*第1頁第9章

防火墻配置*第2頁學習目標理解：防火墻的工作機制掌握：防火墻的基本配置及應用理解：防火墻的動態地址轉換的工作機制掌握：防火墻的動態地址轉換的配置及應用理解：防火墻的端口地址轉換的工作機制掌握：防火墻的端口地址轉換的配置及應用理解：防火墻的靜態地址轉換的工作機制掌握：防火墻的靜態地址轉換的配置及應用學習完本次課程，您應該能夠：*第3頁課程內容

防火墻的基本配置

防火墻的動態地址轉換

防火墻的端口地址轉換

防火墻的靜態地址轉換

*第4頁1ASA防火墻基本配置主要內容ASA防火墻ASA防火墻的基本配置及案例*第5頁1.1ASA防火墻1）ASA防火墻簡介2005年5月，Cisco推出適應性安全產品（ASA,AdaptiveSecurityAppliance），即ASA系列的防火墻。ASA系列防火墻是作為PIX系列防火墻的替代產品出現的。ASA系列防火墻在提供基本防火墻的功能之外，還提供了更多的安全特性，適用于在各種網絡環境中使用，并且更加便于管理、監控和維護。CiscoASA5500系列自適應安全設備是能夠為從小型辦公室/家庭辦公室和中小企業到大型企業的各類環境提供新一代安全性和VPN服務的模塊化安全平臺。并且可以根據客戶對防火墻、入侵防御（IPS）、Anti-X和VPN的要求而特別定制安全服務。*第6頁2）ASA產品系列介紹適用于低端小型或分支辦公室的防火墻：CiscoASA5505、CiscoASA5510、CiscoASA5512-X、CiscoASA5515-X等。適用于中型企業的防火墻：CiscoASA5520、CiscoASA5540等。適用于大型企業的防火墻：CiscoASA5550、CiscoASA5580等。*第7頁1.2ASA防火墻的基本配置1）設置主機名命令格式：CiscoAsa(config)#hostname主機名參數說明：主機名：也就是設備名，默認為ciscoasa。強烈建議為每個安全設備設立一個獨特的主機名稱，以方便在網絡中對它們辨認與區別。*第8頁2）配置域名命令格式：CiscoAsa(config)#domain-name域名參數說明：域名：網絡設備通常都屬于某一個域，此命令用于設置設備所在的域名。如果設備的主機名為ASA001，域名設置為ABC.com，那么此設備的全稱域名為ASA001.ABC.com。*第9頁3）設置密碼密碼可分為遠程登錄密碼和特權密碼。ASA防火墻的密碼都是加密保存的。遠程登錄密碼命令格式：CiscoAsa(config)#password遠程登錄密碼參數說明：遠程登錄密碼：即telnet密碼。特權模式密碼命令格式：CiscoAsa(config)#enablepassword特權模式密碼參數說明：特權模式密碼：即使用enable進入特權模式時的密碼。*第10頁4）清空內存中的配置內容將內存中的配置全部清除。也即將running-config的內容全部清空。命令格式：CiscoAsa(config)#cleatrconfigall命令說明：請注意此命令是在全局配置模式下執行。*第11頁5）清空啟動配置文件將啟動配置文件的內容全部清空。也即將startup-config文件的內容全部清空。命令格式：CiscoAsa#writeerase命令說明：請注意此命令是在特權配置模式下執行。*第12頁6）接口配置防火墻的接口可分為數據傳輸接口和管理接口（控制口）。數據傳輸接口默認情況下都是關閉的。對于數據傳輸接口的主要配置是設置接口的名稱、安全級別、IP地址。*第13頁（1）接口名稱配置命令格式：CiscoAsa(config-if)#nameif接口名稱參數說明：接口名稱：防火墻用接口名稱來標識和區別各個接口所連接網絡的類型，比如，內部網絡、外部網絡、DMZ區等。根據接口連接的網絡，接口別名一般可設置為：inside、outside、dmz，它們分別表示內部接口、外部接口和非軍事區接口。CiscoASA5520、5540和5550系列都是默認將GigabitEthnet0/1作為內部接口，5510系列都是默認將FastEthnet0/1作為內部接口。我們發現如果某接口別名沒有配置，則此接口不會自動出現在防火墻的直連路由中。*第14頁（2）安全級別配置命令格式：CiscoAsa(config-if)#security-level安全級別參數說明：安全級別：安全級別的數值范圍：0—100。其中0安全級別最低，100安全級別最高。使用nameif給接口設置別名時，系統會自動為接口分配一個預定義的安全級別，inside安全級別為100，其他為0。一般情況下，我們可以將DMZ接口的安全級別設置為0--100之間的某一個值。安全級別反映了一個接口對另外接口的信任程度。如果某接口沒有設置安全級別，它將不會在網絡層作出任何響應。默認情況下，只要滿足ACL、狀態檢測和NAT的要求，就允許流量從安全級別高的接口流向安全級別低的接口，比如，從內部接口向外部接口；當流量從安全級別低的接口流向安全級別高的接口時，必須要再經過額外的檢測和過濾。CiscoASA允許多個接口的安全級別相同，如果想讓相同級別的接口間能夠相互通信，就需要在全局配置模式下，執行下面的命令：CiscoAsa(config)#same-security-trafficpermitinter-interfaces*第15頁（3）IP地址配置命令格式：CiscoAsa(config-if)#ipaddressIP地址

子網掩碼*第16頁*第17頁7）配置案例例1：CiscoASA防火墻接口e0/1、e0/2分別連接二個路由器R1、R2，現將ASA的e0/1口的別名設置為inside，安全級別為100，IP地址設置；將ASA的e0/2口的別名設置為dmz，安全級別為50，IP地址設置；并檢驗R1、ASA、R2之間的連通情況。網絡拓撲圖如圖9.1.1所示。*第18頁（1）在ASA上配置接口名稱、安全級別、IP地址CiscoAsa(config)#interfacee0/1CiscoAsa(config-if)#nameifinsideCiscoAsa(config-if)#security-level100CiscoAsa(config-if)#ipaddressCiscoAsa(config)#interfacee0/2CiscoAsa(config-if)#nameifdmzCiscoAsa(config-if)#security-level50CiscoAsa(config-if)#ipaddress（2）在路由器R1上配置IP地址、默認路由R1(config)#iprouteR1(config)#interfacef0/0R1(config-if)#ipaddress*第19頁（3）在路由器R2上配置IP地址、默認路由R2(config)#iprouteR2(config)#interfacef0/0R2(config-if)#ipaddress*第20頁（4）連通性檢測在R1上ping防火墻上的e0/1口的地址，在R2上ping防火墻上的e0/2口的地址。這二種操作的結果都是連通的。如果在R1上ping路由器R2上f0/0接口的地址，能通嗎？為什么呢？（是不通的，防火墻默認是不允許ICMP的包穿過防火墻的。）*第21頁如何檢測R1、R2之間是否可通呢？我們可以在R2上打開遠程登錄，然后從R1上可以登錄到R2上。具體配置如下：R2(config)#linevty04R2(config-line)#passwordabcR2(config-line)#login然后，在R1上遠程登錄R2：R1#telnet*第22頁*第23頁命令執行結果如圖9.1.2所示。查看遠程登錄的情況。*第24頁課程內容

防火墻的基本配置防火墻的動態地址轉換

防火墻的端口地址轉換防火墻的靜態地址轉換*第25頁2ASA防火墻動態網絡地址轉換（動態NAT）主要內容ASA防火墻的地址轉換ASA防火墻的動態地址轉換的配置及案例*第26頁2.1ASA防火墻的地址轉換1）ASA防火墻的地址轉換地址轉換是防火墻的一項重要功能，也可以說是一項必備的功能。當前，幾乎所有的企業網絡在連入Internet時，都要做NAT。ASAIOS7.0以前，通過防火墻的流量默認必須是要做NAT的，否則，不能通過。地址轉換可以在一定程度上解決IPv4的地址緊張問題；可以隱藏內部網絡，起到保護內部網絡的作用。*第27頁2）ASA防火墻支持的NAT類型

CiscoASA防火墻一共支持以下5種類型的地址轉換，它們的配置方法互不相同。動態NAT動態PAT靜態NAT靜態PAT策略NAT或PAT*第28頁2.2動態網絡地址轉換（動態NAT）配置及案例ASA防火墻的動態NAT配置比路由器的NAT配置需要的命令數目少，ASA防火墻的動態NAT配置主要由以下二步組成：定義全局地址池；將全局地址池映射給本地地址。*第29頁1）定義全局地址池（Global）命令格式：global(外網接口)NAT_ID起始IP地址-結束IP地址netmark子網掩碼參數說明：外網接口：表示外網接口名稱，一般為outside。NAT_ID標識：其值為大于等于1的數字。0有特殊用途。此global命令將與有相同NAT_ID的nat命令的配對進行地址轉換。起始IP地址-結束IP地址：NAT的地址池，也即將被轉成的ip地址范圍。子網掩碼：表示與地址池的全局IP地址的相對應的子網掩碼。*第30頁2）將全局地址池映射給本地地址（NAT）地址轉換命令，將內網的私有ip轉換為外網公網ip。命令格式：nat(內網接口)NAT_ID本地IP地址子網掩碼參數說明：內網接口：表示內網接口名稱，一般為inside。NAT_ID：其值為大于等于1的數字。0有特殊用途。此nat命令將于有相同NAT_ID的gobal命令的配對進行地址轉換。本地IP地址：將會被轉換的本地IP地址。子網掩碼：表示與本地IP地址對應的子網掩碼。*第31頁3）配置案例例1．企業內網的網絡地址為/24，現在通過動態NAT訪問Internet，已知分配給動態NAT的IP地址池為0—9。現在ASA防火墻上實現動態NAT，并驗證。*第32頁（1）ASA防火墻、路由器等設備的基本配置按圖1建立拓撲，并按圖1所示對各設備進行配置，并測試驗證。//在ASA上配置接口名稱、安全級別、IP地址CiscoAsa(config)#interfacee0/1CiscoAsa(config-if)#nameifinsideCiscoAsa(config-if)#security-level100CiscoAsa(config-if)#ipaddressCiscoAsa(config-if)#noshutdown*第33頁CiscoAsa(config)#interfacee0/0CiscoAsa(config-if)#nameifoutsideCiscoAsa(config-if)#security-level0CiscoAsa(config-if)#ipaddressCiscoAsa(config-if)#noshutdown*第34頁//在路由器R1配置IP地址、默認路由R1(config)#iproute

//默認路由R1(config)#interfacef0/0

R1(config-if)#ipaddressR1(config-if)#noshutdown*第35頁//在路由器R2配置IP地址、默認路由、設置遠程登錄口令R2(config)#iproute

R2(config)#interfacef0/0R2(config-if)#ipaddressR2(config-if)#noshutdownR2(config)#linevty04R2(config-line)#passwordabcR2(config-line)#login*第36頁完成以上配置，可通過下面的操作，對上面的配置結果進行驗證。首先，從路由器R1上遠程登錄路由器R2。以檢測網絡是否可通。

*第37頁其次，在路由器R2上查看用戶。可以看到當前有一個來自（路由器R1）的遠程登錄。*第38頁第三，在防火墻查看轉換表。可以看到當前NAT轉換表為空。*第39頁（2）在ASA上定義全局地址池

CiscoAsa(config)#global(outside)10-9netmark（3）將全局地址池映射到本地地址

CiscoAsa(config)#nat(inside)1請注意NAT_ID的匹配使用的。上面的global、nat命令中，都使用了數字“1”作為NAT的標識。*第40頁（4）動態NAT驗證首先，從路由器R1上遠程登錄路由器R2。其次，在路由器R2上查看用戶。可以看到當前有一個來自0的遠程登錄。

*第41頁第三，在防火墻查看轉換表。可以看到當前NAT轉換表的內容。由上面的轉換表的內容可知，內部IP地址被轉換為IP地址0。*第42頁例2．如果現在某企業網的內網有二個網段分別為/24和/24，希望通過動態NAT上網，且網段/24轉換范圍為0--9，網段/24轉換范圍為0--9。如何實現呢？*第43頁（1）網絡拓撲及設備基本配置 網絡拓撲及設備基本配置與圖9.2.1相同，并在此基礎上，在路由器R1上添加一個環回地址/24。其它與例1的第一步完成相同。//在路由器R1配置IP地址、默認路由R1(config)#iproute

//默認路由R1(config)#interfacef0/0

R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config)#interfaceloopback0//設置回環口0R1(config-if)#ipaddress*第44頁（2）在ASA上定義全局地址池

CiscoAsa(config)#global(outside)10-9netmark

CiscoAsa(config)#global(outside)20-9netmark（3）將全局地址池映射到本地地址CiscoAsa(config)#nat(inside)1CiscoAsa(config)#nat(inside)2請注意NAT_ID的匹配使用的。*第45頁（4）動態NAT驗證I．在路由器R1上使用為源地址遠程登錄路由器R2首先，從路由器R1上使用為源地址遠程登錄路由器R2。完整命令為：R1(config)#

telnet/source-interfacef0/0參數說明：source-interface：關鍵字，源接口。其后的f0/0，是準備使用的IP地址所在的接口類型與編號，在這里使用的在路由器的F0/0口。*第46頁*第47頁其次，在路由器R2上查看用戶。可以看到當前有一個來自0的遠程登錄。*第48頁然后，在ASA防火墻上查看NAT轉換表II．在路由器R1上使用為源地址遠程登錄路由器R2首先，從路由器R1上使用為源地址遠程登錄路由器R2。是環回接口loopback0的地址其次，在路由器R2上查看用戶。可以看到當前有一個來自0的遠程登錄。然后，在ASA防火墻上查看NAT轉換表從上表可以看到，和分別被轉換為0和0。*第52頁課程內容

防火墻的基本配置防火墻的動態地址轉換防火墻的端口地址轉換

防火墻的靜態地址轉換*第53頁3ASA防火墻動態端口地址轉換（動態PAT）主要內容ASA防火墻的端口地址轉換ASA防火墻的端口地址轉換的配置及案例*第54頁3.1ASA防火墻端口地址轉換PAT在網絡地址轉換（NAT）時，本地地址與全局地址是一對一地進行轉換，也即如果內部有10專用地址需要同時上網，那么，地址池中至少需要10個公用IP地址。換句話說，使用網絡地址轉換時，如果地址池中，只有10個全局地址，是沒有辦法讓11個只有本地地址PC同時通過網絡地址轉換的。所以動態NAT對于緩解公用IP地址的不足問題非常有限。端口地址轉換（PAT），將多個本地地址轉換成一個單個的全局地址，同時將源端口號也會轉換成一個指定的端口，并形成轉換前的端口與轉換后的端口對應表，此時主要通過端口來區分不同的網絡連接。端口號長度為16位二進制位，可以有65536個端口號，即使有些端口（比如0--1023）已經保留給特定的網絡使用。還有64000多個端口，理論上，一個全局地址可以讓64000多個本地地址進行地址轉換。這樣，可大大地緩解單位網絡由于全局地址不足的上網問題。*第55頁需要特別指出的是，使用PAT時，雖然理論上一個全局地址可以讓64000多個本地地址實現地址轉換，但實際設備能夠支持的往往小于這個理論數。當前各單位內部員工訪問Internet，幾乎都是使用PAT來實現地址轉換的。*第56頁3.2動態端口地址轉換（動態PAT）配置及案例ASA防火墻的端口地址轉換（PAT）配置與網絡地址轉換步驟是一樣的，唯一的區別是，端口地址轉換（PAT）配置中，只需要指定一個全局地址就可以了，而不是指定一個全局地址池。所以，ASA防火墻的端口地址轉換（PAT）配置主要以下兩步組成：定義一個全局地址（global）；將全局地址映射給本地地址（nat）。*第57頁（1）定義一個全局地址（Global）命令格式：global(外網接口)NAT_ID全局地址netmark子網掩碼參數說明：外網接口：表示外網接口名稱，一般為outside。NAT_ID標識：其值為大于等于1的數字。0有特殊用途。此global命令將與有相同NAT_ID的nat命令的配對進行地址轉換。全局地址：這里只需要指定一個全局地址就可以了。子網掩碼：表示與地址池的全局IP地址的相對應的子網掩碼。*第58頁（2）將全局地址映射給本地地址（NAT）地址轉換命令，將內網的私有ip轉換為外網公網ip。命令格式：nat(內網接口)NAT_ID本地IP地址子網掩碼參數說明：內網接口：表示內網接口名稱，一般為inside。NAT_ID：其值為大于等于1的數字。0有特殊用途。此nat命令將與有相同NAT_ID的gobal命令的配對進行地址轉換。本地IP地址：將會被轉換的本地IP地址。子網掩碼：表示與本地IP地址對應的子網掩碼。*第59頁（3）配置案例例1．企業內網的網絡地址為/24，現在通過端口地址轉換（PAT）訪問Internet，已知分配給動態NAT的IP地址池為。現在ASA防火墻上實現端口地址轉換（PAT），并驗證。*第60頁I．ASA防火墻、路由器等設備的基本配置按圖9.3.1建立拓撲，并按圖9.3.1所示對各設備進行配置，并測試驗證。//在ASA上配置接口名稱、安全級別、IP地址CiscoAsa(config)#interfacee0/1CiscoAsa(config-if)#nameifinsideCiscoAsa(config-if)#security-level100CiscoAsa(config-if)#ipaddressCiscoAsa(config-if)#noshutdown*第61頁CiscoAsa(config)#interfacee0/0CiscoAsa(config-if)#nameifoutsideCiscoAsa(config-if)#security-level0CiscoAsa(config-if)#ipaddressCiscoAsa(config-if)#noshutdown*第62頁//在路由器R1配置IP地址、默認路由R1(config)#iproute//默認路由R1(config)#interfacef0/0R1(config-if)#ipaddressR1(config-if)#noshutdown*第63頁//在路由器R2配置IP地址、默認路由、設置遠程登錄口令R2(config)#iprouteR2(config)#interfacef0/0R2(config-if)#ipaddressR2(config-if)#noshutdownR2(config)#linevty04R2(config-line)#passwordabcdR2(config-line)#login*第64頁完成以上配置，可通過下面的操作，對上面的配置結果進行驗證。首先，從路由器R1上遠程登錄路由器R2。以檢測網絡是否可通。*第65頁其次，在路由器R2上查看用戶。可以看到當前有一個來自（路由器R1）的遠程登錄。*第66頁第三，在防火墻查看轉換表。可以看到當前NAT轉換表為空。II．在ASA上定義全局地址池

CiscoAsa(config)#global(outside)1netmarkIII．將全局地址池映射到本地地址

CiscoAsa(config)#nat(inside)1請注意NAT_ID的匹配使用的。上面的global、nat命令中，都使用了數字“1”作為NAT的標識。IV．端口地址轉換（PAT）驗證（1）從路由器R1上遠程登錄路由器R2。（2）在路由器R2上查看用戶。可以看到當前有一個來自的遠程登錄。（3）在防火墻查看轉換表。可以看到當前PAT轉換表的內容。由上面的轉換表的內容可知，當前轉換表里有一條記錄，轉換類型為PAT，內部網絡的本地地址，端口為31729，被轉換為全局地址，端口為1024。V．在路由器Router1上添加一個環回接口R1(config)#interfaceloopback0//定義一個回環接口R1(config-if)#ipaddressVI．再次進行PAT檢驗（1）在路由器Router1上分別以和為源地址，遠程登錄Router2。（2）在ASA防火墻上查看轉換表從轉換表中，我們可以看到，本地地址和都被轉換為全局地址，這二個連接轉換的全局地址雖然相同，但端口是不一樣的，的原端口為14389，轉換為的端口為1027；的原端口為50138，轉換為的端口為1028。*第74頁課程內容

防火墻的基本配置防火墻的動態地址轉換防火墻的端口地址轉換防火墻的靜態地址轉換*第75頁4ASA防火墻靜態地址轉換（StaticNAT）主要內容ASA防火墻的靜態地址轉換ASA防火墻的靜態地址轉換的配置及案例*第76頁4.1ASA防火墻的靜態地址轉換靜態地址轉換，就是將專用IP地址與公用IP地址進行固定的映射。一般當內網或DMZ區中的使用專用IP地址的服務器想讓外網的人訪問時，就要將服務器的專用IP地址與全局IP地址做靜態地址轉換，這樣方便外網用戶的主動訪問。*第77頁4.2ASA防火墻的靜態地址轉換配置及案例ASA防火墻的靜態NAT配置，一般由以下三步組成：配置靜態地址轉換設置允許外網訪問的策略；將策略應用到接口上。*第78頁（1）配置靜態地址轉換命令格式：static(內網接口，外網接口)全局IP地址本地IP地址參數說明：內網接口：可以是內部網絡接口或DMZ接口。外網接口：表示外網接口名稱，一般為outside。全局IP地址：被映射成的全局IP地址。本地IP地址：專用IP地址，被映射的本地IP地址。*第79頁（2）設置策略通過ACL設置策略，讓外網的主機可以訪問被靜態NAT的主機。例：將DMZ區的某服務器靜態映射成，要讓外網的人可以訪問此服務器。可設置以下的ACL。CiscoAsa(config)#access-listoutpermitipanyhost*第80頁（3）將策略應用到外網接口CiscoAsa(config)#interfacee0/0CiscoAsa(config-if)#

access-groupoutininterfaceoutside命令格式為：CiscoAsa(config-if)#access-groupACL列表名稱ininterface外網接口名稱說明：ACL列表名稱：就是前面定義的訪問策略的ACL列表名稱；外網接口名稱：外網接口名稱要與第一步中的外網接口名稱一致。如果已知防火墻的ethernet0/0接口與外網連接，且此接口的名稱為outside，可使用以下的命令將第二步定義的策略out應用到此外網接口上：CiscoAsa(config)#interfacee0/0CiscoAsa(config-if)#access-groupoutininterfaceoutside*第82頁（4）案例例1．企業內網的網絡地址為/24，通過ASA防火墻與外網相連，現假設想將內網中的靜態NAT為。網絡拓撲及設備各接口的IP地址如圖9.4.1所示。現在ASA防火墻上實現靜態NAT，并驗證。*第83頁I．ASA防火墻、路由器等設備的基本配置按圖9.4.1建立拓撲，并按圖9.4.1所示對各設備進行配置，并測試驗證。//在ASA上配