思科防火墙 PIX ASA 配置总结

思科防火墙 PIX ASA 配置总结一(基础)：

思科防火墙已经从PIX发展到ASA了，IOS也已经从早期的6.0发展到7.2。但总体的配置思路并没有多少变化。只是更加人性化，更加容易配置和管理了。

下面是我工作以来的配置总结，有些东西是6.3版本的，但不影响在7.*版本的配置。

一：6个基本命令： nameif、 interface、 ip address 、nat、 global、 route。

二：基本配置步骤：

step1: 命名接口名字

nameif ethernet0 outside security0

nameif ethernet1 inside security100

nameif ethernet2 dmz security50

**7版本的配置是先进入接口再命名。

step2：配置接口速率

interface ethernet0 10full auto

interface ethernet1 10full auto

interface ethernet2 10full

step3：配置接口地址

ip address outside

ip address inside

ip address dmz

step4：地址转换(必须)

* 安全高的区域访问安全低的区域(即内部到外部)需NAT和global;

nat(inside) 1

global(outside) 1

*** nat (inside) 0 表示这个地址不需要转换。直接转发出去。

* 如果内部有服务器需要映射到公网地址(外网访问内网)则需要static和conduit或者acl.

static (inside, outside)

static (inside, outside) 10000 10

后面的'10000为限制连接数，10为限制的半开连接数。

conduit permit tcp host eq www any

conduit permit icmp any any (这个命令在做测试期间可以配置，测试完之后要关掉，防止不必要的漏洞)

ACL实现的功能和conduit一样都可实现策略访问，只是ACL稍微麻烦点。conduit现在在7版本已经不能用了。

Access-list 101 permit tcp any host eq www

Access-group 101 in interface outside (绑定到接口)

***允许任何地址到主机地址为的www的tcp访问。

Step5：路由定义：Route outside 0 0 1

Route inside 1

**如果内部网段不是直接接在防火墙内口，则需要配置到内部的路由。

Step6：基础配置完成，保存配置。

Write memory write erase 清空配置

reload