show logging 缓存日志
FW(config)# show run route 查看路由

FW(config)# ip verify reverse-path interface Outside 在Outside接口开启URPF

FW# packet-tracer input inside tcp 10.1.1.2 1024 202.100.1.1 23 detailed 包跟踪

FW# copy runn flash:/preconfig.cfg 配置备份

ciscoasa(config)# route Outside 0.0.0.0 0.0.0.0 202.100.1.1 配置默认路由

配置管理接口:
FW(config)# inter g5
FW(config-if)# management-only
FW(config-if)# nameif mgmt
FW(config-if)# security-level 100
FW(config-if)# ip address 10.10.10.10 255.255.255.0

ACL
access-list outside extended permit tcp host 202.100.1.1 10.1.1.0 255.255.255.0 eq telnet
access-list outside extended permit tcp host 202.100.1.1 192.168.1.0 255.255.255.0 eq www

FW(config)# access-list outside deny ip any any log

FW(config)# access-group outside in interface Outside 在接口入方向调用访问控制列表outside

FW(config)# sh run access-group 查看调用

查看时间
FW(config)# show clock

基于时间的ACL
FW(config)# time-range TimeLimit
FW(config-time-range)# periodic weekdays 08:00 to 21:00
access-list outside line 2 permit tcp 202.100.1.0 255.255.255.0 10.1.1.1 255.255.255.255 eq www time-range TimeLimit

FW(config-time-range)# show access-list 查看ACL详细信息

Object-Group 技术允许创建一个可以重复使用的地址和服务绑定集

FW(config)# object network server01
FW(config-network-object)# host 10.1.1.1
FW(config)# object-group network Group-Network
FW(config-network-object-group)# network-object object server01

FW# sh run object
object network In_filter
object network server01
host 10.1.1.1

FW(config)# object-group service Group-Server
FW(config-service-object-group)# service-object icmp
FW(config-service-object-group)# service-object esp
FW(config-service-object-group)# service-object tcp destination eq ftp
FW(config-service-object-group)# service-object udp

W(config)# Group-Network

object-group network Group-Network
network-object object server01

object-group service Group-Server
service-object icmp
service-object esp
service-object tcp
service-object udp
service-object udp destination eq domain
service-object tcp destination eq ftp

access-list outside line 01 permit object-group Group-Server 202.100.1.0 255.255.255.0 object-group Group-Network

FW(config)# sh run access-list
access-list outside extended permit object-group Group-Server 202.100.1.0 255.255.255.0 object-group Group-Network
access-list outside extended permit tcp host 202.100.1.1 10.1.1.0 255.255.255.0 eq telnet
access-list outside extended permit tcp 202.100.1.0 255.255.255.0 host 192.168.1.1 eq www time-range TimeLimit
access-list outside extended permit tcp 202.100.1.0 255.255.255.0 host 10.1.1.1 eq www time-range TimeLimit
access-list outside extended deny ip any any log

MPF

FW(config)# class-map MatchTraffic
FW(config)# policy-map Behavior
FW(config-pmap)# class MatchTraffic
FW(config-pmap-c)# ?
MPF policy-map class configuration commands:
exit Exit from MPF class action configuration mode
help Help for MPF policy-map class/match submode commands
no Negate or set default values of a command
police Rate limit traffic for this class
priority Strict scheduling priority for this class
quit Exit from MPF class action configuration mode
service-policy Configure QoS Service Policy
set Set connection values
shape Traffic Shaping
user-statistics configure user statistics for identity firewall
<cr>
csc Content Security and Control service module
flow-export Configure filters for NetFlow events
inspect Protocol inspection services
ips Intrusion prevention services

FW(config-pmap-c)# inspect http
FW(config-pmap-c)# end

FW(config)# service-policy Behavior interface Outside 调用到接口

FW(config)# http server telnet
FW(config)# telnet 10.1.1.0 255.255.255.0 inside 开启telnet服务
FW(config)# username admin password cisco123 privilege 15 配置用户及密码
FW(config)# aaa authentication telnet console LOCAL 本地aaa认证对telnet服务

配置管理是端口
FW(config)# class-map type management MGMT-Telnet
FW(config-cmap)# match port tcp eq telnet
FW(config-cmap)# show runn class-map

class-map type management MGMT-Telnet
match port tcp eq telnet

FW(config)# policy-map Inside-MGMT-telnet
FW(config-pmap)# class MGMT-Telnet 关联calss-map

FW(config-pmap-c)# ? 对匹配流量的管理行为

MPF policy-map class configuration commands:
exit Exit from MPF class action configuration mode
help Help for MPF policy-map class/match submode commands
no Negate or set default values of a command
quit Exit from MPF class action configuration mode
service-policy Configure QoS Service Policy
set Set connection values
shape Traffic Shaping
user-statistics configure user statistics for identity firewall
<cr>
flow-export Configure filters for NetFlow events
inspect Protocol inspection services

FW(config-pmap-c)# set connection conn-max 1 最大连接数为1 (telnet)

FW(config-pmap-c)# show runn policy-map
!
policy-map Behavior
class MatchTraffic
inspect http
inspect icmp
policy-map Inside-MGMT-telnet
class MGMT-Telnet
set connection conn-max 1
!

FW(config)# service-policy Inside-MGMT-telnet interface Inside 把服务调用到接口
FW(config)# show runn service-policy
service-policy Behavior global
service-policy Inside-MGMT-telnet interface Inside

添加ICMP监控
FW(config)# class-map inspection_default
FW(config-cmap)# match default-inspection-traffic

FW(config)# class-map inspection_default
FW(config)# policy-map global_policy
FW(config-pmap)# class inspection_default
FW(config-pmap-c)# inspect icmp
FW(config)# service-policy global_policy global 应用到全局

匹配vnp流量
ESP是vpn流量

FW(config)# access-list ESP permit esp any any
FW(config)# class-map ESP-Class
FW(config-cmap)# match access-list ESP
FW(config)# policy-map global_policy
FW(config-pmap)# ?

MPF policy-map configuration commands
class Policy criteria
description Specify policy-map description
exit Exit from MPF policy-map configuration mode
help Help for MPF policy-map configuration commands
no Negate or set default values of a command
rename Rename this policy-map
<cr>
FW(config-pmap)# class ESP-Class
FW(config-pmap-c)# inspect ipsec-pass-thru

FW(config-pmap-c)# show run policy-map
!
policy-map global_policy
class inspection_default
inspect icmp
class ESP-Class
inspect ipsec-pass-thru
policy-map Behavior
class MatchTraffic
inspect http
policy-map Inside-MGMT-telnet
class MGMT-Telnet
set connection conn-max 2
!

ASA会话超时

查看防火墙模式
FW# show firewall

ASA 笔记的更多相关文章

  1. ASP.NET学习笔记(三)ASP Global.asa 文件

    Global.asa 文件 Global.asa 文件是一个可选的文件,它可包含可被 ASP 应用程序中每个页面访问的对象.变量以及方法的声明.所有合法的浏览器脚本都能在 Global.asa 中使用 ...

  2. Oracle学习笔记十一 游标

    游标的简介 游标的概念 游标是从数据表中提取出来的数据,以临时表的形式存放在内存中,在游标中有一个数据指针,在初始状态下指向的是首记录,利用fetch语句可以移动该指针,从而对游标中的数据进行各种操作 ...

  3. 新CCIE笔记-IP网络基础

    南京捷式泰CCIE重修笔记:更完善更系统的全新笔记 新增内容: 总结.关联知识点.行业小建议 各种认证证书: RHCE VCP OCP MCSEPMP ITIL CCA CCIE CCNP CCNA ...

  4. CISCO ASA 5505 经典配置案例

    nterface Vlan2 nameif outside  ----------------------------------------对端口命名外端口  security-level 0 -- ...

  5. web中间件常见漏洞总结笔记

    之前看吐司别人发的个文档,简单记的笔记 ----- IIS     解析漏洞        IIS 6            *.asp;.jpg会被当作asp解析            *.asp/ ...

  6. Upload-labs 测试笔记

    Upload-labs 测试笔记 By:Mirror王宇阳 2019年11月~ 文件上传解析学习 环境要求 若要自己亲自搭建环境,请按照以下配置环境,方可正常运行每个Pass. 配置 项 配置 描述 ...

  7. git-简单流程(学习笔记)

    这是阅读廖雪峰的官方网站的笔记,用于自己以后回看 1.进入项目文件夹 初始化一个Git仓库,使用git init命令. 添加文件到Git仓库,分两步: 第一步,使用命令git add <file ...

  8. js学习笔记:webpack基础入门(一)

    之前听说过webpack,今天想正式的接触一下,先跟着webpack的官方用户指南走: 在这里有: 如何安装webpack 如何使用webpack 如何使用loader 如何使用webpack的开发者 ...

  9. SQL Server技术内幕笔记合集

    SQL Server技术内幕笔记合集 发这一篇文章主要是方便大家找到我的笔记入口,方便大家o(∩_∩)o Microsoft SQL Server 6.5 技术内幕 笔记http://www.cnbl ...

随机推荐

  1. Unity 声音处理 之 语音识别

    音量检测 检测当前麦克风的输入音量 using System.Collections; using System.Collections.Generic; using UnityEngine; usi ...

  2. k8s的yaml说明

    理解k8s里的几个概念 Kubernetes 通过各种 Controller 来管理 Pod 的生命周期.为了满足不同业务场景,Kubernetes 开发了 Deployment.ReplicaSet ...

  3. ASP.NET MVC快速开发框架FastExecutor开发全过程感受及总结

    困境 追溯到2018年5月份,是个炎热的夏天,毕业后1年7个月我提出了离职,原因是受不了原来公司过度的封装框架感觉一年多毫无进步与实施天天轰炸般的电话,偶然间出去面试了一次发现自己知识真的是比较局限, ...

  4. 这7个npm命令将帮助您节省时间

    作为JavaScript开发人员,NPM是我们一直使用的东西,并且我们的脚本在终端上连续运行. 如果我们可以节省一些时间呢? 1.直接从npm打开文档 如果我们可以直接使用npm跳转到软件包的文档怎么 ...

  5. Flutter 快速上手定时器/倒计时及实战讲解

    本文微信公众号「AndroidTraveler」首发. 今天给大家讲讲 Flutter 里面定时器/倒计时的实现. 一般有两种场景: 我只需要你在指定时间结束后回调告诉我.回调只需要一次. 我需要你在 ...

  6. SVN 创建发行版/分支版的步骤

    最近看了很多 Git 与 SVN 的比较,很多都说 SVN 做分支很慢,不知道是从何说起.有可能大家都不清楚,SVN 做分支的正确步骤,特此介绍一下. SVN 服务器后台使用 Berkeley DB ...

  7. 使用Data Guard迁移到RAC (Doc ID 273015.1)

    Migrating to RAC using Data Guard (Doc ID 273015.1) APPLIES TO: Oracle Database Cloud Exadata Servic ...

  8. No package gcc48-c++ available

    yum install gcc48-c++ linux 下编译安装 rocksdb,发现没有这个 gcc48-c++,感觉这个48 应该是版本号,于是在 yum install gcc-c++,安装成 ...

  9. android 启动流程 相关 杂项记录

    Android原生流程 Init进程 主要流程及分支梳理 ueventd_main()watchdogd_main()主要流程a) 公共部分 增加PATH 环境变量初始化内核日志,打开/dev/kms ...

  10. Java之Lambda表达式

    函数式编程思想概述 面向对象过分强调“必须通过对象的形式来做事情”,而函数式思想则尽量忽略面向对象的复杂语法——强调做什么,而不是以什么形式做. 面向对象的思想: 做一件事情,找一个能解决这个事情的对 ...