要想配置思科的防火墙得先了解这些命令：

常用命令有： nameif、interface、ip address、nat、 global、 route、

static 等。

global

指定公网地址范围：定义地址池。

Global 命令的配置语法：

global (if_name) nat_id ip_address-ip_address [netmark global_mask]

其中：

(if_name)：表示外网接口名称，一般为 outside。

nat_id：建立的地址池标识 (nat 要引用 )。

 

ip_address-ip_addres：s

 

表示一段 ip 地址范围。

 

[netmark global_mask]：表示全局 ip 地址的网络掩码。

nat

地址转换命令，将内网的私有 ip 转换为外网公网 ip。

nat 命令配置语法： nat (if_name) nat_id local_ip [netmark]

其中：

(if_name)：表示接口名称，一般为 inside. nat_id： 表示地址池，由 global 命令定义。

local_ip： 表示内网的 ip 地址。对于 0.0.0.0 表示内网所有主机。

[netmark]：表示内网 ip 地址的子网掩码。

route

route 命令定义静态路由。 语法：

route (if_name) 0 0 gateway_ip [metric]

其中：

(if_name)：表示接口名称。

0 0 ：表示所有主机

Gateway_ip：表示网关路由器的 ip 地址或下一跳。

[metric] ：路由花费。缺省值是 1。

static

配置静态 IP 地址翻译，使内部地址与外部地址一一对应。 语法：

 

static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address

其中：

internal_if_name 表示内部网络接口，安全级别较高，如 inside。 external_if_name表示外部网络接口，安全级别较低，如 outside。 outside_ip_address表示外部网络的公有 ip 地址。

inside_ ip_address表示内部网络的本地 ip 地址。 (括号内序顺是先内后外，外边的顺序是先外后内 ) 例如：

asa(config)#static (inside，outside) 133.0.0.1 192.168.0.8

表示内部 ip 地址 192.168.0.8，访问外部时被翻译成 133.0.0.1 全局地址

*********************************************************************

asa#conf t

asa(config)# hostname asa //设置主机名

asa(config)#enable password cisco //设置密码

配置外网的接口，名字是 outside，安全级别 0，输入  ISP 给您提供的地址就

行了。

asa(config)#interface GigabitEthernet0/0 asa(config)#nameif outside //名字是 outside asa(config)#securit-level 0 //安全级别 0 asa(config)#ip address *.*.*.* 255.255.255.0 //配置公网  IP 地址

asa(config)#duplex full asa(config)# asa(config)#no shutdown

配置内网的接口，名字是 inside，安全级别 100 asa(config)#interface GigabitEthernet0/1 asa(config)#nameif inside

asa(config)#securit-level 100 asa(config)#duplex full asa(config)#speed 100 asa(config)#no shutdown

配置 DMZ 的接口 ,名字是 dmz，安全级别 50 asa(config)#interface GigabitEthernet0/2 asa(config)#nameif dmz

asa(config)#securit-level 50 asa(config)#duplex full asa(config)#

asa(config)#no shutdown

网络部分设置

asa(config)#nat(inside) 1 192.168.1.1 255.255.255.0 asa(config)#global(outside) 1 222.240.254.193 255.255.255.248

asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255 //表示 192.168.1.1这个

地址不需要转换。直接转发出去。

 

asa(config)#global (outside) 1 133.1.0.1-133.1.0.14 //定义的地址池

asa(config)#nat (inside) 1 0 0 //0 0 表示转换网段中的所有地址。

定义内部网络地址将要翻译成的全局地址或地址范围 配置静态路由

asa(config)#route outside 0 0 133.0.0.2 //设置默认路由 133.0.0.2

为下一跳

如果内部网段不是直接接在防火墙内口，则需要配置到内部的路由。

asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1

地址转换

asa(config)#static (dmz， outside) 133.1.0.1 10.65.1.101 ;静态 NAT

asa(config)#static (dmz， outside) 133.1.0.2 10.65.1.102 ;静态 NAT

asa(config)#static (inside，dmz) 10.66.1.200 10.66.1.200 ;静态 NAT

如果内部有服务器需要映射到公网地址 (外网访问内网 )则需要  static asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240

asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240 10000 10 //后

面的 10000 为限制连接数，  10 为限制的半开连接数

ACL 实现策略访问

asa(config)#access-list 101 permit ip any host 133.1.0.1 eq www设; 置 ACL asa(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp设; 置 ACL asa(config)#access-list 101 deny ip any any ;设置 ACL asa(config)#access-group 101 in interface outside ;将 ACL 应用在 outside 端口

当内部主机访问外部主机时，通过 nat 转换成公网 IP，访问  internet。 当内部主机访问中间区域 dmz 时，将自己映射成自己访问服务器，否则内

部主机将会映射成地址池的 IP，到外部去找。

当外部主机访问中间区域 dmz 时，对 133.0.0.1 映射成 10.65.1.101，static

是双向的。

PIX 的所有端口默认是关闭的，进入 PIX 要经过 acl 入口过滤。 静态路由指示内部的主机和 dmz 的数据包从 outside 口出去。