ASA防火墙疑难杂症与Cisco ASA5520防火墙配置1

第页ASA防火墙疑难杂症解答ASA防火墙疑难杂症解答1内部网络不能ping通internet2内部网络不能使用pptp拨入vpn效劳器3内部网络不能通过被动Mode访问ftp效劳器4内部网络不能进展ipsecNAT5内网不能访问DMZ区效劳器6内网用户不能pingweb效劳器1.内部网络不能ping通internet对于ASA5510，只要策略允许，那么是可以Ping通的，对于ASA550，局部IOS可以ping，如果所以流量都允许还是不能Ping的话，那么需要做inspect，对icmp协议进展检查即可2.内部网络不能使用pptp拨入vpn效劳器因pptp需要连接TCP1723端口，同时还需要GRE协议，如果防火墙是linux的Iptables，那么需要加载：modprobeip_nat_pptpmodprobeip_conntrack_proto_gre如果防火墙是ASA，那么需要inspectpptp。3.内部网络不能通过被动Mode访问ftp效劳器同样需要inspectftp，有些还需要检查相关参数policy-maptypeinspectparametersmatchrequest-commandappecduphelpgetrnfrrntoputstousitedelemkdrmd4.内部网络不能进展ipsecNAT这种情况不多用，如查进展ipsect：IPSecPassThrough5.内网不能访问DMZ区效劳器增加NAT规那么，即DMZ到内网的规那么6.内网用户不能pingweb效劳器如果内网中有一台web效劳器，且已经配置了NAT，使用internet用户可以通过外部IP访问这台web效劳器。这时如果内网中的机器不能ping这台web效劳器，那么在配置NAT时，进展DNSrewrite即可，如果故障依然，可以试着关闭arp代理。7.待续CiscoASA5520防火墙配置 前言主要从防火墙穿越的角度，描述CiscoASA5520防火墙的配置对PixASA系列防火墙配置具有参考意义内容防火墙与NAT介绍根本介绍根本配置高级配置其它案例防火墙与NAT介绍防火墙门卫NAT过道区别两者可以分别使用Windows有个人防火墙Windows有InternetConnectsharing效劳一般防火墙产品，同时带有NAT根本介绍配置连接工作模式常用命令ASA5520介绍配置连接初次连接使用超级终端登陆Console口Cicso的波特率设置为9600Telnet连接默认不翻开，在使用Console配置后，可以选择开启开启命令：telnetip_addressnetmaskif_name连接命令：ASA5520默认不允许外网telnet,开启比拟麻烦ASDM连接图形界面配置方式SSH连接工作模式普通模式连接上去后模式进入普通模式需要有普通模式密码Enable进入特权模式，需要特权密码特权模式Configterminal进入配置模式配置模式模式转换exit或者ctrl-z退出当前模式，到前一模式也适用于嵌套配置下退出当前配置常用命令命令支持缩写，只要前写到与其它命令不同的地方即可configterminal=confterm=conftTab键盘补全命令？Orhelp获取帮助取消配置no命令取消以前的配置Clear取消一组配置，具体请查看帮助查看配置Showversionshowrun[all],writeterminalShowxlatShowrunnatShowrunglobal保存配置WritememoryASA5520介绍

硬件配置：ASA5520,512MBRAM,CPUPentium4Celeron2000MHz1个Console口，一个Aux口，4个千兆网口支持并发：280000个支持VPN个数：150支持双机热备、负载均衡可以通过showversion查看硬件信息根本配置

接口配置NAT配置ACL访问控制接口配置

四个以太网口GigabitEthernet0/0、gig0/1、gig0/2、gig0/3进入接口配置:interfaceif_name配置IPipaddressip_address[netmask]ipaddressip_addressdhcp翻开端口:noshutdown配置平安级别security-level[0-100]数据从平安级别高的流向底的，不能倒流倒流需要保安允许所以外网一般配置为0，内网为100配置别名供其它命令引用Nameifif_nameNAT

NAT(NetworkAddressTranslate)NAT类型(与防火墙穿越提到的类型不相关〕DynamicNAT PATStaticNAT&StaticPATIdentityNATNATexemptionPolicyNAT地址表超时NAT配置普通NATDynamicNATPATNAT例外StaticNATIdentityNATNATexemptionPolicyNAT普通NAT普通NAT，只允许内网先发起连接地址池配置global(if_name)natidstart_addr-end_addrnetmask如：定义了natid1和地址池DynamicNATnat(real_ifc)nat_idinside_networkoutside_network动态分配给内网一个独立的IPPATPAT使用1个地址+65535个端口为内网提供地址转换地址池中只有一个值时，就是PAT分配给内网连接一个固定IP和一个动态的端口StaticNATStaticNAT允许外网先发起连接是一个外网IP固定一个内网IP可以称为IP映射命令Static(internal_if_name,external_if_name)maped_addrreal_addrMaped_addr与real_addr不一样StaticPATStaticPAT允许外网先发起连接是一个内网IP+一个端口转换成一个固定的外网IP+固定的外网端口可以称为端口映射命令static(real_interface,mapped_interface){tcp|udp}{mapped_ip|interface}mapped_portreal_ipreal_port[netmaskmask]IdentityNATIdentityNAT不使用地址转换，采用原地址出去只能内网发起连接外网必须配置ACLpermit才能先发起连接命令NAT〔real_if_name〕0addr/networknetworkmask如StaticIdentityNAT不使用地址转换，采用原地址出去内外网都可先发起连接命令static(real_interface,mapped_interface)real_ipreal_ipNATexemptionNATexemptionIdentityNAT和ACL的混合，功能更加强大不使用地址转换，采用原地址出去内外网均可发起连接命令例1：access-listEXEMPTpermitipanynat(inside)0access-listEXEMPT例2：nat(inside)0access-listNET1PolicyNAT

PolicyNAT&PolicyPAT用ACL定义的NAT和PAT更加灵活命令Policynat:static(real_interface,mapped_interface){mapped_ip|interface}access-listacl_namePolicypat:static(real_interface,mapped_interface){tcp|udp}{mapped_ip|interface}mapped_portaccess-listacl_name举例hostname(config)#nat(inside)1access-listNET1hostname(config)#nat(inside)2access-listNET2地址表超时

地址转换表超时查看命令：showruntimeoutxlate默认超时为3小时设置命令：timeoutxlatehh:mm:ss去除当前表：clearxlat在重新配置了NAT后，如果不重启，只有等到当前表超时才能生效，可以强制去除表，但此时的连接都将中断连接超时查看命令:showruntimeoutconn默认超时为1小时设置命令：timeoutconnhh:mm:ss去除当前连接：clearconn去除当前连接，当前的连接都将中断ACL访问控制ACL访问控制权限列表，定义外网数据包是否可以进入Deny优先配合NAT,Static等命令使用内网一般配置成允许所有，外网需要根据实际情况配置命令access-listaccess_list_name[lineline_number][extended]{deny|permit}protocolsource_addressmask[operatorport]dest_addressmask[operatorport|icmp_type][inactive]与接口绑定：access-groupaccess_list_namein/outinterfaceif_nameACL访问控制举例access-listACL_INextendedpermitipanyanyaccess-listaloutextendedpermittcpanyinterfaceoutsideeq3389access-listaloutextendedpermittcpanyhost13eq3389Access-groupaloutininterfaceoutside高级配置对象组应用层协议检查AAA认证VPN配置对象组对象组〔Object-group〕对其它命令〔NAT、access-listd等)用到类似的对象进展的分组有四种类型的对象组icmp-typeSpecifiesagroupofICMPtypes,suchasechonetworkSpecifiesagroupofhostorsubnetIPaddressesprotocolSpecifiesagroupofprotocols,suchasTCP,etcserviceSpecifiesagroupofTCP/UDPports/services命令Object-groupgrpTypegrpNamedescription组描述group-object组中嵌套别的组network-object具体的一个Object定义，这里举network类型的情况对象组举例Object-groupnetwork grpNetWorkexitaccess-listaloutpermittcpobject-groupgrpNetWorkany应用层协议检查应用层协议检查除使用当前连接，还需要协商使用其它端口的协议。如,sip,rtsp一定程度代替端口映射的工