思科防火牆命令手冊

1. 思科防火牆asa5510配置說明誰有

CISCO ASA 基本配置
ciscoasa#conf t 進入全局模式
ciscoasa(config)# hostname cisco 命名
ciscoasa(config)# show running-config 查看當前配置

ciscoasa(config)# show startup-config 查看保存配置

ciscoasa(config)# run star 保存配置

ciscoasa(config)# wr 也可保存配置
刪除配置，可在怎麼配置的前面加NO 就可以
clear config all
write earse
記得 再reload

全部刪除你可以用一下他裡面的clear 命令。注意別把系統給刪除了。

CISCO ASA5510 telnet 配置

ASA5510 telnet 配置及用戶名和密碼配置
telnet 192.168.0.0 255.255.0.0 inside （准許內網IP TELNET到防火牆）
telnet 192.168.1.2 255.255.255.0 inside （准許內網IP 192.168.1.2 TELNET到防火牆）
telnet 0.0.0.0 0.0.0.0 inside 登錄任何地址都可以通過INSIDE 介面TELNET
telnet 0.0.0.0 0.0.0.0 outside 登錄任何地址都可以通過outside 介面TELNET
telnet timeout 5

TELNET 用戶名和密碼配置
#usename name CISCO password //設置登入的帳號和密碼
#aaa authentication telnet console LOCAL //設置AAA驗證方式。 此處為LOCAL本地。也可以用AAA伺服器進入驗證。
#telnet 0.0.0.0 0.0.0.0 inside //哪些地址可telnet進此介面
#telnet timeout 10 //超時時長，以分鍾為單位

CISCO ASA5510埠限速

拓撲圖如下：

限速配置如下：
access-list rate_limit_1 extended permit ip any host 192.168.1.2 //(限制192.168.1.2下載)
access-list rate_limit_1 extended permit ip host 192.168.1.2 any //(限制192.168.1.2上傳)
access-list rate_limit_2 extended permit ip any host 192.168.1.3 //(限制192.168.1.3下載)
access-list rate_limit_2 extended permit ip host 192.168.1.3 any //(限制192.168.1.3上傳)

class-map rate_limit_1
match access-list rate_limit_1
exit
class-map rate_limit_2
match access-list rate_limit_2
exit

policy-map rate_limit
class rate_limit_1
police input 819000 4368000 //(限制192.168.1.2上傳速度為99K/S)
police output 819000 4368000 //(限制192.168.1.2下載速度為99K/S)
class rate_limit_2
police input 819000 4368000 //(限制192.168.1.3上傳速度為99K/S)
police output 819000 4368000 //(限制192.168.1.3上傳速度為99K/S)
exit
exit

service-policy rate_limit interface inside //(應用到介面上)

註：由於是根據單個IP限制速度，所以ACL要寫成一個IP兩句ACL，一個匹配上傳，另一個匹配下載。要是所有IP都寫在一個ACL里，那麼是限制所有IP的共用這99K/s。一定要寫不同的ACL。
police input 819000 4368000 前一個819000速度是基本速率，後一個4368000是突發速率，突發速率可以根據自己來定義(我認為)。

CISCO ASA5510埠映射。

現在要讓內網192.168.1.2的3389埠映射成外網220.178.36.156的3389埠
要把內網192.168.1.3 的4435埠映射成外網220.178.36.156的4435埠

static (inside,outside) tcp interface 3389 192.168.1.2 3389 netmask 255.255.255.255
static (inside,outside) tcp interface 4435 192.168.1.3 4435 netmask 255.255.255.255

access-list outside-inside extended permit tcp any interface outside eq 3389
access-list outside-inside extended permit tcp any interface outside eq 4435
access-group outside-inside in interface outside

語法：Ciscoasa(config)#access-list list-name extended permit tcp/udp any hsot outside_address eq port_num
list_name:訪問控制列表名稱
tcp/udp:需要映射的協議類型
port_num:需要映射的埠號
Ciscoasa(config)#static (inside,outside) tcp/udp interface port_num local_address port_num netmask 255.255.255.255
Tcp/udp:需要映射的協議類型
port_num：映射前的埠號
local_address：映射後的內網主機IP地址
port_num：映射後的埠號
例如：Ciscoasa(config)#access-list 100 extended permit tcp any host 219.139.*.* eq 80
允許外網訪問219.139.*.*的tcp 80埠
Ciscoasa(config)#static (inside,outside) tcp interface 80 192.168.16.254 80 netmask 255.255.255.255
外網訪問218.21.217.162的tcp 80埠時啟用靜態PAT映射到內網192.168.16.254的tcp 80埠
Ciscoasa(config)#access-group 100 in intercae outside per-user-override
訪問必須調用ACL
備注如果，只是需要將內網一個伺服器映射到公網可以這樣做
ciscoasa(config)#static (inside, outside) 219.139.*.* 192.168.16.254
ciscoasa(config)#static (inside, outside) 219.139.*.* 192.168.16.254 10000 10 //後面的10000為限制連接數，10為限制的半開連接數。

CISCO ASA 5510 PAT 配置

ciscoasa# conf t 進入全局配置模式
ciscoasa(config)# hostname gametuzi 命名
gametuzi(config)# hostname gametuzi5510 新的名字
gametuzi5510(config)# int e0/0 進入E0/0 介面
gametuzi5510(config-if)# security-level 0 配置安全級別 因為是外部介面，安全級別為最高

gametuzi5510(config-if)# nameif outside 命名介面為外部介面
gametuzi5510(config-if)# ip address 192.168.3.234 255.255.255.0 添加IP地址
gametuzi5510(config-if)# no shu 啟動埠
gametuzi5510(config-if)# end
gametuzi5510# conf t
gametuzi5510(config)# int e0/1 進入E0/1介面
gametuzi5510(config-if)# security-level 100 設置內部安全級別為100
gametuzi5510(config-if)# nameif inside 命名內部網路
gametuzi5510(config-if)# ip address 10.1.1.1 255.255.0.0 添加IP地址
gametuzi5510(config-if)# no shu
gametuzi5510(config-if)# end
gametuzi5510# conf t
gametuzi5510(config)# global (outside) 1 interface PAT地址轉換！
gametuzi5510(config)# end
gametuzi5510# conf t
gametuzi5510(config)# route outside 0.0.0.0 0.0.0.0 192.168.3.254 默認路由 訪問所有外部地址從192.168.3.254 流出。

gametuzi5510(config)# nat (inside) 1 10.1.0.0 255.255.0.0 內部地址轉換 10.1.0.0 網段

CISCO ASA5510 DHCP 配置
gametuzi5510(config)# dhcpd address 10.1.1.20-10.1.1.150 inside 配置DHCP 可分配網段，並標識為內部介面

gametuzi5510(config)# dhcpd dns 192.168.0.1 添加DNS解析伺服器地址

gametuzi5510(config)# dhcpd domain gametuzi 域名

gametuzi5510(config)# dhcpd enable inside 啟動內部DHCP服務

gametuzi5510(config)# end

gametuzi5510# wr 保存配置

gametuzi5510(config)# access-list icmp_in extended permit icmp any any 潤許PING協議轉發

gametuzi5510(config)# access-group icmp_in in interface outside潤許PING協議轉發

gametuzi5510(config)# end

gametuzi5510# wr

Building configuration...

Cryptochecksum: 32d3d557 0d55d4a3 a1a7fa13 76667f5f

1889 bytes copied in 3.640 secs (629 bytes/sec)

[OK]

2. 思科防火牆怎樣配置WEB界面

思科防火牆telnet、ssh、web登陸配置及密碼配置，相關命令如下：
防火牆默認是不允許內/外網用戶通過遠程登陸或WEB訪問的，需要相應得開啟功能。
1、firewall（config）#telnet 192.168.10.0 255.255.255.0 inside 允許內網此網斷內的機器Telnet到防火牆
2、配置從外網遠程登陸到防火牆
Firewall（config）#domain-name cisco.com
firewall（config）# crypto key generate rsa
firewall（config）#ssh 0.0.0.0 0.0.0.0 outside
3、允許外網所有地址可以遠程登錄防火牆，也可以定義一格具體的地址可以從外網登陸到防火牆上，如：
firewall（config）#ssh 218.240.6.81 255.255.255.255 outside
firewall（config）#enable password cisco
4、由用戶模式進入特權模式的口令
firewall（config）#passrd cisco
5、ssh遠程登陸時用的口令
firewall（config）#username Cisco password Cisco
6、Web登陸時用到的用戶名
firewall（config）#http enable
7、打開http允許內網10網斷通過http訪問防火牆
firewall（config）#http 192.168.10.0 255.255.255.0 inside
firewall（config）#pdm enable
firewall（config）#pdm location 192.168.10.0 255.255.255.0 inside
8、web登陸方式：https://172.16.1.1