防火墙

防火墙（基础）：

一：6个基本命令： nameif、 interface、 ip address 、nat、 global、 route。

二：基本配置步骤：

step1: 命名接口名字
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50

7版本的配置是先进入接口再命名。

step2：配置接口速率

interface ethernet0 10full auto
interface ethernet1 10full auto
interface ethernet2 10full

step3：配置接口地址

ip address outside 218.106.185.82
ip address inside 192.168.100.1 255.255.255.0
ip address dmz 192.168.200.1 255.255.255.0

step4：地址转换

* 安全高的区域访问安全低的区域（即内部到外部）需NAT和global;
nat(inside) 1 192.168.1.1 255.255.255.0
global(outside) 1 222.240.254.193 255.255.255.248

 nat (inside) 0 192.168.1.1 255.255.255.255 表示192.168.1.1这个地址不需要转换。直接转发出去。

* 如果内部有服务器需要映射到公网地址(外网访问内网)则需要static和conduit或者acl.
static (inside, outside) 222.240.254.194 192.168.1.240
static (inside, outside) 222.240.254.194 192.168.1.240 10000 10

后面的10000为限制连接数，10为限制的半开连接数。

conduit permit tcp host 222.240.254.194 eq www any
conduit permit icmp any any (这个命令在做测试期间可以配置，测试完之后要关掉，防止不必要的漏洞)

ACL的功能实现
Access-list 101 permit tcp any host 222.240.254.194 eq www
Access-group 101 in interface outside (绑定到接口)

允许任何地址到主机地址为222.240.254.194的www的tcp访问。

Step5：路由定义：
Route outside 0 0 222.240.254.193 1
Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1

如果内部网段不是直接接在防火墙内口，则需要配置到内部的路由。

Step6：基础配置完成，保存配置。
Write memory write erase 清空配置
reload