三,NAT控制
1)禁用NAT控制(默認是禁用NAT控制的(no nat-control)
這時NAT規則並不必需的,沒做NAT,也允許出站,只是不進行轉換,以真實ip出去。
2)啓用NAT控制( nat-control)
這是NAT規則是要必須有的,不然是出不了站的,沒有匹配的NAT規則。
四,NAT豁免
當啓用了NAT控制時,每個發起連接都需要一個相應的NAT規則,配置了豁免,可以繞過NAT規則。(如***),NAT豁免允許雙向通信。只能允許高級別應用。
配置NAT豁免首先要定義一個ACL,用於指定需要繞過NAT規則的流量。
下面我就根據前面的拓撲進行配置 豁免PC2主機(10.1.1.2)
asa(config)#access-list nonat permit ip 10.1.1.0 255.255.255.0 172.16.16.0 255.255.255.0
asa(config)#nat (inside) 0 access-list nonat
這樣pc2訪問172.16.16.0/24網段中的主機是不做NAT轉換的。
五,遠程管理ASA
1)配置允許telnet接入
asa(config)#telnet 10.1.1.0 255.255.255.0 inside 此配置只允許10.1.1.0/24網段使用telnet接入。
也可以只允許一臺主機使用telnet接入。
asa(config)#telnet 10.1.1.22 255.255.255.255 inside
2)配置ssh接入
cisco asa(config)# host asa 配置主機名
asa(config)#domain-name accp.com 配置域名
asa(config)#passwd 密碼 passwd命令所指定的密碼爲遠程訪問密碼,同樣適用於telnet
asa(config)#crypto key generate rsa modulus 1024 生成RSA密鑰對
asa(config)#write mem 保存密鑰
查看密鑰對
asa(config)#show crypto key mypubkey rsa
允許ssh接入
asa(config)#ssh 10.1.1.0 255.255.255.0 inside
asa(config)#ssh 0 0 outside
asa (config)# ssh version 2
3)配置ASDM接入
1)啓用HTTPS服務器功能
asa(config)#http server enable {port}
2)允許https接入
asa(config)#http 10.1.1.0 255.255.255.0 inside
3)指定ASDM映像的位置
asa(config)#asdm image disk0:/asdmfile
4)配置客戶端登錄使用的用戶名和密碼
asa(config)#username zhangsan password 123456 privileges 15
5)以web的方式運行ASDM
六,日誌管理
日誌信息的安全級別分爲八個等級
0 emergency(非常緊急)
1 alert(緊急)
2 critical(臨界)
3 error(錯誤)
4 warning(警告)
5 notification(注意)
6 information(提醒)
7 debugging(調試)
1)配置日誌
asa(config)# clock timezone peking 8
2)配置時間
asa(config)#clock set 11:30:00 26 sep 2013
3)啓用日誌
asa(config)#logging enable
asa(config)# logging timestamp 啓用時間戳
asa(config)#logging trap information
asa(config)#logging host inside 10.1.1.2