CISCO 5520防火墙配置实例.docx

.CISCO 5520防火墙配置实例本人在项目中已经两次接触到思科5500系列防火墙的配置应用了，根据项目的需求不同，详细的配置也不一样，因此汇总了一个通用版本的思科5500系列防火墙的配置，不详之处，请各位大虾给予指点，谢谢！CD-ASA5520# show run: Saved:ASA Version 7.2(2) !hostname CD-ASA5520  &nb sp;                      /给防火墙命名定义工作域    enable password 9jNfZuG3TC5tCVH0 encrypted    / 进入特权模式的密码 namesdns-guard!interface GigabitEthernet0/0             /内网接口：duplex full                             /接口作工模式：全双工，半双，自适应        nameif inside                        /为端口命名 ：内部接口insidesecurity-level 100                     /设置安全级别 0100 值越大越安全设置本端口的IP地址!interface GigabitEthernet0/1             /外网接口nameif outside                       /为外部端口命名 ：外部接口outsidesecurity-level 0地址配置!interface GigabitEthernet0/2nameif dmzsecurity-level 50!             interface GigabitEthernet0/3shutdownno nameifno security-levelno ip address!interface Management0/0               /防火墙管理地址shutdownno nameifno security-levelno ip address!passwd 2KFQnbNIdI.2KYOU encryptedftp mode passive        clock timezone CST 8dns server-group DefaultDNSdomain-name daccess-list outside_permit extended permit tcp any interface outside eq 3389   /访问控制列表access-list outside_permit extended permit tcp any interface outside range 30000 30010 /允许外部任何用户可以访问outside 接口的30000-30010的端口。pager lines 24logging enable             /启动日志功能logging asdm informationalmtu inside 1500            内部最大传输单元为1500字节mtu outside 1500mtu dmz 1500/定义一个命名为vpnclient的IP地址池,为remote用户分配IP地址no failovericmp unreachable rate-limit 1 burst-size 1asdm image disk0:/asdm-522.binno asdm history enablearp timeout 14400         /arp空闲时间为14400秒 global (outside) 1 interface  /由于没有配置NAT 故这里是不允许内部用户上INTERNETstatic (dmz,outside) tcp interface 30000 192.16/端口映射  可以解决内部要公布的服务太多，而申请公网IP少问题。/把dmz区映射给外部30002端口上。255.255 access-group outside_permit in interface outside   /把outside_permit控制列表运用在外部接口的入口方向。定义一个默认路由。timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeout uauth 0:05:00 absolute-定义一个命名为vpnclient的组策略-group-policy vpnclient internal             /创建一个内部的组策略。   group-policy vpnclient attributes           /设置vpnclient组策略的参数 定义WINS-SERVER 的IP地址。定义dns-server的IP地址。vpn-idle-timeout none                  /终止连接时间设为默认值  vpn-session-timeout none               /会话超时采用默认值vpn-tunnel-protocol IPSec              /定义通道使用协议为IPSEC。split-tunnel-policy tunnelspecified        /定义。 default-domain value cisco.          /定义默认域名为cisco.-定义一个命名为l2lvpn的组策略-group-policy l2lvpn internal   group-policy l2lvpn attributesvpn-simultaneous-logins 3vpn-idle-timeout nonevpn-session-timeout nonevpn-tunnel-protocol IPSec username test password P4ttSyrm33SV8TYp encrypted privilege 0 /创建一个远程访问用户来访问安全应用username cisco password 3USUcOPFUiMCO4Jk encryptedhttp server enable            /启动HTTP服务允许内部主机HTTP连接no snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstart/snmp的默认配置crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac/配置转集（定义了IPSC隧道使用的加密和信息完整性算法集合）crypto dynamic-map vpn_dyn_map 10 set transform-set ESP-DES-MD5 /为动态加密图条目定义传换集crypto map outside_map 10 ipsec-isakmp dynamic vpn_dyn_map /创建一个使用动态加密条目的加密图crypto map outside_map interface outside/将 outside_map加密图应用到outside端口-配置IKE-crypto isakmp enable outside    /在ostside 接口启动ISAKMP crypto isakmp policy 20        /isakmmp权值，值越小权值越高authentication pre-share       /指定同位体认证方法是共享密钥encryption des               /指定加密算法hash md5                   /指定使用MD5散列算法group 2                    /指定diffie-hellman组2lifetime 86400              /指定SA（协商安全关联）的生存时间crypto isakmp policy 65535 authentication pre-shareencryption deshash md5group 2lifetime 86400-调用组策略-crypto isakmp nat-traversal  20   tunnel-group DefaultL2LGroup general-attributes /配置这个通道组的认证方法default-group-policy l2lvpn                 /指定默认组策略名称。tunnel-group DefaultL2LGroup ipsec-attributes  /配置认证方法为IPSECpre-shared-key *                               /提供IKE连接的预共享密钥tunnel-group vpnclient type ipsec-ra          /设置连接类型为远程访问。                           tunnel-group vpnclient general-attributes      /配置这个通道组的认证方法address-pool vpnclient                            /定义所用的地址池default-group-policy vpnclient             /定义默认组策略-设置认证方式和共享密钥-tunnel-group vpnclient ipsec-attributes       /配置认证方法为IPSECpre-shared-key *                       /提供IKE连接的预共享密钥telnet timeout 5                         /telnet 超时设置允许外部通SSH访问防火墙ssh timeout 60                            /SSH连接超时设置console timeout 0                                 /控制台超时设置     dhcp-client update dns server both发布的DNS!向内网发布的地址池dhcpd enable inside                              /启动DHCP服务。!class-map inspection_defaultmatch default-inspection-traffic!policy-map type inspect dns migrated_dns_map_1parameters     message-length maximum 512policy-map global_policy class inspection_default  inspect dns migrated_dns_map_1   inspect ftp   inspect h323 h225   inspect h323 ras   inspect netbios   inspect rsh   inspect rtsp   inspect skinny   inspect esmtp   inspect sqlnet   inspect sunrpc   inspect tftp   inspect sip   inspect xdmcp !service-policy global_policy globalprompt hostname context Cryptochecksum:25e66339116f52e443124a23fef3d373: endDOC版本.