AskOverflow.Dev

AskOverflow.Dev Logo AskOverflow.Dev Logo

AskOverflow.Dev Navigation

  • 主页
  • 系统&网络
  • Ubuntu
  • Unix
  • DBA
  • Computer
  • Coding
  • LangChain

Mobile menu

Close
  • 主页
  • 系统&网络
    • 最新
    • 热门
    • 标签
  • Ubuntu
    • 最新
    • 热门
    • 标签
  • Unix
    • 最新
    • 标签
  • DBA
    • 最新
    • 标签
  • Computer
    • 最新
    • 标签
  • Coding
    • 最新
    • 标签
主页 / server / 问题 / 51126
Accepted
Dayton Brown
Dayton Brown
Asked: 2009-08-07 11:00:56 +0800 CST2009-08-07 11:00:56 +0800 CST 2009-08-07 11:00:56 +0800 CST

Cisco ASA CLI/ASDM for Dummies

  • 772
锁定。这个问题及其答案被锁定,因为这个问题离题但具有历史意义。它目前不接受新的答案或交互。

当谈到思科的东西时,我有点白痴。我通常可以弄清楚大多数防火墙并了解网络掩码、IP 寻址、DMZ、NAT 等。但由于某种原因,我只是没有得到 Cisco ASA。CLI 和 ASDM。

长话短说,我正在寻找一个好的网站或可以为我提供带有评论的基本配置文件以便我理解它的人。

是的,我尝试过 RTFM。

非常感谢大家。

cisco cisco-asa
  • 5 5 个回答
  • 26732 Views

5 个回答

  • Voted
  1. Best Answer
    l0c0b0x
    2009-08-07T12:26:32+08:002009-08-07T12:26:32+08:00

    我理解你的痛苦,研究和实践将成为你最好的朋友。以下是我处理 Cisco 设备的一些书签:

    • 揭开 Cisco ASA 的神秘面纱:http:
      //episteme.arstechnica.com/eve/forums/a/tpc/f/469092836/m/447004091931
    • 8 条用于配置 Cisco ASA 的基本命令:http:
      //blog.soundtraining.net/2008/04/eight-basic-commands-to-configure-cisco.html
    • 访问列表剖析:http:
      //i.cmpnet.com/nc/907/graphics/access.pdf
    • 思科“实践培训”播客:(很多关于 Cisco CLI 的免费视频 - 强烈推荐!)
      http://ciscohandsontraining.com/

    祝你好运!

    • 5
  2. Don R. Crawley
    2010-11-14T15:54:01+08:002010-11-14T15:54:01+08:00

    我是前面提到的文章“配置 Cisco ASA 的 8 条基本命令”的作者。当思科在 2010 年春季更改 PAT/NAT 配置时,其中一些命令已过时。我已经在http://blog.soundtraining.net/2010/11/understanding-eight-basic-commands-on.html上用新的博客文章更新了这篇文章。希望有帮助。

    • 1
  3. Ben Quick
    2009-08-07T11:29:02+08:002009-08-07T11:29:02+08:00

    你想做什么?

    我可能可以访问 ASA,但在不知道您要达到的目标的情况下,我无法开始猜测哪些配置可能相关

    • 0
  4. GregD
    2009-08-07T11:56:23+08:002009-08-07T11:56:23+08:00

    从这里:

    本文回到有关 Cisco ASA 防火墙的基础知识。我在这里为您提供 Cisco ASA 5510 安全设备的基本配置教程。该设备是 ASA 系列(ASA 5505、5510、5520 等)中的第二个型号,由于面向中小型企业而颇受欢迎。与最小的 ASA 5505 型号一样,5510 具有两个许可证选项:基本许可证和 Security Plus 许可证。第二个(安全附加)在基本许可证的基础上提供了一些性能和硬件增强,例如 130,000 个最大防火墙连接(而不是 50,000)、100 个最大 VLAN(而不是 50 个)、故障转移冗余等。此外,安全附加许可证使五个防火墙网络端口中的两个作为 10/100/1000 而不是仅 10/100 工作。

    接下来,我们将看到一个简单的 Internet 访问场景,它将帮助我们了解设置 ASA 5510 所需的基本步骤。假设我们100.100.100.1从 ISP 分配了一个静态公共 IP 地址。此外,内部 LAN 网络属于子网192.168.10.0/24.接口Ethernet0/0将连接到外部(朝向 ISP),并将Ethernet0/1连接到内部 LAN 交换机。请参阅下图了解我们的示例场景。

    替代文字 http://www.cisco-tips.com/images/asa-5510-basic-configuration.jpg

    防火墙将配置为向内部主机动态提供 IP 地址(使用 DHCP)。所有出站通信(从内部到外部)都将使用外部公共接口上的端口地址转换 (PAT) 进行转换。让我们看一下这个基本场景所需的配置步骤的片段:

    第一步: 配置特权级密码(启用密码)

    默认情况下,没有用于访问 ASA 防火墙的密码,因此在执行任何其他操作之前的第一步是配置特权级密码,这将是允许后续访问设备所必需的。在配置模式下进行配置:

    ASA5510(config)# enable password mysecretpassword
    

    第 2 步: 配置公共外部接口

    ASA5510(config)# interface Ethernet0/0
    ASA5510(config-if)# nameif outside
    ASA5510(config-if)# security-level 0
    ASA5510(config-if)# ip address 100.100.100.1 255.255.255.252
    ASA5510(config-if)# no shut
    

    步骤 3: 配置可信内部接口

    ASA5510(config)# interface Ethernet0/1
    ASA5510(config-if)# nameif inside
    ASA5510(config-if)# security-level 100
    ASA5510(config-if)# ip address 192.168.10.1 255.255.255.0
    ASA5510(config-if)# no shut
    

    第 4 步: 在外部接口上配置 PAT

    ASA5510(config)# global (outside) 1 interface
    ASA5510(config)# nat (inside) 1 0.0.0.0 0.0.0.0
    

    第 5 步: 配置通往 ISP 的默认路由(假设默认网关为100.100.100.2)

    ASA5510(config)# route outside 0.0.0.0 0.0.0.0 100.100.100.2 1
    

    第 6 步: 配置防火墙以使用 DHCP 为主机分配内部 IP 和 DNS 地址

    ASA5510(config)# dhcpd dns 200.200.200.10
    ASA5510(config)# dhcpd address 192.168.10.10-192.168.10.200 inside
    ASA5510(config)# dhcpd enable inside
    

    上述基本配置只是使设备运行的开始。您需要实施更多配置功能来提高网络的安全性,例如静态和动态 NAT、控制流量的访问控制列表、DMZ 区域、VPN 等。我只是想为您提供一个起点一个基本配置,您可以从中进一步积累知识。

    • 0
  5. Ali Mezgani
    2009-08-07T12:29:29+08:002009-08-07T12:29:29+08:00

    cisco asa可以运行成router和transparent两种模式,GregD教程讲的是asa的router模式。如果您已经有路由器,我建议您以透明的方式使用 cisco asa,作为第 2 层防火墙,它的作用也类似于“隐形防火墙”,并且无需重新寻址 IP。
    在路由模式下,即使您在访问列表中允许,某些类型的流量也无法通过安全设备。或者,在透明模式下,可以允许任何流量通过扩展访问列表(用于 IP 流量)或 EtherType 访问列表(用于非 IP 流量)。

    • 0

相关问题

  • 为 Cisco ASA 5510 上的端口 443/80 创建 NAT 规则和安全策略

  • 识别连接到交换机的机器

  • Cisco WS-C6509-E Arp 缓存损坏问题?

  • 广播 SSID 对客户端体验有何影响?

  • DHCP/网络问题

Sidebar

Stats

  • 问题 205573
  • 回答 270741
  • 最佳答案 135370
  • 用户 68524
  • 热门
  • 回答
  • Marko Smith

    SFTP 使用什么端口?

    • 6 个回答
  • Marko Smith

    从 IP 地址解析主机名

    • 8 个回答
  • Marko Smith

    如何按大小对 du -h 输出进行排序

    • 30 个回答
  • Marko Smith

    命令行列出 Windows Active Directory 组中的用户?

    • 9 个回答
  • Marko Smith

    Windows 中执行反向 DNS 查找的命令行实用程序是什么?

    • 14 个回答
  • Marko Smith

    如何检查 Windows 机器上的端口是否被阻塞?

    • 4 个回答
  • Marko Smith

    我应该打开哪个端口以允许远程桌面?

    • 9 个回答
  • Marko Smith

    什么是 Pem 文件,它与其他 OpenSSL 生成的密钥文件格式有何不同?

    • 3 个回答
  • Marko Smith

    如何确定bash变量是否为空?

    • 15 个回答
  • Martin Hope
    MikeN 在 Nginx 中,如何在维护子域的同时将所有 http 请求重写为 https? 2009-09-22 06:04:43 +0800 CST
  • Martin Hope
    Tom Feiner 如何按大小对 du -h 输出进行排序 2009-02-26 05:42:42 +0800 CST
  • Martin Hope
    0x89 bash中的双方括号和单方括号有什么区别? 2009-08-10 13:11:51 +0800 CST
  • Martin Hope
    kch 如何更改我的私钥密码? 2009-08-06 21:37:57 +0800 CST
  • Martin Hope
    Kyle Brandt IPv4 子网如何工作? 2009-08-05 06:05:31 +0800 CST
  • Martin Hope
    Noah Goodrich 什么是 Pem 文件,它与其他 OpenSSL 生成的密钥文件格式有何不同? 2009-05-19 18:24:42 +0800 CST
  • Martin Hope
    Brent 如何确定bash变量是否为空? 2009-05-13 09:54:48 +0800 CST
  • Martin Hope
    cletus 您如何找到在 Windows 中打开文件的进程? 2009-05-01 16:47:16 +0800 CST

热门标签

linux nginx windows networking ubuntu domain-name-system amazon-web-services active-directory apache-2.4 ssh

Explore

  • 主页
  • 问题
    • 最新
    • 热门
  • 标签
  • 帮助

Footer

AskOverflow.Dev

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

Language

  • Pt
  • Server
  • Unix

© 2023 AskOverflow.DEV All Rights Reserve