TELNET的配置:
ASA-802(config)# telnet 192.168.100.101 255.255.255.255 inside //設置允許從inside接口telnet到ASA防火牆
ASA-802(config)# telnet timeout 3 //設置TELNET的超時間爲3分鐘。
ASA-802(config)#
SSH的配置:
ASA-802(config)# domain xfzhou.com //給ASA配置一個域名,SSH生成KEY的時候要用到
ASA-802(config)# hostname ASA //配置主機名,SSH生成KEY的時候要用到
ASA(config)# crypto key generate rsa //生成一個KEY
WARNING: You have a RSA keypair already defined named <Default-RSA-Key>.
Do you really want to replace them? [yes/no]: yes //這是因爲我前面已經生成了一個KEY
Keypair generation process begin. Please wait...
ASA(config)# ssh 192.168.100.101 255.255.255.255 inside //這裏我是測試下,所以就直接使用inside接口了。生產中一般是outside接口。即:#ssh 0 0 outside
ASA(config)# ssh version 2 //這個是SSH的版本,要看你的ASA支持的加密算法我公司的就不支持3DES,所以用不了版本2,只能用版本1
ASA(config)# ssh timeout 5 //設置SSH 超時時間
ASA(config)#
再來說下如何設置密碼:
ASA(config)# passwd telnetpwd //telnet進入到ASA時,進入用戶模式的密碼,但是,如果telnet也啓用了本地用戶認證的話,這個密碼就沒有用了。
ASA(config)# enable password enpwd //這個密碼是從用戶模式到特權模式對TELNET和SSH都有用。
ASA(config)#
ASA(config)# username admin password admin123 //添加一個本地用戶admin,併爲其設置密碼。
ASA(config)#
ASA(config)#
ASA(config)# aaa authentication ssh console LOCAL //設置SSH使用本地用戶認證
ASA(config)# aaa authentication telnet console LOCAL //設置TELNET使用本地用戶認證
還有一個命令比較怪:ASA(config)# aaa authentication enable console LOCAL 這個是說把enable密碼也使用本地用戶的密碼,由於第一道防線就是使用用戶自己的密碼來驗證的,如果這個enable的密碼也使用這個驗證的話,那就有點不安全了,所以一般不配置這行。
最後,個人感覺還是要在防火牆上的outside接口對流量進行放行,但是實際上不做也是可以的。難道是ssh 0 0 outside這個起效果??