进来新到了一个ASA5505的防火墙,研究了如何进行简单的配置。主要分为以下几个部分。
分区
防火墙分为几个区,一般来说分为inside,outside和dmz。inside表示内网,outside表示外网,dmz表示服务器区。在ASA上面这个可以通过vlan来进行区分,即我们可以分为三个vlan。我们简单一点就分为两个区。
创建内网分区
interface Vlan1 nameif inside ip address 10.10.20.254 255.255.255.0
创建外网分区
interface Vlan2 nameif outside ip address 192.168.54.40 255.255.255.0 分区的名字通过nameif指定,ip地址通过ip命令配置。
进行NAT操作
内网访问外网要进行NAT的映射操作,这个通过下面的命令进行完成
nat (inside) 1 10.10.20.0 255.255.255.0 global (outside) 1 interface access-list outsideacl extended permit icmp any any 最后一行主要是用于内网可以ping外网
配置SSH登录
username admin password 123456 aaa authentication ssh console LOCAL ssh host 0.0.0.0 0.0.0.0 inside ssh host 0.0.0.0 0.0.0.0 outside ssh version 2
内部地址映射
为了见一个内部服务器映射到公网上面,可以采用static命令
static (inside,outside) 192.168.54.42 10.10.20.50 access-list outsideacl extended permit ip any host 192.168.54.42 这个表示公网地址192.168.54.42为内网地址10.10.20.50
内部端口映射
可以将内部的一个端口映射到公网上面去
static (inside,outside) tcp 192.168.54.41 ssh 10.10.20.56 ssh access-list outsideacl extended permit tcp any host 192.168.54.41 eq ssh 这个表示外面访问54.41的ssh时候会映射到20.56的ssh端口
外部访问规则的控制
前面通过access-list设置了访问的规则,要映射到外网的入口上面去才会生效
access-group outsideacl in interface outside |