【正文】 //DMZ區(qū)接口 description ―To Cisco3750 g3/1 ― mediatype sfp nameif dmz securitylevel 50 //定義 50為 DMZ區(qū) ip address ? 帶外管理口： interface Management0/0 nameif management securitylevel 100 ip address managementonly NAT配置 I ? 網(wǎng)絡(luò)地址翻譯（ NAT） 作用是將內(nèi)網(wǎng)的私有 IP轉(zhuǎn)換為外網(wǎng)的公有 IP。 Nat命令必須與 global命令一起使用。這些主機(jī)私有地址將轉(zhuǎn)換為 global命令定義的公有 IP。 Nat_id用來標(biāo)識(shí)全局地址池，使它與其相應(yīng)的 global命令相匹配， local_ip表示內(nèi)網(wǎng)被分配的 ip地址 。 ? Global命令 定義內(nèi)部私有地址需要轉(zhuǎn)化為的公有 IP或 IP池 。 global命令的配置語(yǔ)法： global (if_name) nat_id ip_addressip_address [mark global_mask] 其中（ if_name）表示外網(wǎng)接口名字，例如 outside。 [mark global_mask]表示全局 ip地址的網(wǎng)絡(luò)掩碼。 no global (outside) 20 //刪除配置表項(xiàng) 路由配置 ? 定義靜態(tài)路由：防火墻需要配置缺省路由以及內(nèi)網(wǎng)、 DMZ區(qū)的回程路由。視情況使用。 Gateway_ip表示網(wǎng)關(guān)路由器的 ip地址。通常缺省是 1。 靜態(tài)地址映射（ static ） ? Static 把一個(gè)內(nèi)部地址及端口映射成一個(gè)指定的公網(wǎng) IP及端口亦稱為 靜態(tài)端口重定向(Port Redirection with Statics)，允許外部用戶通過一個(gè)特殊的 IP地址 /端口通過防火墻傳輸?shù)街付ǖ膬?nèi)部服務(wù)器。這種方式并不是直接連接，而是通過端口重定向，使得內(nèi)部服務(wù)器很安全。 external_if 為外部網(wǎng)絡(luò)接口，安全級(jí)別較低，如 outside等。 例 . static (inside,outside) mask static (inside,outside) tcp 8080 mask 0 0 訪問控制列表（ ACL） I ? Accesslist 此功能與 Cisco IOS基本上是相似的，也是防火墻的主要部分之一，有 permit和 deny兩個(gè)功能，網(wǎng)絡(luò)協(xié)議一般有IP|TCP|UDP|ICMP等等。順序匹配執(zhí)行，列表最后一句默認(rèn)規(guī)則仍然為 deny all。 配置語(yǔ)法： accessgroup name extended [permit/deny] outside_ip inside_ ip 其中 internal_if 表示內(nèi)部網(wǎng)絡(luò)接口，安全級(jí)別較高，如 inside。 outside_ip為正在訪問的較低安全級(jí)別的接口上的 ip地址。 例： accessgroup 222 in interface inside accessgroup 111 in interface outside accessgroup 111 in interface management //in為輸入流向， out為輸出流向。 Policy配置 1）根據(jù)數(shù)據(jù)流特性區(qū)分定義流類（ classmap） 可基于 ACL、 IP、 port、 IP precedence等參數(shù)定義。主防火墻進(jìn)行業(yè)務(wù)的轉(zhuǎn)發(fā)，而從防火墻處于監(jiān)控狀態(tài)，同時(shí)主防火墻會(huì)定時(shí)通過心跳鏈路向從防火墻發(fā)送狀態(tài)信息和需要備份的信息，心跳鏈路上傳遞的信息包括：設(shè)備的當(dāng)前狀態(tài)、電源狀態(tài)、 Hello信息包、 配置同步等等。參考案例如下： Primary Unit ASA5510_1 Outside g1/1 Secondary Unit ASA5510_2 Cisco375048G Vlan10 g1/0/49 50 Failover e0/3: State e0/2: Inside g1/0 Vlan10 g1/0/1 Hsrp: Vlan10 g1/0/1 Hsrp: f1/0/19 trunk 雙機(jī)冗余配置 II 1）常規(guī) Failover（ Regular Failover）： 發(fā)生 Failover事件時(shí)，所有當(dāng)前活動(dòng)的連接都會(huì)丟棄，用戶需要重新刷新連接。當(dāng) failover事件發(fā)生時(shí)，由于在新的 Active設(shè)備上已經(jīng)有了這些連接狀態(tài)信息，所以用戶不用重新連接就能繼續(xù)通訊。 ? Failover的實(shí)現(xiàn)方式： 1） LAN failover： ASA5500系列 基于以太網(wǎng) 的 failover為必配項(xiàng)， 可以使用兩設(shè)備上任意未占用的同類型以太口直接互聯(lián)，但僅使用 lan failover為常規(guī)failover。兩設(shè)備的 state link端口直接相連。 雙機(jī)冗余配置 III ? Failover雙機(jī)冗余配置步驟 1）兩臺(tái)防火墻的 lan failover和 state link端口分別物理互聯(lián) 2）配置主防火墻 interface Ether0/2 //lan failover使用端口 description STATE Failover Interface //該描述會(huì)自動(dòng)添加，不用配置 no shut //打開端口 interface Ether0/3 //state link使用端口 description LAN Failover Interface //該描述會(huì)自動(dòng)添加 no shu 雙機(jī)冗余配置 IV failover on //打開服務(wù) failover lan unit primary //指定該防火墻為主防火墻 failover lan interface failover Ether0/3 //指定 lan failover所用端口 failover key ismp //指定通信的認(rèn)證 key，如果配置兩臺(tái)必須配置相同 failover link state Ether0/2 //指定 state link 所用端口 failover interface ip failover standby //指定 lan failover的主備通訊地址 failover interface ip state standby //指定 state link的主備通信地址， 此處地址可變，網(wǎng)內(nèi)唯一即可，不影響其他 任何業(yè)務(wù) 雙機(jī)冗余配置 V 3）配置從防火墻 （除以下配置外，從防火墻不需要其他任何預(yù)配置） interface Ether0/2 //激活 lan failover端口 no shutdown interface ether0/3 //激活 state link 端口 no shutdown failover on //打開服務(wù) failover lan unit secondary //指定該防火墻為從防火墻 failover lan interface failover ether0/3 //指定 lan failover端口 failover key ismp //指定通信 key，兩臺(tái)配置必須相同，亦可不配置 failover link state Ether0/2 //指定 state link 端口 failover interface ip failover standby failover interface ip state standby //指定 state link的主備通信地址。 ?檢查雙機(jī)啟動(dòng)狀態(tài) 用 sh failover命令查看雙機(jī)的啟動(dòng)、主備、鏈路、數(shù)據(jù)流傳輸?shù)惹闆r是否正常。例： failover polltime unit msec 600 holdtime 4 failover polltime interface 3 雙機(jī)冗余配置 VII 內(nèi)容 ? 防火墻基礎(chǔ)知識(shí) ? CISCO ASA5510防火墻簡(jiǎn)介 ? ISMP平臺(tái)防火墻的典型組網(wǎng)方式 ? ASA5510防火墻配置規(guī)劃 ? ASA5510防火墻配置步驟 ? ASA5510防火墻的維護(hù) ASA5510防火墻的維護(hù) Cisco Cisco IO