Cisco防火墙ASA 初始化配置

1、设备上电过程中按ESC，进入ROM Monitor模式，恢复密码
rommon #0>  ## 跳出该视图下表示已经进入ROM模式
rommon #0>confreg 0x41 ## 改变寄存器的值为0x41
rommon #1>reboot
ciscoasa>enable
Password:（密码为空）
ciscoasa#configure terminal  ##进入配置视图
ciscoasa(config)#enable password grandtec.123  ## 设置密码grandtec.123
ciscoasa(config)#config-register 0x01
ciscoasa(config)#configure factory-default ## 恢复出厂配置文件
ciscoasa(config)#exit
ciscoasa#copy running-config startup-config  ## 拷贝当前运行的配置到启动配置
ciscoasa#write ## 输入y确认保存
ciscoasa#reload  ##重启
2、基本设备
asa(config)# hostname GrandtecASA5508  ##设置防火墙名称GrandtecASA5508
asa(config)# passwd grandtec.123  ##配置远程登录密码（在使用Telnet或SSH时需要输入的密码）
3、配置Telnet、SSH
注：最低安全级别的接口不支持telnet登陆，如Outside
ASA(config)# telnet 10.167.26.0 255.255.255.0 inside   //该网段IP可访问
ASA(config)# password grandtec.123
或使用用户名密码登陆
ASA(config)# username grandtec password grandtec.123
ASA(config)# aaa authentication telnet console LOCAL

SSH登陆     注：最低安全级别的接口也支持SSH登陆，如Outside
ASA(config)# crypto key generate rsa modulus 1024  ## 创建密钥
ASA(config)# aaa authentication ssh console LOCAL ## 需要认证的登录协议
ASA(config)# ssh 10.167.26.180 255.255.255.255 inside //只能特定IP访问
ASA(config)# ssh 10.167.26.0 255.255.255.0 inside //该网段的IP都能访问
ASA(config)# ssh 0.0.0.0 0.0.0.0 outside //外网任何IP都能访问
ASA(config)#username grandtec password grandtec.123
ASA(config)#ssh timeout 10    //单位分钟
ASA(config)#ssh version  2  //设置SSH版本

4、配置接口(名称，区域，安全等级)，部分机型无法在接口下直接配置，需要建立vlanif接口
asa(config)# interface Gi0/0/1    
asa(config-if)# nameif inside ##inside或者outside接口名称    
asa(config-if)# security-level 100## 注意: 安全级别{0-100} 高级别可以访问低级别，低级别无法访问高级别    
asa(config-if)#ip add 10.167.26.5 255.255.255.0
asa(config)#duplex full
asa(config)#speed 100
asa(config-if)# no shut
####ACL-入站访问控制:
asa(config)# access-list out_to_in permit ip host 172.16.1.5 host 10.1.1.7 #允许外网主机172.16.1.5访问内网主机10.1.1.7，out_to_in为ACL组名
access-list out_to_in extended permit ip any any  ## 允许外外网任意主机访问内网任意主机
access-list out_to_in extended deny ip any any  ## 拒绝外外网任意主机访问内网任意主机
asa(config)# access-group out_to_in in int outside ## 将组名为out_to_in的ACL应用在outside接口
#####ACL-出站访问控制:
asa(config)# access-list in_to_out deny ip 10.0.0.0 255.0.0.0 any ## 拒绝内网10.0.0.0网段 访问外网所有网段
asa(config)# access-list in_to_out permit ip any any ##允许其他所有流量通行，因为ACL有隐含的拒绝语句，所以配置ACL时，一般都需要允许所有流量:
asa(config)# access-group in_to_out in int inside ## 应用在内网接口
####ACL-建议性配置,防止外网扫描防火墙渗透，禁止ICMP协议:
ciscoasa(config)# access-list 111 permit icmp any any    定义ACL    
ciscoasa(config)# access-group 111 in int outside    应用到outside接口
#####配置静态路由:
asa(config)# route outside 172.16.0.0 255.255.0.0 10.0.0.1    去往外网172.16.0.0网段的流量下一跳为10.0.0.1
asa(config)# route inside 192.168.1.0 255.255.255.0 192.168.2.1    去往内网192.168.1.0网段的流量下一跳为192.168.2.1
asa(config)# route outside 0.0.0.0 0.0.0.0 192.168.255.254 1 //全局默认静态路由
###########NAT-动态PAT转换配置:
把内部全局地址10.1.1.2转换为30.1.1.100
ASA(config)# nat (inside) nat名称 10.1.1.0 255.255.255.0    ## 声明内部地址
ASA(config)# global (outside) nat名称 30.1.1.100-30.1.1.200    ## 声明全局地址，nat名称与内部nat名称要相同
ASA(config)# show xlate detai    ## 查看NAT地址转换表
转换为outside接口的地址:
ASA(config)# nat (inside) nat名称 10.1.1.0 255.255.255.0    ## 声明内部地址，nat-id为1
ASA(config)# global (outside) 1 interface    ## 声明内部地址全部转换为outside区域接口地址
###########NAT-静态NAT转换配置:
dmz区域的20.1.1.2 映射成公网地址100.1.1.1访问
ASA(config)# static (dmz,outside) 100.1.1.1 20.1.1.2    ## 第一个IP地址是公网IP地址，第二地址是dmz区域服务器的真实IP地址
ASA(config)# access-list 100 permit ip host 30.1.1.2 host 100.1.1.1 ## 建立放通规则100
ASA(config)# access-group 100 in int outside    ## 应用到出口区
@#####@@NAT-8.0-8.4版本ISO的系统NAT配置:
ciscoasa(config)#object network inside  ## 在inside区建立名为inside的网络对象
ciscoasa(config-network-object)#subnet 192.168.1.0 255.255.255.0  ## 对象中包含的网络
ciscoasa(config-network-object)#nat (inside,outside) dynamic interface ## 将该对象中的网络动态PAT转换为outside出口的接口地址
###############NAT-端口映射:
将内部的服务器映射到公网同一个IP，不同端口号
ASA(config)# static (dmz,outside) tcp 100.1.1.1 http 20.1.1.2 http ##将内网20.1.1.2的80端口映射到公网地址100.1.1.1的80端口，http为80端口，https为443....    
ASA(config)# access-list out_to_dmz permit ip host 30.1.1.2 host 100.1.1.1 ##建立放通规则
ASA(config)# access-group out_to_dmz in int outside ##应用到出口
###########DHCP配置-基于接口:
ASA(config)# dhcpd address 172.16.10.10-172.16.10.15 inside
ASA(config)# dhcpd dns 9.9.9.9
ASA(config)# dhcpd domain 123.com
ASA(config)# dhcpd enable inside
#############DHCP-中继配置:
ciscoasa(config)# dhcprelay server 192.168.2.254 dmZ  ## DHCP服务器来自DMZ区的192.168.2.254
ciscoasa(config)# dhcprelay enable dMZ ## 在DMZ区启用中继

ciscoasa# write memory    ##保存running configuration配置到startup configuration
ciscoasa# copy running-config startup-config    ##保存running configuration配置到startup configuration
ciscoasa(config)# clear configure all    ##清除running configuration的所有配置
ciscoasa(config)# clear configure access-list    ##清除所有acces-list命令的配置
ciscoasa(config)# clear configure access-list in_to_out    ##只清除access-list in_to_out 的配置
ciscoasa# write erase    ##删除startup-config配置文件

icmp unreachable rate-limit 1 burst-size 1         //防止快ping
icmp deny any outside                              //拒绝外网的ping
icmp permit any inside                             //允许inside区域的ping

GrandtecASA5508# sh inventory  ##查看cisco的sn号
GrandtecASA5508# sh controller ###硬件接口类型的数据包及差错统计信息
GrandtecASA5508# sh environment @@@查看风扇、电源、温度信息
GrandtecASA5508# sh processes cpu-usage  ###查看CPU占用情况
GrandtecASA5508# dir all-filesystems
GrandtecASA5508# show module   ####检验现有ROMMON版本：
GrandtecASA5508# sh bootvar

5、SLA链路故障检测机制BFD
sla monitor 123
 type echo protocol ipIcmpEcho 8.8.8.8 interface outside
  num-packets 3
  frequency 10
sla monitor schedule 123 life forever start-time now
track 1 rtr 123 reachability
route outside 0.0.0.0 0.0.0.0 <isp next hop> 1 track 1 ---primary
route inside 0.0.0.0 0.0.0.0 <mpls router ip> 254 ---secondary