【文章內容簡介】 trap的 IP地址等信息。 ? NTP：時鐘同步。 ntp server最好設置一個主用時鐘，一個備用時鐘。 ? Logging：日志系統(tǒng)。需要規(guī)劃確認日志服務器的 IP地址及日志接收級別。 ? DNS：域名系統(tǒng)。 ISMP平臺一般不需要。 ?設備域名后綴。 ISMP平臺一般不需要。 ?其他（略） 內容 ? 防火墻基礎知識 ? CISCO ASA5510防火墻簡介 ? ISMP平臺防火墻的典型組網(wǎng)方式 ? ASA5510防火墻配置規(guī)劃 ? ASA5510防火墻配置步驟 ? ASA5510防火墻的維護 ASA5510防火墻基本配置步驟 ?配置模式 ?常用管理性配置 ?接口配置 ?地址轉換配置（ NAT） ?路由配置 ?靜態(tài)地址影射（ static） ?訪問控制列表（ ACL） ?安全策略配置（ Policy） ?雙機冗余配置（ Failover） ? ASA5500系列防火墻裝載 Cisco ASA ，在配置模式上和以前的 PIX系列有很大的不同。它更接近于 Cisco IOS，也提供 5種配置模式： 1）非特權模式 防火墻開機自檢后，就是處于這種模式。系統(tǒng)顯示為 firewall 2）特權模式 輸入 enable進入特權模式，可以改變當前配置。顯示為 firewall 3）配置模式 輸入 configure terminal進入此模式，絕大部分的系統(tǒng)配置都在這里進行。顯示為 firewall(config) 。 后文如無特殊說明，均指在此配置模式下的命令操作。 4）子接口模式 和大多交換機路由器一樣， ASA5500系列具有 interface、 classmap、 policymap等子接口模式。 (config) interface GigabitEther1/1 (configif) 5）監(jiān)視模式 防火墻在開機或重啟過程中，按住 Escape鍵或發(fā)送一個“ Break‖字符，進入監(jiān)視模式。這里可以更新操作系統(tǒng)映象和口令恢復。顯示為 monitor 防火墻配置模式 ? Hostname: hostname AHISMPASA5510ToDCN1 ? Password: enable password ******* encrypted //默認密碼已被加密 ? Http Server: server enable //開啟 web配置界面 management inside //inside區(qū)可 web訪問網(wǎng)段 常用管理性配置 I ? Logging： 至少需要配置日志服務器的 IP地址及日志接收級別。 logging enable //開啟 log服務 logging timestamp //log信息帶時間戳 logging standby //Log雙機信息 logging trap warnings // 設置 Log信息級別 logging asdm warnings // asdm模塊硬件故障 logging console warnings // 設置 console口 log信息級別 logging host inside //設置接受 Log信息的主機 IP ? …… ? Tel： tel inside //指定允許訪問的網(wǎng)段 tel outside tel timeout 5 //定義超時時間 常用管理性配置 II 注：當從外部接口要 tel到防火墻時， tel數(shù)據(jù)流需要用 ipsec提供保護，也就是說用戶必須配置一條到另外一臺防火墻，路由器或 vpn客戶端的 ipsec隧道。 ? SSH： 默認 ssh服務是打開的 ssh scopy enable //session復制功能 ssh inside //定義內網(wǎng)可訪問網(wǎng)段 ssh outside //定義外網(wǎng)可訪問網(wǎng)段 ssh timeout 45 //定義超時時間 ssh version 2 //定義版本信息 ssh disconnect session_id // 斷開特定的 ssh會話 ? SNMP： snmpserver enable //打開服務 snmpserver munity ********** //snmp公用字符串 snmpserver host inside munity ********* //snmp專用字符串 snmpserver listenport ***** // 1~65535可選，默認端口為 161 snmpserver enable traps [all/entity/ipsec/snmp/syslog/remoteaccess] snmp deny version 1 //拒絕版本為 1 的 snmp流量 常用管理性配置 III ? DHCP Server： 在內部網(wǎng)絡，為了集中管理和使用 IP地址，可能會啟用動態(tài)主機分配 IP地址服務器（ DHCP Server）， Cisco ASA5500系列具有這種功能。簡單示例如下。 例 . dhcpd enable inside //開啟 dhcp服務 dhcpd address inside //定義地址池 dhcpd dns //指定 DNS地址 dhcpd domain //指定主域名稱 常用管理性配置 IV ? Others： console timeout 0 //console口超時時間 arp timeout 14400 //arp表的超時時間 domainname //本地域名服務器，通常用作為外部訪問 names //解析本地主機名到 ip地址，在配置中可以用名字代替 ip地址，如果沒有設置，列表為空 pager lines 24 // 每 24行分頁 clock timezone CST 8 //時區(qū)配置 mtu outside 1500 //以太網(wǎng)標準的 MTU長度 timeout xlate 3:00:00 //某個內部設備向外部發(fā)出的 ip包經(jīng)過翻譯 (global)后，在缺省 3個小時之后此數(shù)據(jù)包若沒有活動，此前創(chuàng)建的表項將從翻譯表中刪除，釋放該設備占用的全局地址 timeout uauth 0:05:00 absolute //AAA認證的超時時間， absolute表示連續(xù)運行 uauth定時器，用戶超時后，將強制重新認證 aaaserver TACACS+ protocol tacacs+ aaaserver RADIUS protocol radius //AAA服務器的兩種協(xié)議。 AAA是指認證，授權，審計。 Pix防火墻可以通過 AAA服務器增加內部網(wǎng)絡的安全 。 …… 常用管理性配置 V 接口配置 I ? 外網(wǎng)出口： interface GigabitEther1/1 //外口接口 no shutdown //必須開啟，關閉為 shutdown description ―To DCN8F7609 g3/15― //接口描述 mediatype sfp //接口介質類型， sfp/rj45兩種可