ASA - CCIE安全技术 - 腾科论坛-思科cisco|oracle|红帽Linux题库-最新ccie ccna ccnp学习资料下载 -
搜索
查看: 1326|回复: 1

ASA

[复制链接]

签到天数: 3 天

[LV.2]小学

发表于 2015-7-23 20:20:46 | 显示全部楼层 |阅读模式
Cisco PIX/ASA 7.x 防火墙透明模式下的配置

Cisco PIX/ASA 7.x 防火墙透明模式下的配置
      cisco PIX/ASA防火墙7.0以上版本支持透明配置。在进行透明配置之前需要下载CISCO PIX 7.0以上版本并升级IOS.其升级过程比较简单.
    在透明模式下,防火墙只能使用两个端口,也就是不能配置DMZ区.在透明模式下,不需要对每个接口配置IP地址,只需要配置一个管理地址. 管理地址必须与所在内部网络在同一个网段.
      透明配置模式下不支持NAT地址转换、IPV6、动态路由选择协议、DHCP中继、多播、QoS。因此透明配置模式下适合于不需要改变当前所在内网的网关设置,不需要NAT地址转换的环境。
    简单配置命令:
      1.fireware transparent  使防火墙在透明配置模式下
      2.ip address admin_address mask 配置防火墙的管理地址.
      3.route outside 0 0 gateway_address 设置默认路由,这里的 gateway_address 指路由器的默认网关.
    4.建立访问控制列表,下面访问控制列表是让外部202.22.22.0和202.22.33.0网络能够访问本地主机
          200.11.11.1的http.ftp和telnet服务.
        object-group network outnet
          description outnetwork
          202.22.22.0 255.255.255.0
          202.22.33.0 255.255.255.0
    object-group service outser tcp
          description outser_tcp
          port-object eq www
          port-object eq ftp
          port-object eq telnet
      access-list acl_out extend permit tcp object-group outnet host 200.11.11.1 object -group outser
    5.将访问控制列表邦定到端口
        access-group acl_out in interface outside
        在默认情况下防火墙禁止任何访问,因此在建立访问控制列表的时候要注意访问控制列表的顺序.


关键点:
透明模式只支持两个接口,透明模式也可以用multi-context
注意透明模式没有nat,没有路由

1. 3层流量要明确放行(ospf,eigrp),要想跨防火墙建邻居,两边都要permit
2. 直连的outside和inside网络必须属于相同子网
3. 必须要配置一个网管ip地址,必须~~~
4  网管ip和内外网ip在同一段.
5. 管理ip不能做内网网关
6. 可以配置网关,但是只做网管用,远程访问防火墙用
7. 每个接口必须在不同vlan,(这个是看的资料上写的,暂时不是很理解)
8. 所有流量都可由ip acl和ethernet acl控制是否放行,eth acl只能管二层流量,但是如果deny any了,则 2,3层都不过
9. arp不需要放行就可以过去,除arp外,所有二层流量默认都不通
10. cdp不可以过
透明模式不支持,nat, dynamic routing protocol,ipv6, dhcp relay,qos, multicast, 不能终结vpn

该用户从未签到

发表于 2016-3-19 10:25:10 | 显示全部楼层
大家有什么好看法,赶快说说
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|Archiver|腾科IT教育 ( 粤ICP备06098555号  

GMT+8, 2017-12-12 23:49 , Processed in 0.120362 second(s), 29 queries .