ASA5520防火墻雙機(jī)配置.doc

ASA5520防火墻的安裝配置說明一、 通過超級終端連接防火墻。先將防火墻固定在機(jī)架上，接好電源；用隨機(jī)帶來的一根藍(lán)色的線纜將防火墻與筆記本連接起來。注意：該線纜是扁平的，一端是RJ-45接口，要接在防火墻的console端口；另一端是串口，要接到筆記本的串口上.建立新連接，給連接起個名字。選擇COM口，具體COM1還是COM3應(yīng)該根據(jù)自己接的COM來選擇，一般接COM1就可以。選擇9600,回車就可以連接到命令輸入行。二、防火墻提供4種管理訪問模式：1 非特權(quán)模式。防火墻開機(jī)自檢后，就是處于這種模式。系統(tǒng)顯示為firewall 2 特權(quán)模式。 輸入enable進(jìn)入特權(quán)模式，可以改變當(dāng)前配置。顯示為firewall# 3 配置模式。 在特權(quán)模式下輸入configure terminal進(jìn)入此模式，絕大部分的系統(tǒng)配置都在這里進(jìn)行。顯示為firewall(config)#4 監(jiān)視模式。 PIX防火墻在開機(jī)或重啟過程中，按住Escape鍵或發(fā)送一個“Break”字符，進(jìn)入監(jiān)視模式。這里可以更新操作系統(tǒng)映象和口令恢復(fù)。顯示為monitor三、基本配置步驟在PC機(jī)上用串口通過cisco產(chǎn)品控制線連接防火墻的Console口（9600-N-8-1），使用超級終端連接。在提示符的后面有一個大于號“”，你處在asa用戶模式。使用en或者enable命令修改權(quán)限模式。asafirewall en /輸入en 或 enable 回車Password： /若沒有密碼則直接回車即可asafirewall# /此時便擁有了管理員模式，此模式下可以顯示內(nèi)容但不能配置，若要配置必須進(jìn)入到通用模式asafirewall# config t / 進(jìn)入到通用模式的命令asafirewall(config)# hostname sjzpix1 /設(shè)置防火墻的名稱Sjzpix1(config)# password zxm10 /設(shè)置登陸口令為zxm10Sjzpix1(config)# enable password zxm10 /設(shè)置啟動模式口令，用于獲得管理員模式訪問1配置各個網(wǎng)卡Sjzpix1(config)# interface GigabitEthernet0/0 /配置防火墻的E0 端口Sjzpix1(config -if)# security-level 0 /設(shè)置成最低級別Sjzpix1(config -if)# nameif outside /設(shè)置E0 端口為外部端口Sjzpix1(config -if)# speed auto /設(shè)置成自動設(shè)置網(wǎng)口速率Sjzpix1(config-if)# ip address 0 standby 1/ 0 為該防火墻分配的公網(wǎng)IP，為該防火墻公網(wǎng)IP對應(yīng)的掩碼，若該防火墻沒有主備用方式則配置命令中的紅色字體部分不需要配置。若有主備用防火墻則紅色部分必須配置且 1為給備用防火墻分配的公網(wǎng)IP地址Sjzpix1(config-if)# no shutdown /打開防火墻的E0端口Sjzpix1(config)# exit /完成E0 端口的配置，返回上一層/同樣的方式來配置防火墻的E1端口，并將E1端口配置為內(nèi)部端口Sjzpix1(config)# interface GigabitEthernet0/1 /配置ETH1 即 E1端口Sjzpix1(config -if)# security-level 100 /設(shè)置成最高級別Sjzpix1(config -if)# nameif inside /設(shè)置E1 端口為內(nèi)部端口Sjzpix1(config -if)# speed auto /設(shè)置成自動設(shè)置網(wǎng)口速率Sjzpix1(config -if)# ip address 0 standby 1/設(shè)置防火墻E1（內(nèi)部）端口的IP，其中：0 為分配給該防火墻的內(nèi)部網(wǎng)絡(luò)IP地址， 為防火墻內(nèi)部IP對應(yīng)的掩碼，若該防火墻沒有主備用方式則配置命令中紅色字體部分不要配置，若有主備用防火墻則紅色部分必須配置且1為備用防火墻的內(nèi)網(wǎng)IP地址。Sjzpix1(config -if)# no shutdown /打開E1（內(nèi)部）端口Sjzpix1(config)# exit /完成配置，退到上一層Sjzpix1(config)# interface GigabitEthernet0/3Sjzpix1(config)# no shutdown /打開防火墻的E3端口Sjzpix1(config)# exit /完成E3 端口的配置，返回上一層2配置failover主防火墻：failover /啟動failover 功能failover lan unit primary /設(shè)置為主防火墻failover lan interface HA GigabitEthernet0/3 /定義用于Failover通訊的接口failover mac address GigabitEthernet0/1 0018.1900.5000 0018.1900.5001failover mac address GigabitEthernet0/2 0018.1900.6000 0018.1900.6001failover mac address Management0/0 0018.1900.7000 0018.1900.7001failover mac address GigabitEthernet0/0 0018.1900.4000 0018.1900.4001/分別給四塊網(wǎng)卡定義虛擬MAC地址failover interface ip HA standby no asdm history enable /定義主備機(jī)通訊接口的IP然后打開主防火墻的GigabitEthernet0/3口Sjzpix1(config)# interface GigabitEthernet0/3Sjzpix1(config)# no shutdown /打開防火墻的E3端口Sjzpix1(config)# exit /完成E3 端口的配置，返回上一層Sjzpix1(config)#wr mem /寫保存?zhèn)浞阑饓Γ篺ailover /啟動failover 功能failover lan unit secondary /設(shè)置為備防火墻failover lan interface HA GigabitEthernet0/3 /定義用于Failover通訊的接口failover interface ip HA standby /定義主備機(jī)通訊接口的IP然后打開備防火墻的GigabitEthernet0/3口Sjzpix1(config)# interface GigabitEthernet0/3Sjzpix1(config)# no shutdown /打開防火墻的E3端口Sjzpix1(config)# exit /完成E3 端口的配置，返回上一層Sjzpix1(config)#wr mem /寫保存Sjzpix1(config)# quit /退出配置模式Sjzpix1# quit /退出特權(quán)模式用直連網(wǎng)線把對應(yīng)的端口連接起來，重啟備用防火墻，主備就會同步了，只需配置主機(jī)，數(shù)據(jù)就會自動寫入備機(jī)，更多的講解來這里 。直接又去主機(jī)配置：3打開inside接口的telnet訪問權(quán)限：Sjzpix1 (config)# telnet inside /打開inside接口的telnet訪問權(quán)限4配置路由：Sjzpix1(config)# route outside 1 /配置默認(rèn)外網(wǎng)路由關(guān)系，即所有到外網(wǎng)的數(shù)據(jù)都發(fā)送到下一跳網(wǎng)關(guān)。其中為用戶提供給我們的網(wǎng)關(guān)5配置靜態(tài)IP地址翻譯（static）：static (inside,outside) netmask 55static (inside,outside) netmask 55static (inside,outside) netmask 55static (inside,outside) netmask 55static (inside,outside) 1 1 netmask 55說明：如果從外網(wǎng)發(fā)起一個會話，會話的目的地址是一個內(nèi)網(wǎng)的ip地址，static就把內(nèi)部地址翻譯成一個指定的全局地址，允許這個會話建立。使用static命令可以讓我們?yōu)橐粋€特定的內(nèi)部ip地址設(shè)置一個永久的全局ip地址。這樣就能夠?yàn)榫哂休^低安全級的指定接口創(chuàng)建一個入口，使它們可以進(jìn)入到具有較高安全級別的指定接口。6配置access-listaccess-list acl_out extended permit icmp any anyaccess-list acl_out extended permit tcp any host 1 eq wwwaccess-list acl_out extended permit tcp any host eq 5000access-list acl_out extended permit tcp any host eq 8000access-list inside_access_in extended permit ip any any7保存退出Sjzpix1(config)#wr mem /寫保存Sjzpix1(config)# quit /退出配置模式Sjzpix1# quit /退出特權(quán)模式8其它1) 防火墻密碼修改：用命令passwd進(jìn)行修改，passwd zxm102) 防火墻配置的其它問題在配置的過程中可以用ping inside/outside命令ping外網(wǎng)或內(nèi)網(wǎng)的IP；用show run命令查看當(dāng)前所有的配置信息，用show+“某條命令”查看該命令的當(dāng)前配置；用no+“某條命令”刪除該命令的配置。3）重啟通常使用reload命令重啟系統(tǒng)4）設(shè)置防火墻時鐘 Firewall(config)# clock set hh:mm:ss day month | month day year 時鐘驗(yàn)證 Firewall# show clock附福州交行項(xiàng)目ASA5520主防火墻配置信息：ASA Version 7.0(6)!hostname fzjh1enable password ASWgRbIxBbmIUxtm encryptednamesdns-guard!interface GigabitEthernet0/0 nameif outside security-level 0 ip address 0 standby 1!interface GigabitEthernet0/1 nameif inside security-level 100 ip address 0 standby 1!interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address!interface GigabitEthernet0/3 description LAN Failover Interface!interface Management0/0 nameif management security-level 100 ip address management-only!passwd ASWgRbIxBbmIUxtm encryptedftp mode passiveaccess-list acl_out extended permit icmp any anyaccess-list acl_out extended permit tcp any host 1 eq wwwaccess-list acl_out extended permit tcp any host eq 5000access-list acl_out extended permit tcp any host eq 8000access-list inside_access_in extended permit ip any anypager lines 24logging asdm informationalmtu outside 1500mtu inside 1500mtu management 1500failoverfailover lan unit primaryfailover lan interface HA GigabitEthernet0/3failover mac address GigabitEthernet0/1 0018.1900.5000 0018.1900.5001failover mac address GigabitEthernet0/2 0018.1900.6000 0018.1900.6001failover mac address Management0/0 0018.1900.7000 0018.1900.7001failover mac address GigabitEthernet0/0 0018.1900.4000 0018.1900.4001failover interface ip HA standby no asdm history enablearp timeout 14400static (inside,outside) netmask 55static (inside,outside) netmask 55static (inside,outside) netmask 55static (inside,outside) netmask 55static (inside,outside) 1 1 netmask 55access-group acl_out in inter