show logging 缓存日志
FW(config)# show run route 查看路由

FW(config)# ip verify reverse-path interface Outside 在Outside接口开启URPF

FW# packet-tracer input inside tcp 10.1.1.2 1024 202.100.1.1 23 detailed 包跟踪

FW# copy runn flash:/preconfig.cfg 配置备份

ciscoasa(config)# route Outside 0.0.0.0 0.0.0.0 202.100.1.1 配置默认路由

配置管理接口:
FW(config)# inter g5
FW(config-if)# management-only
FW(config-if)# nameif mgmt
FW(config-if)# security-level 100
FW(config-if)# ip address 10.10.10.10 255.255.255.0

ACL
access-list outside extended permit tcp host 202.100.1.1 10.1.1.0 255.255.255.0 eq telnet
access-list outside extended permit tcp host 202.100.1.1 192.168.1.0 255.255.255.0 eq www

FW(config)# access-list outside deny ip any any log

FW(config)# access-group outside in interface Outside 在接口入方向调用访问控制列表outside

FW(config)# sh run access-group 查看调用

查看时间
FW(config)# show clock

基于时间的ACL
FW(config)# time-range TimeLimit
FW(config-time-range)# periodic weekdays 08:00 to 21:00
access-list outside line 2 permit tcp 202.100.1.0 255.255.255.0 10.1.1.1 255.255.255.255 eq www time-range TimeLimit

FW(config-time-range)# show access-list 查看ACL详细信息

Object-Group 技术允许创建一个可以重复使用的地址和服务绑定集

FW(config)# object network server01
FW(config-network-object)# host 10.1.1.1
FW(config)# object-group network Group-Network
FW(config-network-object-group)# network-object object server01

FW# sh run object
object network In_filter
object network server01
host 10.1.1.1

FW(config)# object-group service Group-Server
FW(config-service-object-group)# service-object icmp
FW(config-service-object-group)# service-object esp
FW(config-service-object-group)# service-object tcp destination eq ftp
FW(config-service-object-group)# service-object udp

W(config)# Group-Network

object-group network Group-Network
network-object object server01

object-group service Group-Server
service-object icmp
service-object esp
service-object tcp
service-object udp
service-object udp destination eq domain
service-object tcp destination eq ftp

access-list outside line 01 permit object-group Group-Server 202.100.1.0 255.255.255.0 object-group Group-Network

FW(config)# sh run access-list
access-list outside extended permit object-group Group-Server 202.100.1.0 255.255.255.0 object-group Group-Network
access-list outside extended permit tcp host 202.100.1.1 10.1.1.0 255.255.255.0 eq telnet
access-list outside extended permit tcp 202.100.1.0 255.255.255.0 host 192.168.1.1 eq www time-range TimeLimit
access-list outside extended permit tcp 202.100.1.0 255.255.255.0 host 10.1.1.1 eq www time-range TimeLimit
access-list outside extended deny ip any any log

MPF

FW(config)# class-map MatchTraffic
FW(config)# policy-map Behavior
FW(config-pmap)# class MatchTraffic
FW(config-pmap-c)# ?
MPF policy-map class configuration commands:
exit Exit from MPF class action configuration mode
help Help for MPF policy-map class/match submode commands
no Negate or set default values of a command
police Rate limit traffic for this class
priority Strict scheduling priority for this class
quit Exit from MPF class action configuration mode
service-policy Configure QoS Service Policy
set Set connection values
shape Traffic Shaping
user-statistics configure user statistics for identity firewall
<cr>
csc Content Security and Control service module
flow-export Configure filters for NetFlow events
inspect Protocol inspection services
ips Intrusion prevention services

FW(config-pmap-c)# inspect http
FW(config-pmap-c)# end

FW(config)# service-policy Behavior interface Outside 调用到接口

FW(config)# http server telnet
FW(config)# telnet 10.1.1.0 255.255.255.0 inside 开启telnet服务
FW(config)# username admin password cisco123 privilege 15 配置用户及密码
FW(config)# aaa authentication telnet console LOCAL 本地aaa认证对telnet服务

配置管理是端口
FW(config)# class-map type management MGMT-Telnet
FW(config-cmap)# match port tcp eq telnet
FW(config-cmap)# show runn class-map

class-map type management MGMT-Telnet
match port tcp eq telnet

FW(config)# policy-map Inside-MGMT-telnet
FW(config-pmap)# class MGMT-Telnet 关联calss-map

FW(config-pmap-c)# ? 对匹配流量的管理行为

MPF policy-map class configuration commands:
exit Exit from MPF class action configuration mode
help Help for MPF policy-map class/match submode commands
no Negate or set default values of a command
quit Exit from MPF class action configuration mode
service-policy Configure QoS Service Policy
set Set connection values
shape Traffic Shaping
user-statistics configure user statistics for identity firewall
<cr>
flow-export Configure filters for NetFlow events
inspect Protocol inspection services

FW(config-pmap-c)# set connection conn-max 1 最大连接数为1 (telnet)

FW(config-pmap-c)# show runn policy-map
!
policy-map Behavior
class MatchTraffic
inspect http
inspect icmp
policy-map Inside-MGMT-telnet
class MGMT-Telnet
set connection conn-max 1
!

FW(config)# service-policy Inside-MGMT-telnet interface Inside 把服务调用到接口
FW(config)# show runn service-policy
service-policy Behavior global
service-policy Inside-MGMT-telnet interface Inside

添加ICMP监控
FW(config)# class-map inspection_default
FW(config-cmap)# match default-inspection-traffic

FW(config)# class-map inspection_default
FW(config)# policy-map global_policy
FW(config-pmap)# class inspection_default
FW(config-pmap-c)# inspect icmp
FW(config)# service-policy global_policy global 应用到全局

匹配vnp流量
ESP是vpn流量

FW(config)# access-list ESP permit esp any any
FW(config)# class-map ESP-Class
FW(config-cmap)# match access-list ESP
FW(config)# policy-map global_policy
FW(config-pmap)# ?

MPF policy-map configuration commands
class Policy criteria
description Specify policy-map description
exit Exit from MPF policy-map configuration mode
help Help for MPF policy-map configuration commands
no Negate or set default values of a command
rename Rename this policy-map
<cr>
FW(config-pmap)# class ESP-Class
FW(config-pmap-c)# inspect ipsec-pass-thru

FW(config-pmap-c)# show run policy-map
!
policy-map global_policy
class inspection_default
inspect icmp
class ESP-Class
inspect ipsec-pass-thru
policy-map Behavior
class MatchTraffic
inspect http
policy-map Inside-MGMT-telnet
class MGMT-Telnet
set connection conn-max 2
!

ASA会话超时

查看防火墙模式
FW# show firewall

ASA 笔记的更多相关文章

  1. ASP.NET学习笔记(三)ASP Global.asa 文件

    Global.asa 文件 Global.asa 文件是一个可选的文件,它可包含可被 ASP 应用程序中每个页面访问的对象.变量以及方法的声明.所有合法的浏览器脚本都能在 Global.asa 中使用 ...

  2. Oracle学习笔记十一 游标

    游标的简介 游标的概念 游标是从数据表中提取出来的数据,以临时表的形式存放在内存中,在游标中有一个数据指针,在初始状态下指向的是首记录,利用fetch语句可以移动该指针,从而对游标中的数据进行各种操作 ...

  3. 新CCIE笔记-IP网络基础

    南京捷式泰CCIE重修笔记:更完善更系统的全新笔记 新增内容: 总结.关联知识点.行业小建议 各种认证证书: RHCE VCP OCP MCSEPMP ITIL CCA CCIE CCNP CCNA ...

  4. CISCO ASA 5505 经典配置案例

    nterface Vlan2 nameif outside  ----------------------------------------对端口命名外端口  security-level 0 -- ...

  5. web中间件常见漏洞总结笔记

    之前看吐司别人发的个文档,简单记的笔记 ----- IIS     解析漏洞        IIS 6            *.asp;.jpg会被当作asp解析            *.asp/ ...

  6. Upload-labs 测试笔记

    Upload-labs 测试笔记 By:Mirror王宇阳 2019年11月~ 文件上传解析学习 环境要求 若要自己亲自搭建环境,请按照以下配置环境,方可正常运行每个Pass. 配置 项 配置 描述 ...

  7. git-简单流程(学习笔记)

    这是阅读廖雪峰的官方网站的笔记,用于自己以后回看 1.进入项目文件夹 初始化一个Git仓库,使用git init命令. 添加文件到Git仓库,分两步: 第一步,使用命令git add <file ...

  8. js学习笔记:webpack基础入门(一)

    之前听说过webpack,今天想正式的接触一下,先跟着webpack的官方用户指南走: 在这里有: 如何安装webpack 如何使用webpack 如何使用loader 如何使用webpack的开发者 ...

  9. SQL Server技术内幕笔记合集

    SQL Server技术内幕笔记合集 发这一篇文章主要是方便大家找到我的笔记入口,方便大家o(∩_∩)o Microsoft SQL Server 6.5 技术内幕 笔记http://www.cnbl ...

随机推荐

  1. Azure 上通过Automation 实现定时开关虚拟机

    更多内容,请关注公众号: Azure Automation 可以提供一些自动化的功能,比如我们可以指定在每天早上6点开启虚拟机,每天晚上8点关闭虚拟机.同时还提供一些基于监控参数的自动化配置.今天的主 ...

  2. Hyper-V “SP2019SER”无法更改状态。操作失败,错误代码为“32788”。

    卸载Hyper-V,然后重装,再重启已有的Hyper-V服务器,报错如下: 尝试启动选定的虚拟机时出错.“SP2019SER”无法更改状态. 原因:卸载后导致虚拟网卡出现问题导致的. 解决办法: 右击 ...

  3. Vue之富文本tinymce爬坑录

    前言 最近因业务需求在项目中嵌入了tinymce这个富文本编辑器,用于满足平台给用户编辑各类新闻内容什么的业务需求,前后也花了不少时间体验和对比了市面上各类开源编辑器. *案例demo版本:vue-t ...

  4. 集合 set方法

    集合 number = {1, 2, 4} # 添加元素到集合 number.add(100) print(number) # 从集合中删除 number.remove(2) print(number ...

  5. Java_map的key为自定义对象

    首先自定义Key对象 import lombok.AllArgsConstructor; import lombok.Getter; import lombok.Setter; import java ...

  6. [Go] 解决golang.org模块无法下载的问题

    使用GOPROXY环境变量解决proxy.golang.org无法访问问题 在/etc/profile中增加 export GOPROXY=https://goproxy.cn windows下使用 ...

  7. acwing 851. spfa求最短路 模板

    地址 https://www.acwing.com/problem/content/description/853/ 给定一个n个点m条边的有向图,图中可能存在重边和自环, 边权可能为负数. 请你求出 ...

  8. [译]Vulkan教程(10)交换链

    [译]Vulkan教程(10)交换链 Vulkan does not have the concept of a "default framebuffer", hence it r ...

  9. 【RTOS】基于V7开发板的最新版uCOS-III V3.07.03程序模板,含MDK和IAR,支持uC/Probe,与之前版本变化较大

    模板下载: 链接:https://pan.baidu.com/s/1_4z_Lg51jMT87RrRM6Qs3g   提取码:2gns 对MDK的AC6也做了支持:https://www.cnblog ...

  10. oracle 查询数据一直提示:“error code [17004]; 无效的列类型”111111

    oracle 查询数据一直提示:“error code [17004]; 无效的列类型”111111 问题场景:oracle,jpa,insert原因:插入的字段中有null.导致类型转换出问题,这个 ...