Cisco ASA 5510 (8.2) 配置過程
1. 爲了配置簡單,準備安裝ASDM(6.5)圖形管理界面,經過查看手冊和網上收集資料,我具體安裝方法如下:
1) 從隨機光盤裏安裝Java,然後安裝ASDM,安裝比較簡單,也不需要做什麼配置;剛開始是win7 64位操作系統,然後直接安裝ASDM,提示需要安裝Java,直接從Oracle 網上下載最新版本安裝,再安裝ASDM還是提示需要安裝Java,懷疑環境變量的問題,進行設置,還是沒有弄好。系統本來有點慢,格了安裝XP,直接從光盤安裝Java(1.6),再安裝ASDM,什麼也不用設置,一切正常。
2) 用串口線連接進5510,需要進行簡單設置才能使用ASDM正常登錄。
串口下輸入以下命令:
ciscoasa>
ciscoasa> en
Password:
ciscoasa# conf t 進入全局模式
ciscoasa(config)# web*** 進入WEB***模式(經過測試不進這個模式,直接設置用戶名和密碼也可以)
ciscoasa(config-web***)# username cisco password cisco 新建一個用戶和密碼
ciscoasa(config)# int m 0/0 進入管理口
ciscoasa(config-if)# ip address 172.16.0.1 255.255.255.0 添加IP地址(新設備默認就有管理IP:192.168.1.1)
ciscoasa(config-if)# nameif guanli 給管理口設個名字
ciscoasa(config-if)# no shutdown 激活接口
ciscoasa(config)#q 退出管理接口
ciscoasa(config)# http server enable 開啓HTTP服務
ciscoasa(config)# http 172.16.0.0 255.255.255.0 guanli 在管理口設置可管理的IP地址
ciscoasa(config)# show run 查看一下配置
ciscoasa(config)# wr m 保存
經過以上配置就可以用ASDM配置防火牆了。
由於我提前安裝了ASDM所以下面的方法沒有操作:
經過上面的配置以後,用交叉線把電腦和防火牆的管理口相連,把電腦設成和管理口段的IP地址,本例中設爲172.16.0.0 段的IP打開瀏覽器在地址欄中輸入管理口的IP地址:
https://172.16.0.1
彈出一下安全證書對話框,單擊 “是”
輸入用戶名和密碼(就是在串口的WEB***模式下新建的用戶和密碼),然後點擊“確定”。
出現也下對話框,點擊"Download ASDM Launcher and Start ASDM"開始安裝ASDM管理器,安裝完以後從網上下載一個JAVA虛擬機軟件(使用1.4以上 Java 版本),進入WWW.JAVA.COM下載安裝,安裝完後點擊下面的"Run ASDM as a Java Applet ”。
出現以下對話框, 點擊“是”。
出現以下對話框,輸入用戶名和密碼(就是在串口的WEB***模式下新建的用戶和密碼),然後點擊“是”。
出現以下對話框,點擊“是”。
進入ASDM管理器。
這樣就可以通過ASDM來配置防火牆了。
以後就可以直接使用ASDM來管理防火牆了。
2. 其實使用ASDM配置不是很方便,下面介紹命令行模式下的配置方法:
根據我們的實際情況,要內網使用防火牆,所以要使用透明模式:
ciscoasa>
ciscoasa> en
Password:
ciscoasa# conf t 進入全局模式
ciscoasa(config)# firewall transparent 打開透明模式(更改模式後,之前所有的設置都清空)
ciscoasa(config)# int e0/0 進入端口模式
ciscoasa(config-if)#nameif outside 設定端口名稱爲outside 出口
ciscoasa(config-if)#no sh 打開端口
ciscoasa(config-if)#q 退出端口模式
ciscoasa(config)#
ciscoasa(config)# int e0/1 進入端口模式
ciscoasa(config-if)#nameif inside 設定端口名稱爲inside 出口
ciscoasa(config-if)#no sh 打開端口
ciscoasa(config-if)#q 退出端口模式
ciscoasa(config)#
ciscoasa(config)#ip add 172.16.0.10 255.255.255.0 配置一個管理地址
透明模式的設置基本就可以了,默認inside到outside的是允許的,但outside到inside是拒絕的,需要配置acl來打開。
寫兩個acl的例子吧
ciscoasa(config)#access-list 101 extended permit icmp any any 允許ping的acl 加extended 是可擴展的列表,應用一次就可以了
ciscoasa(config)#access-group 101 in interface outside 將acl應用到outside端口的in方向
ciscoasa(config)#access-list 101 extended permit tcp any host 172.16.0.11 eq 80 開放內網172.16.0.11的80端口給外網
ciscoasa(config)#access-list 101 extended permit tcp any host 172.16.0.12 range 20 23 開放內網172.16.0.12的20到23號端口
3. 打開telnet
ciscoasa(config)#telnet 0.0.0.0 0.0.0.0 inside 設置可以telnet的地址
ciscoasa(config)#password admin 設置登錄telnet的密碼