配置等级策略,保证outside端口可以访问inside端口

access-list 100 extended permit icmp any any

access-list 100 extended permit ip any any

access-group 100 in interface outside

做PAT:

object network nat

subnet 192.168.1.0 255.255.255.0

nat (inside,ouside) dynamic interfac

做路由:

route outside 0.0.0.0 0.0.0.0 60.22.23.1
把内网路由到外网(内网的默认路由)

route inside 172.168.1.0 255.255.255.0 172.16.1.1 1
把外网路由到内网

route inside 192.168.0.0 255.255.0.0 172.16.1.1 1

9:开启SSH和telnet:

ciscoasa(config)#crypto key generate rsa modulus 1024

ciscoasa(config)#write mem

ciscoasa(config)#ssh 0.0.0.0 0.0.0.0 outside
//任何外网都可以通过shh登录

ciscoasa(config)#ssh timeout 30 //设置超时时间,单位为分钟

ciscoasa(config)#ssh version 1 //指定SSH版本,可以选择版本2

ciscoasa(config)#passwd 密码 //passwd命令所指定的密码为远程访问密码

telnet 0.0.0.0 0.0.0.0 inside

telnet 192.168.10.0 255.255.255.0 inside

telnet 10.1.2.0 255.255.255.0 inside

telnet timeout 5

ssh timeout 5

开启ASDM

asdm image disk0:/asdm-645.bin

no asdm history enable

http server enable

http 192.168.0.0 255.255.0.0 inside

http 192.168.1.0 255.255.255.0 management

http 192.168.10.0 255.255.255.0 inside

配置SSL VPN:

----------------------产生证书---------------------------

crypto key generate rsa label asa.yeslab.net modulus 1024

crypto ca trustpoint localtrustpoint

enrollment self

fqdn asa.yeslab.net

subject-name cn=asa.yeslab.net

keypair asa.yeslab.net

crl configure

ssl trust-point localtrustpoint

---------------------anyconnect配置---------------------------

webvpn

enable outside

no anyconnect-essentials

anyconnect image disk0:/anyconnect-win-3.0.1047-k9.pkg 1

anyconnect enable

ip local pool vpn-pool 172.16.2.1-172.16.2.100
根据原有配置或者客户需求配置该地址池

group-policy simapolicy internal

group-policy simapolicy attributes

vpn-tunnel-protocol ikev2 ssl-client ssl-clientless

address-pools value vpn-pool

webvpn

url-list none

anyconnect ask enable

url-entry disable

username sima password 123 privilege 15 更具客户安排定义用户名和密码

username sima attributes

vpn-group-policy simapolicy

---------------------------IKEv2配置-----------------------------------

crypto ikev2 enable Outside client-services port 443

crypto ikev2 remote-access trustpoint localtrustpoint

crypto ikev2 policy 10

crypto ipsec ikev2 ipsec-proposal ikev2-p

crypto dynamic-map dymap 100 set ikev2 ipsec-proposal
ikev2-p

crypto map cisco 1000 ipsec-isakmp dynamic dymap

crypto map cisco interface Outside

12:隧道分离:

ciscoasa(config)# access-list split-ssl extended permit ip
172.16.1.0 255.255.255.252 any

!注意源地址为ASA的inside网络地址,目标地址始终为any

!

ciscoasa(config)# group-policy sslvpn-group-policy
attributes

ciscoasa(config-group-policy)# split-tunnel-policy
tunnelspecified

ciscoasa(config-group-policy)# split-tunnel-network-list value
split-ssl

13:SSL VPN关注流量不需要NAT:

object network inside-router-loop0

subnet 192.168.0.0 255.255.0.0

object network remote-vpn-address

subnet 172.16.2.0 255.255.255.0 //定义object关联做nat豁免

nat (inside,outside) source static inside-router-loop0
inside-router-loop0 destination static remote-vpn-address
remote-vpn-address

14: 端口映射

dhcpd address 192.168.55.2-192.168.55.254 management

dhcpd enable management

object network obj-192.168.2.27

host 192.168.2.27

object network obj-192.168.2.13

host 192.168.2.13

object network obj_any

subnet 0.0.0.0 0.0.0.0

nat (inside,outside) static 202.97.156.21 server tcp www
www

ERROR: Address 202.97.156.21 overlaps with outside interface
address.

ERROR: NAT Policy is not downloaded

object network obj-192.168.2.27

nat (inside,outside) static 218.26.213.126 service tcp www
8080

object network obj-192.168.2.13

nat (inside,outside) static 218.26.213.126 service tcp www
www

object network obj_any

nat (inside,outside) dynamic interface

SSL连接建立成功以后,ASA上将自动创建指向客户的静态路由。

5540 asa 8.4 防火墙的更多相关文章

  1. cisco asa 5525 思科防火墙设置拨号访问内网以及外网

    WZ-2A10-SAS5525-0938# show running-config : Saved : : Serial Number: FCH17307098 : Hardware: ASA5525 ...

  2. BlackNurse攻击:4Mbps搞瘫路由器和防火墙

    研究人员宣称,最新的知名漏洞BlackNurse,是一种拒绝服务攻击,能够凭借仅仅15到18Mbps的恶意ICMP数据包就将防火墙和路由器干掉. 该攻击会滥用Internet控制报文协议(ICMP)第 ...

  3. CISCO ASA 防火墙 IOS恢复与升级

    在IOS被误清除时的处理办法: 1.从tftp上的ios启动防火墙 防火墙启动后 ,按“ESC”键进入监控模式 rommon #2> ADDRESS=192.168.1.116 rommon # ...

  4. 交换机 路由器 防火墙asa 安全访问、配置 方式

    这里交换机 路由器 暂时统称为  网络设备 我们一般管理网络设备采用的几种方法 一般来说,可以用5种方式来设置路由器: 1. Console口接终端或运行终端仿真软件的微机(第一次配置要使用此方式) ...

  5. 思科 ASA 系列防火墙 官方文档下载指南

    思科 ASA 系列命令参考 思科 ASA 系列命令参考,A 至 H 命令 思科 ASA 系列命令参考, I 至 R 命令 思科 ASA 系列命令参考,S 命令 思科 ASA 系列命令参考, ASASM ...

  6. OPCDA通信--工作在透明模式下的CISCO ASA 5506-X防火墙配置

    尊重原创,转发请声名 inside OPCSERVER 一台 outside OPCCLIENT 一台 route模式 配置没成功,放弃,采用透明模式 !----进入全局配置-- configure ...

  7. 思科ASA系列防火墙配置手册

    使用console连接线登录方法 1.使用cisco的console连接线,连接设备的console口和计算机com口(笔记本用USB转COM口连接线)2.使用超级终端或secureCRT软件连接设备 ...

  8. 思科CISCO ASA 5521 防火墙 Ipsec 配置详解

    版本信息: Cisco Adaptive Security Appliance Software Version 9.9(2) Firepower Extensible Operating Syste ...

  9. 配置ASA防火墙 远程管理方式

          受不了,asa和思科路由器 系统命令不一致,这一篇专门来写asa.      先看下版本 asa825# show version      Cisco Adaptive Security ...

随机推荐

  1. R语言实战读书笔记(四)基本数据管理

    4.2 创建新变量 几个运算符: ^或**:求幂 x%%y:求余 x%/%y:整数除 4.3 变量的重编码 with(): within():可以修改数据框 4.4 变量重命名 包reshape中有个 ...

  2. acdream 1685 多民族王国(DFS,并查集)

    Problem Description 娜娜好不容易才回忆起自己是娜娜而不是什么Alice,也回忆起了自己要继续探索这个世界的目标,便偷偷溜出皇宫.娜娜发现这个王国有很多个民族组成,每个民族都有自己的 ...

  3. php使用memcache与memcached扩展对key值的影响

    php使用php_memcache时,key值为session_id()的值,也就是客户端cookie记录的值. php使用php_memcache时,key值为session_id()的值加上mem ...

  4. swun 1612 合并果子

      //思路:这题思路似乎很简单,每次取出最小的两个堆合并, //但是由于数据太大,不能采取每次进行排序的方式,所以 //想到用优先队列,以数据小的优先级更高为标准,但是 //优先队列中的数据默认情况 ...

  5. web.xml 中的listener、 filter、servlet 加载顺序

    在项目中总会遇到一些关于加载的优先级问题,近期也同样遇到过类似的,所以自己查找资料总结了下,下面有些是转载其他人的,毕竟人家写的不错,自己也就不重复造轮子了,只是略加点了自己的修饰. 首先可以肯定的是 ...

  6. 一种Javascript解释ajax返回的json的好方法

    通常ajax请求返回的格式为json或者xml,如果返回的是json,则可以通过转换成javascript对象进行操作,如下: 1.ajax请求的controller实现 @RequestMappin ...

  7. Android Lock Screen Orientation

    一些与屏幕有关的基础知识: //这个是手机屏幕的旋转角度 final int rotation = this.getWindowManager().getDefaultDisplay().getOri ...

  8. ueditor-百度编辑器插件

    1.官网地址:http://ueditor.baidu.com/website/index.html 2.定制化工具栏:(1)修改ueditor.config.js的toolsbar(2)在创建编辑器 ...

  9. poj 2409(polya定理模板)

    题意:给你n种颜色和m个小球,问你有多少种不同的方案! 分析:作为模板.. 代码实现: #include <iostream> #include <cstdio> #inclu ...

  10. [转] C#操作Excel文件

    来自  jbp74c37ad170 的文章EXCEL编程语句有那些啊 全面控制 Excel首先创建 Excel 对象,使用ComObj:Dim ExcelID as Excel.Application ...