【文章內(nèi)容簡(jiǎn)介】 trap的 IP地址等信息。 ? NTP：時(shí)鐘同步。 ntp server最好設(shè)置一個(gè)主用時(shí)鐘，一個(gè)備用時(shí)鐘。 ? Logging：日志系統(tǒng)。需要規(guī)劃確認(rèn)日志服務(wù)器的 IP地址及日志接收級(jí)別。 ? DNS：域名系統(tǒng)。 ISMP平臺(tái)一般不需要。 ?設(shè)備域名后綴。 ISMP平臺(tái)一般不需要。 ?其他（略） 內(nèi)容 ? 防火墻基礎(chǔ)知識(shí) ? CISCO ASA5510防火墻簡(jiǎn)介 ? ISMP平臺(tái)防火墻的典型組網(wǎng)方式 ? ASA5510防火墻配置規(guī)劃 ? ASA5510防火墻配置步驟 ? ASA5510防火墻的維護(hù) ASA5510防火墻基本配置步驟 ?配置模式 ?常用管理性配置 ?接口配置 ?地址轉(zhuǎn)換配置（ NAT） ?路由配置 ?靜態(tài)地址影射（ static） ?訪問(wèn)控制列表（ ACL） ?安全策略配置（ Policy） ?雙機(jī)冗余配置（ Failover） ? ASA5500系列防火墻裝載 Cisco ASA ，在配置模式上和以前的 PIX系列有很大的不同。它更接近于 Cisco IOS，也提供 5種配置模式： 1）非特權(quán)模式 防火墻開(kāi)機(jī)自檢后，就是處于這種模式。系統(tǒng)顯示為 firewall 2）特權(quán)模式 輸入 enable進(jìn)入特權(quán)模式，可以改變當(dāng)前配置。顯示為 firewall 3）配置模式 輸入 configure terminal進(jìn)入此模式，絕大部分的系統(tǒng)配置都在這里進(jìn)行。顯示為 firewall(config) 。 后文如無(wú)特殊說(shuō)明，均指在此配置模式下的命令操作。 4）子接口模式 和大多交換機(jī)路由器一樣， ASA5500系列具有 interface、 classmap、 policymap等子接口模式。 (config) interface GigabitEther1/1 (configif) 5）監(jiān)視模式 防火墻在開(kāi)機(jī)或重啟過(guò)程中，按住 Escape鍵或發(fā)送一個(gè)“ Break‖字符，進(jìn)入監(jiān)視模式。這里可以更新操作系統(tǒng)映象和口令恢復(fù)。顯示為 monitor 防火墻配置模式 ? Hostname: hostname AHISMPASA5510ToDCN1 ? Password: enable password ******* encrypted //默認(rèn)密碼已被加密 ? Http Server: server enable //開(kāi)啟 web配置界面 management inside //inside區(qū)可 web訪問(wèn)網(wǎng)段 常用管理性配置 I ? Logging： 至少需要配置日志服務(wù)器的 IP地址及日志接收級(jí)別。 logging enable //開(kāi)啟 log服務(wù) logging timestamp //log信息帶時(shí)間戳 logging standby //Log雙機(jī)信息 logging trap warnings // 設(shè)置 Log信息級(jí)別 logging asdm warnings // asdm模塊硬件故障 logging console warnings // 設(shè)置 console口 log信息級(jí)別 logging host inside //設(shè)置接受 Log信息的主機(jī) IP ? …… ? Tel： tel inside //指定允許訪問(wèn)的網(wǎng)段 tel outside tel timeout 5 //定義超時(shí)時(shí)間 常用管理性配置 II 注：當(dāng)從外部接口要 tel到防火墻時(shí)， tel數(shù)據(jù)流需要用 ipsec提供保護(hù)，也就是說(shuō)用戶(hù)必須配置一條到另外一臺(tái)防火墻，路由器或 vpn客戶(hù)端的 ipsec隧道。 ? SSH： 默認(rèn) ssh服務(wù)是打開(kāi)的 ssh scopy enable //session復(fù)制功能 ssh inside //定義內(nèi)網(wǎng)可訪問(wèn)網(wǎng)段 ssh outside //定義外網(wǎng)可訪問(wèn)網(wǎng)段 ssh timeout 45 //定義超時(shí)時(shí)間 ssh version 2 //定義版本信息 ssh disconnect session_id // 斷開(kāi)特定的 ssh會(huì)話(huà) ? SNMP： snmpserver enable //打開(kāi)服務(wù) snmpserver munity ********** //snmp公用字符串 snmpserver host inside munity ********* //snmp專(zhuān)用字符串 snmpserver listenport ***** // 1~65535可選，默認(rèn)端口為 161 snmpserver enable traps [all/entity/ipsec/snmp/syslog/remoteaccess] snmp deny version 1 //拒絕版本為 1 的 snmp流量 常用管理性配置 III ? DHCP Server： 在內(nèi)部網(wǎng)絡(luò)，為了集中管理和使用 IP地址，可能會(huì)啟用動(dòng)態(tài)主機(jī)分配 IP地址服務(wù)器（ DHCP Server）， Cisco ASA5500系列具有這種功能。簡(jiǎn)單示例如下。 例 . dhcpd enable inside //開(kāi)啟 dhcp服務(wù) dhcpd address inside //定義地址池 dhcpd dns //指定 DNS地址 dhcpd domain //指定主域名稱(chēng) 常用管理性配置 IV ? Others： console timeout 0 //console口超時(shí)時(shí)間 arp timeout 14400 //arp表的超時(shí)時(shí)間 domainname //本地域名服務(wù)器，通常用作為外部訪問(wèn) names //解析本地主機(jī)名到 ip地址，在配置中可以用名字代替 ip地址，如果沒(méi)有設(shè)置，列表為空 pager lines 24 // 每 24行分頁(yè) clock timezone CST 8 //時(shí)區(qū)配置 mtu outside 1500 //以太網(wǎng)標(biāo)準(zhǔn)的 MTU長(zhǎng)度 timeout xlate 3:00:00 //某個(gè)內(nèi)部設(shè)備向外部發(fā)出的 ip包經(jīng)過(guò)翻譯 (global)后，在缺省 3個(gè)小時(shí)之后此數(shù)據(jù)包若沒(méi)有活動(dòng)，此前創(chuàng)建的表項(xiàng)將從翻譯表中刪除，釋放該設(shè)備占用的全局地址 timeout uauth 0:05:00 absolute //AAA認(rèn)證的超時(shí)時(shí)間， absolute表示連續(xù)運(yùn)行 uauth定時(shí)器，用戶(hù)超時(shí)后，將強(qiáng)制重新認(rèn)證 aaaserver TACACS+ protocol tacacs+ aaaserver RADIUS protocol radius //AAA服務(wù)器的兩種協(xié)議。 AAA是指認(rèn)證，授權(quán)，審計(jì)。 Pix防火墻可以通過(guò) AAA服務(wù)器增加內(nèi)部網(wǎng)絡(luò)的安全 。 …… 常用管理性配置 V 接口配置 I ? 外網(wǎng)出口： interface GigabitEther1/1 //外口接口 no shutdown //必須開(kāi)啟，關(guān)閉為 shutdown description ―To DCN8F7609 g3/15― //接口描述 mediatype sfp //接口介質(zhì)類(lèi)型， sfp/rj45兩種可