Cisco ASA 5510 配置

Cisco  ASA 5510 （8.2） 配置過程

 

1.       爲了配置簡單，準備安裝ASDM（6.5）圖形管理界面，經過查看手冊和網上收集資料，我具體安裝方法如下：

1）  從隨機光盤裏安裝Java，然後安裝ASDM，安裝比較簡單，也不需要做什麼配置；剛開始是win7 64位操作系統，然後直接安裝ASDM，提示需要安裝Java，直接從Oracle 網上下載最新版本安裝，再安裝ASDM還是提示需要安裝Java，懷疑環境變量的問題，進行設置，還是沒有弄好。系統本來有點慢，格了安裝XP，直接從光盤安裝Java（1.6），再安裝ASDM，什麼也不用設置，一切正常。

2）  用串口線連接進5510，需要進行簡單設置才能使用ASDM正常登錄。

串口下輸入以下命令：

 

ciscoasa>

 

ciscoasa> en

 

Password:

 

ciscoasa# conf  t                         進入全局模式

 

ciscoasa(config)# web***     進入WEB***模式（經過測試不進這個模式，直接設置用戶名和密碼也可以）

 

ciscoasa(config-web***)# username cisco password cisco  新建一個用戶和密碼

 

ciscoasa(config)# int m 0/0          進入管理口

 

ciscoasa(config-if)# ip address 172.16.0.1 255.255.255.0  添加IP地址（新設備默認就有管理IP：192.168.1.1）

 

ciscoasa(config-if)# nameif guanli          給管理口設個名字

 

ciscoasa(config-if)# no shutdown          激活接口

 

ciscoasa(config)#q                      退出管理接口

 

ciscoasa(config)# http server enable        開啓HTTP服務

 

ciscoasa(config)# http 172.16.0.0 255.255.255.0 guanli    在管理口設置可管理的IP地址

 

ciscoasa(config)# show run           查看一下配置

 

ciscoasa(config)# wr m               保存

 

經過以上配置就可以用ASDM配置防火牆了。

由於我提前安裝了ASDM所以下面的方法沒有操作：

經過上面的配置以後，用交叉線把電腦和防火牆的管理口相連，把電腦設成和管理口段的IP地址,本例中設爲172.16.0.0 段的IP打開瀏覽器在地址欄中輸入管理口的IP地址:

 

https://172.16.0.1

 

彈出一下安全證書對話框，單擊 “是”

 

輸入用戶名和密碼（就是在串口的WEB***模式下新建的用戶和密碼），然後點擊“確定”。

 

出現也下對話框，點擊"Download ASDM Launcher and Start ASDM"開始安裝ASDM管理器，安裝完以後從網上下載一個JAVA虛擬機軟件(使用1.4以上 Java 版本)，進入WWW.JAVA.COM下載安裝，安裝完後點擊下面的"Run ASDM as a Java Applet ”。

 

出現以下對話框， 點擊“是”。

 

出現以下對話框，輸入用戶名和密碼（就是在串口的WEB***模式下新建的用戶和密碼），然後點擊“是”。

 

出現以下對話框，點擊“是”。

 

進入ASDM管理器。

 

這樣就可以通過ASDM來配置防火牆了。

 

以後就可以直接使用ASDM來管理防火牆了。

 

2.       其實使用ASDM配置不是很方便，下面介紹命令行模式下的配置方法：

根據我們的實際情況，要內網使用防火牆，所以要使用透明模式：

ciscoasa>

 

ciscoasa> en

 

Password:

 

ciscoasa# conf  t                         進入全局模式

 

 

ciscoasa(config)#  firewall transparent          打開透明模式（更改模式後，之前所有的設置都清空）

ciscoasa(config)# int e0/0     進入端口模式

ciscoasa(config-if)#nameif outside     設定端口名稱爲outside 出口

ciscoasa(config-if)#no sh        打開端口

ciscoasa(config-if)#q      退出端口模式

ciscoasa(config)#

ciscoasa(config)# int e0/1     進入端口模式

ciscoasa(config-if)#nameif inside     設定端口名稱爲inside 出口

ciscoasa(config-if)#no sh        打開端口

ciscoasa(config-if)#q      退出端口模式

ciscoasa(config)#

ciscoasa(config)#ip add 172.16.0.10 255.255.255.0 配置一個管理地址

透明模式的設置基本就可以了，默認inside到outside的是允許的，但outside到inside是拒絕的，需要配置acl來打開。

寫兩個acl的例子吧

ciscoasa(config)#access-list 101 extended permit icmp any any    允許ping的acl 加extended 是可擴展的列表，應用一次就可以了

 

ciscoasa(config)#access-group 101 in interface outside     將acl應用到outside端口的in方向

ciscoasa(config)#access-list 101 extended permit tcp any host 172.16.0.11 eq 80   開放內網172.16.0.11的80端口給外網

ciscoasa(config)#access-list 101 extended permit tcp any host 172.16.0.12 range 20 23  開放內網172.16.0.12的20到23號端口

 

3.       打開telnet

ciscoasa(config)#telnet 0.0.0.0 0.0.0.0 inside 設置可以telnet的地址

ciscoasa(config)#password admin  設置登錄telnet的密碼