ASA5520防火墻雙機配置.doc

ASA5520防火墻的安裝配置說明一、 通過超級終端連接防火墻。先將防火墻固定在機架上，接好電源；用隨機帶來的一根藍色的線纜將防火墻與筆記本連接起來。注意：該線纜是扁平的，一端是RJ-45接口，要接在防火墻的console端口；另一端是串口，要接到筆記本的串口上.建立新連接，給連接起個名字。選擇COM口，具體COM1還是COM3應該根據(jù)自己接的COM來選擇，一般接COM1就可以。選擇9600,回車就可以連接到命令輸入行。二、防火墻提供4種管理訪問模式：1 非特權模式。防火墻開機自檢后，就是處于這種模式。系統(tǒng)顯示為firewall 2 特權模式。 輸入enable進入特權模式，可以改變當前配置。顯示為firewall# 3 配置模式。 在特權模式下輸入configure terminal進入此模式，絕大部分的系統(tǒng)配置都在這里進行。顯示為firewall(config)#4 監(jiān)視模式。 PIX防火墻在開機或重啟過程中，按住Escape鍵或發(fā)送一個“Break”字符，進入監(jiān)視模式。這里可以更新操作系統(tǒng)映象和口令恢復。顯示為monitor三、基本配置步驟在PC機上用串口通過cisco產品控制線連接防火墻的Console口（9600-N-8-1），使用超級終端連接。在提示符的后面有一個大于號“”，你處在asa用戶模式。使用en或者enable命令修改權限模式。asafirewall en /輸入en 或 enable 回車Password： /若沒有密碼則直接回車即可asafirewall# /此時便擁有了管理員模式，此模式下可以顯示內容但不能配置，若要配置必須進入到通用模式asafirewall# config t / 進入到通用模式的命令asafirewall(config)# hostname sjzpix1 /設置防火墻的名稱Sjzpix1(config)# password zxm10 /設置登陸口令為zxm10Sjzpix1(config)# enable password zxm10 /設置啟動模式口令，用于獲得管理員模式訪問1配置各個網卡Sjzpix1(config)# interface GigabitEthernet0/0 /配置防火墻的E0 端口Sjzpix1(config -if)# security-level 0 /設置成最低級別Sjzpix1(config -if)# nameif outside /設置E0 端口為外部端口Sjzpix1(config -if)# speed auto /設置成自動設置網口速率Sjzpix1(config-if)# ip address 0 standby 1/ 0 為該防火墻分配的公網IP，為該防火墻公網IP對應的掩碼，若該防火墻沒有主備用方式則配置命令中的紅色字體部分不需要配置。若有主備用防火墻則紅色部分必須配置且 1為給備用防火墻分配的公網IP地址Sjzpix1(config-if)# no shutdown /打開防火墻的E0端口Sjzpix1(config)# exit /完成E0 端口的配置，返回上一層/同樣的方式來配置防火墻的E1端口，并將E1端口配置為內部端口Sjzpix1(config)# interface GigabitEthernet0/1 /配置ETH1 即 E1端口Sjzpix1(config -if)# security-level 100 /設置成最高級別Sjzpix1(config -if)# nameif inside /設置E1 端口為內部端口Sjzpix1(config -if)# speed auto /設置成自動設置網口速率Sjzpix1(config -if)# ip address 0 standby 1/設置防火墻E1（內部）端口的IP，其中：0 為分配給該防火墻的內部網絡IP地址， 為防火墻內部IP對應的掩碼，若該防火墻沒有主備用方式則配置命令中紅色字體部分不要配置，若有主備用防火墻則紅色部分必須配置且1為備用防火墻的內網IP地址。Sjzpix1(config -if)# no shutdown /打開E1（內部）端口Sjzpix1(config)# exit /完成配置，退到上一層Sjzpix1(config)# interface GigabitEthernet0/3Sjzpix1(config)# no shutdown /打開防火墻的E3端口Sjzpix1(config)# exit /完成E3 端口的配置，返回上一層2配置failover主防火墻：failover /啟動failover 功能failover lan unit primary /設置為主防火墻failover lan interface HA GigabitEthernet0/3 /定義用于Failover通訊的接口failover mac address GigabitEthernet0/1 0018.1900.5000 0018.1900.5001failover mac address GigabitEthernet0/2 0018.1900.6000 0018.1900.6001failover mac address Management0/0 0018.1900.7000 0018.1900.7001failover mac address GigabitEthernet0/0 0018.1900.4000 0018.1900.4001/分別給四塊網卡定義虛擬MAC地址failover interface ip HA standby no asdm history enable /定義主備機通訊接口的IP然后打開主防火墻的GigabitEthernet0/3口Sjzpix1(config)# interface GigabitEthernet0/3Sjzpix1(config)# no shutdown /打開防火墻的E3端口Sjzpix1(config)# exit /完成E3 端口的配置，返回上一層Sjzpix1(config)#wr mem /寫保存?zhèn)浞阑饓Γ篺ailover /啟動failover 功能failover lan unit secondary /設置為備防火墻failover lan interface HA GigabitEthernet0/3 /定義用于Failover通訊的接口failover interface ip HA standby /定義主備機通訊接口的IP然后打開備防火墻的GigabitEthernet0/3口Sjzpix1(config)# interface GigabitEthernet0/3Sjzpix1(config)# no shutdown /打開防火墻的E3端口Sjzpix1(config)# exit /完成E3 端口的配置，返回上一層Sjzpix1(config)#wr mem /寫保存Sjzpix1(config)# quit /退出配置模式Sjzpix1# quit /退出特權模式用直連網線把對應的端口連接起來，重啟備用防火墻，主備就會同步了，只需配置主機，數(shù)據(jù)就會自動寫入備機，更多的講解來這里 。直接又去主機配置：3打開inside接口的telnet訪問權限：Sjzpix1 (config)# telnet inside /打開inside接口的telnet訪問權限4配置路由：Sjzpix1(config)# route outside 1 /配置默認外網路由關系，即所有到外網的數(shù)據(jù)都發(fā)送到下一跳網關。其中為用戶提供給我們的網關5配置靜態(tài)IP地址翻譯（static）：static (inside,outside) netmask 55static (inside,outside) netmask 55static (inside,outside) netmask 55static (inside,outside) netmask 55static (inside,outside) 1 1 netmask 55說明：如果從外網發(fā)起一個會話，會話的目的地址是一個內網的ip地址，static就把內部地址翻譯成一個指定的全局地址，允許這個會話建立。使用static命令可以讓我們?yōu)橐粋€特定的內部ip地址設置一個永久的全局ip地址。這樣就能夠為具有較低安全級的指定接口創(chuàng)建一個入口，使它們可以進入到具有較高安全級別的指定接口。6配置access-listaccess-list acl_out extended permit icmp any anyaccess-list acl_out extended permit tcp any host 1 eq wwwaccess-list acl_out extended permit tcp any host eq 5000access-list acl_out extended permit tcp any host eq 8000access-list inside_access_in extended permit ip any any7保存退出Sjzpix1(config)#wr mem /寫保存Sjzpix1(config)# quit /退出配置模式Sjzpix1# quit /退出特權模式8其它1) 防火墻密碼修改：用命令passwd進行修改，passwd zxm102) 防火墻配置的其它問題在配置的過程中可以用ping inside/outside命令ping外網或內網的IP；用show run命令查看當前所有的配置信息，用show+“某條命令”查看該命令的當前配置；用no+“某條命令”刪除該命令的配置。3）重啟通常使用reload命令重啟系統(tǒng)4）設置防火墻時鐘 Firewall(config)# clock set hh:mm:ss day month | month day year 時鐘驗證 Firewall# show clock附福州交行項目ASA5520主防火墻配置信息：ASA Version 7.0(6)!hostname fzjh1enable password ASWgRbIxBbmIUxtm encryptednamesdns-guard!interface GigabitEthernet0/0 nameif outside security-level 0 ip address 0 standby 1!interface GigabitEthernet0/1 nameif inside security-level 100 ip address 0 standby 1!interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address!interface GigabitEthernet0/3 description LAN Failover Interface!interface Management0/0 nameif management security-level 100 ip address management-only!passwd ASWgRbIxBbmIUxtm encryptedftp mode passiveaccess-list acl_out extended permit icmp any anyaccess-list acl_out extended permit tcp any host 1 eq wwwaccess-list acl_out extended permit tcp any host eq 5000access-list acl_out extended permit tcp any host eq 8000access-list inside_access_in extended permit ip any anypager lines 24logging asdm informationalmtu outside 1500mtu inside 1500mtu management 1500failoverfailover lan unit primaryfailover lan interface HA GigabitEthernet0/3failover mac address GigabitEthernet0/1 0018.1900.5000 0018.1900.5001failover mac address GigabitEthernet0/2 0018.1900.6000 0018.1900.6001failover mac address Management0/0 0018.1900.7000 0018.1900.7001failover mac address GigabitEthernet0/0 0018.1900.4000 0018.1900.4001failover interface ip HA standby no asdm history enablearp timeout 14400static (inside,outside) netmask 55static (inside,outside) netmask 55static (inside,outside) netmask 55static (inside,outside) netmask 55static (inside,outside) 1 1 netmask 55access-group acl_out in inter