CISCO ASA 5505的配置

hoyt

进来新到了一个ASA5505的防火墙，研究了如何进行简单的配置。主要分为以下几个部分。

分区

    防火墙分为几个区，一般来说分为inside，outside和dmz。inside表示内网，outside表示外网，dmz表示服务器区。在ASA上面这个可以通过vlan来进行区分，即我们可以分为三个vlan。我们简单一点就分为两个区。

创建内网分区

interface Vlan1
 nameif inside
 ip address 10.10.20.254 255.255.255.0

创建外网分区

interface Vlan2
 nameif outside
 ip address 192.168.54.40 255.255.255.0
分区的名字通过nameif指定，ip地址通过ip命令配置。

进行NAT操作

内网访问外网要进行NAT的映射操作，这个通过下面的命令进行完成

 nat (inside) 1 10.10.20.0 255.255.255.0
 global (outside) 1 interface
 access-list outsideacl extended permit icmp any any
最后一行主要是用于内网可以ping外网

配置SSH登录

username admin password 123456
 aaa authentication ssh console LOCAL
 ssh host 0.0.0.0 0.0.0.0 inside
 ssh host 0.0.0.0 0.0.0.0 outside
 ssh version 2
 

内部地址映射

为了见一个内部服务器映射到公网上面，可以采用static命令

 static (inside,outside) 192.168.54.42 10.10.20.50
 access-list outsideacl extended permit ip any host 192.168.54.42
这个表示公网地址192.168.54.42为内网地址10.10.20.50

内部端口映射

可以将内部的一个端口映射到公网上面去

 static (inside,outside) tcp 192.168.54.41 ssh 10.10.20.56 ssh
 access-list outsideacl extended permit tcp any host 192.168.54.41 eq ssh
这个表示外面访问54.41的ssh时候会映射到20.56的ssh端口

外部访问规则的控制

前面通过access-list设置了访问的规则，要映射到外网的入口上面去才会生效

 access-group outsideacl in interface outside