ASA5520防火墙双机配置

1、ASA5520防火墙的安装配置说明一、 通过超级终端连接防火墙。先将防火墙固定在机架上，接好电源；用随机带来的一根蓝色的线缆将防火墙与笔记本连接起来。注意：该线缆是扁平的，一端是RJ-45接口，要接在防火墙的console端口；另一端是串口，要接到笔记本的串口上.建立新连接，给连接起个名字。选择COM口，具体COM1还是COM3应该根据自己接的COM来选择，一般接COM1就可以。选择9600,回车就可以连接到命令输入行。二、防火墙提供4种管理访问模式：1 非特权模式。防火墙开机自检后，就是处于这种模式。系统显示为firewall> 2 特权模式。 输入enable进入特权模式，可以改变当

2、前配置。显示为firewall# 3 配置模式。 在特权模式下输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。显示为firewall(config#4 监视模式。 PIX防火墙在开机或重启过程中，按住Escape键或发送一个“Break”字符，进入监视模式。这里可以更新操作系统映象和口令恢复。显示为monitor>三、基本配置步骤在PC机上用串口通过cisco产品控制线连接防火墙的Console口（9600-N-8-1），使用超级终端连接。在提示符的后面有一个大于号“>”，你处在asa用户模式。使用en或者enable命令修改权限模式。asafi

3、rewall> en /输入en 或 enable 回车Password： /若没有密码则直接回车即可asafirewall# /此时便拥有了管理员模式，此模式下可以显示内容但不能配置，若要配置必须进入到通用模式asafirewall# config t / 进入到通用模式的命令asafirewall(config# hostname sjzpix1 /设置防火墙的名称Sjzpix1(config# password zxm10 /设置登陆口令为zxm10Sjzpix1(config# enable password zxm10 /设置启动模式口令，用于获得管理员模式访问1配置各个网卡S

4、jzpix1(config# interface GigabitEthernet0/0 /配置防火墙的E0 端口Sjzpix1(config -if# security-level 0 /设置成最低级别Sjzpix1(config -if# nameif outside /设置E0 端口为外部端口Sjzpix1(config -if# speed auto /设置成自动设置网口速率Sjzpix1(config-if# ip address 0 / 0 为该防火墙分配的公网IP，为该防火墙公网IP对应的掩码，若该防火墙没有主备用方式则配

5、置命令中的红色字体部分不需要配置。若有主备用防火墙则红色部分必须配置且为给备用防火墙分配的公网IP地址Sjzpix1(config-if# no shutdown /打开防火墙的E0端口Sjzpix1(config# exit /完成E0 端口的配置，返回上一层/同样的方式来配置防火墙的E1端口，并将E1端口配置为内部端口Sjzpix1(config# interface GigabitEthernet0/1 /配置ETH1 即 E1端口Sjzpix1(config -if# security-level 100 /设置成最高级别Sjzpix1(config -if# nameif insid

6、e /设置E1 端口为内部端口Sjzpix1(config -if# speed auto /设置成自动设置网口速率Sjzpix1(config -if# ip address 0 /设置防火墙E1（内部）端口的IP，其中：0 为分配给该防火墙的内部网络IP地址， 为防火墙内部IP对应的掩码，若该防火墙没有主备用方式则配置命令中红色字体部分不要配置，若有主备用防火墙则红色部分必须配置且1为备用防火墙的内网IP地址。Sjzpix1(config -if# no shutdown /

7、打开E1（内部）端口Sjzpix1(config# exit /完成配置，退到上一层Sjzpix1(config# interface GigabitEthernet0/3Sjzpix1(config# no shutdown /打开防火墙的E3端口Sjzpix1(config# exit /完成E3 端口的配置，返回上一层2配置failover主防火墙：failover /启动failover 功能failover lan unit primary /设置为主防火墙failover lan interface HA GigabitEthernet0/3 /定义用于Failover通讯的接口/

8、分别给四块网卡定义虚拟MAC地址failover interface ip HAno asdm history enable /定义主备机通讯接口的IP然后打开主防火墙的GigabitEthernet0/3口Sjzpix1(config# interface GigabitEthernet0/3Sjzpix1(config# no shutdown /打开防火墙的E3端口Sjzpix1(config# exit /完成E3 端口的配置，返回上一层Sjzpix1(config#wr mem /写保存备防火墙：failover /启动failover 功能failover lan unit sec

9、ondary /设置为备防火墙failover lan interface HA GigabitEthernet0/3 /定义用于Failover通讯的接口failover interface ip HA standby /定义主备机通讯接口的IP然后打开备防火墙的GigabitEthernet0/3口Sjzpix1(config# interface GigabitEthernet0/3Sjzpix1(config# no shutdown /打开防火墙的E3端口Sjzpix1(config# exit /完成E3

10、端口的配置，返回上一层Sjzpix1(config#wr mem /写保存Sjzpix1(config# quit /退出配置模式Sjzpix1# quit /退出特权模式用直连网线把对应的端口连接起来，重启备用防火墙，主备就会同步了，只需配置主机，数据就会自动写入备机。直接又去主机配置：3打开inside接口的telnet访问权限：Sjzpix1 (config# telnet inside /打开inside接口的telnet访问权限4配置路由：Sjzpix1(config# route outside 10.

11、0.1.1 15配置静态IP地址翻译（static）：说明：如果从外网发起一个会话，会话的目的地址是一个内网的ip地址，static就把内部地址翻译成一个指定的全局地址，允许这个会话建立。使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级的指定接口创建一个入口，使它们可以进入到具有较高安全级别的指定接口。6配置access-listaccess-list acl_out extended permit icmp any anyaccess-list acl_out extended permit tcp any host 10.0.1.

12、11 eq wwwaccess-list acl_out extended permit tcp any host eq 5000access-list acl_out extended permit tcp any host eq 8000access-list inside_access_in extended permit ip any any7保存退出Sjzpix1(config#wr mem /写保存Sjzpix1(config# quit /退出配置模式Sjzpix1# quit /退出特权模式8其它1 防火墙密码修改：用命令passwd进行修改

13、，passwd zxm102 防火墙配置的其它问题在配置的过程中可以用ping inside/outside命令ping外网或内网的IP；用show run命令查看当前所有的配置信息，用show+“某条命令”查看该命令的当前配置；用no+“某条命令”删除该命令的配置。3）重启通常使用reload命令重启系统4）设置防火墙时钟Firewall(config# clock set hh:mm:ss day month | month day year时钟验证 Firewall# show clock附福州交行项目ASA5520主防火墙配置信息：ASA Version 7.0(6!hostname

14、fzjh1enable password ASWgRbIxBbmIUxtm encryptednamesdns-guard!interface GigabitEthernet0/0nameif outsidesecurity-level 0!interface GigabitEthernet0/1nameif insidesecurity-level 100!interface GigabitEthernet0/2shutdownno nameifno security-levelno ip address!interface GigabitEthernet0/3description LAN

15、 Failover Interface!interface Management0/0nameif managementsecurity-level 100management-only!passwd ASWgRbIxBbmIUxtm encryptedftp mode passiveaccess-list acl_out extended permit icmp any anyaccess-list acl_out extended permit tcp any host 1 eq wwwaccess-list acl_out extended permit tcp any

16、host eq 5000access-list acl_out extended permit tcp any host eq 8000access-list inside_access_in extended permit ip any anypager lines 24logging asdm informationalmtu outside 1500mtu inside 1500mtu management 1500failoverfailover lan unit primaryfailover lan interface HA GigabitEth

17、ernet0/3no asdm history enablearp timeout 14400access-group acl_out in interface outsideroute outside 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00timeout uauth 0:05:00 absolutehttp server enablehttp managementno snmp-server locationno snmp-server conta