configure ...
- 思科ASA系列防火墙配置手册
使用console连接线登录方法 1.使用cisco的console连接线,连接设备的console口和计算机com口(笔记本用USB转COM口连接线)2.使用超级终端或secureCRT软件连接设备 ...
- 思科CISCO ASA 5521 防火墙 Ipsec 配置详解
版本信息: Cisco Adaptive Security Appliance Software Version 9.9(2) Firepower Extensible Operating Syste ...
- 配置ASA防火墙 远程管理方式
受不了,asa和思科路由器 系统命令不一致,这一篇专门来写asa. 先看下版本 asa825# show version Cisco Adaptive Security ...
随机推荐
- svn备份脚 本
一直用这套脚本备份,脚本主体虽不是原创,但是从网上得到后因为不能运行也进行了些修改,前两天看到有人问关于SVN备份的问题,今天又把脚本整理了一下,解决了不能循环备份多个配置库的问题.希望对大家有所帮助 ...
- I.MX6 shutdown by software
/************************************************************************ * I.MX6 shutdown by softwa ...
- HDU 5316 Magician (线段树,单值修改,微变形)
题意:给一个初始序列A[1,n],第j个数字代表精灵j的power值,有两种操作:(1)查询区间[L,R] (2)修改某个精灵的power值. 但,查询的是区间[L,R]中一个美丽子序列sub[l,r ...
- Node.js 连接 MySQL 并进行数据库操作
Node.js 连接 MySQL 并进行数据库操作 按照这篇操作mysql的指引,我远程操作了我另一台电脑的mysql数据库. var mysql = require('mysql'); var c ...
- RequireJS入门(一) 转
RequireJS由James Burke创建,他也是AMD规范的创始人. RequireJS会让你以不同于往常的方式去写JavaScript.你将不再使用script标签在HTML中引入JS文件,以 ...
- suse10的网络配置(静态IP)
感觉跟fedora的差别还是蛮大的, 主要是配置文件的不同, 尤其是默认路由, 多了一个单独的文件ifroute-xxx suse10的网卡配置文件在/etc/sysconfig/network ...
- Delphi 调用串口例子
procedure TfrmClientMain.SayAddr;var sbuf:array[1..7] of byte;begin sbuf[1]:=byte($35); sbuf[2]:=byt ...
- EFSQLserver
1.增加一条烽据 FLYNEWQKEntities dataContext = new FLYNEWQKEntities(); Log log = new Log(); log.Data1 = &qu ...
- OPENGL学习笔记整理(五):着色语言
有些事情本身就是十分奇怪的.在传统上,图形硬件的设计目的是用于快速执行相同的硬编译指令集.不同的计算步骤可以被跳过,参数可以被调整,但计算本身确实固定不变的.然而,随着技术的发展,却越来越变得可以编程 ...
- git 换行符问题
git 换行符问题 在windows环境中 对于autocrlf = false 不会激发 关于换行符的处理 对于autocrlf = true 会在提交是将LF替换成CRLF 切出时时CRLF 对于 ...