cisco ASA 防火墻安全算法原理和基本配置 （二）

三，NAT控制

1）禁用NAT控制（默認是禁用NAT控制的（no nat-control)

這時NAT規則并不必需的，沒做NAT，也允許出站，只是不進行轉換，以真實ip出去。

2）啟用NAT控制（ nat-control）

這是NAT規則是要必須有的，不然是出不了站的，沒有匹配的NAT規則。

四，NAT豁免

當啟用了NAT控制時，每個發起連接都需要一個相應的NAT規則，配置了豁免，可以繞過NAT規則。（如×××），NAT豁免允許雙向通信。只能允許高級別應用。

配置NAT豁免首先要定義一個ACL，用于指定需要繞過NAT規則的流量。

下面我就根據前面的拓撲進行配置 豁免PC2主機（10.1.1.2）

asa（config）#access-list nonat permit ip 10.1.1.0 255.255.255.0 172.16.16.0 255.255.255.0

asa（config）#nat （inside) 0 access-list nonat

這樣pc2訪問172.16.16.0/24網段中的主機是不做NAT轉換的。

五，遠程管理ASA

1）配置允許telnet接入

asa（config）#telnet 10.1.1.0 255.255.255.0 inside 此配置只允許10.1.1.0/24網段使用telnet接入。

也可以只允許一臺主機使用telnet接入。

asa（config）#telnet 10.1.1.22 255.255.255.255 inside

2）配置ssh接入

cisco asa（config）# host asa 配置主機名

asa（config）#domain-name accp.com 配置域名

asa(config)#passwd 密碼 passwd命令所指定的密碼為遠程訪問密碼,同樣適用于telnet

asa（config）#crypto key generate rsa modulus 1024 生成RSA密鑰對

asa(config)#write mem 保存密鑰

查看密鑰對

asa（config）#show crypto key mypubkey rsa

允許ssh接入

asa（config）#ssh 10.1.1.0 255.255.255.0 inside

asa（config）#ssh 0 0 outside

asa （config）# ssh version 2

3)配置ASDM接入

1）啟用HTTPS服務器功能

asa（config）#http server enable {port}

2）允許https接入

asa（config）#http 10.1.1.0 255.255.255.0 inside

3）指定ASDM映像的位置

asa（config）#asdm p_w_picpath disk0：/asdmfile

4)配置客戶端登錄使用的用戶名和密碼

asa（config）#username zhangsan password 123456 privileges 15

5）以web的方式運行ASDM

六，日志管理

日志信息的安全級別分為八個等級

0 emergency（非常緊急）

1 alert（緊急）

2 critical（臨界）

3 error（錯誤）

4 warning（警告）

5 notification（注意）

6 information（提醒）

7 debugging（調試）

1）配置日志

asa（config）# clock timezone peking 8

2）配置時間

asa（config）#clock set 11：30:00 26 sep 2013

3)啟用日志

asa（config）#logging enable

asa（config）# logging timestamp 啟用時間戳

asa（config）#logging trap information

asa（config）#logging host inside 10.1.1.2