cisco ASA 防火牆安全算法原理和基本配置 （二）

三，NAT控制

1）禁用NAT控制（默認是禁用NAT控制的（no nat-control)

這時NAT規則並沒必要需的，沒作NAT，也容許出站，只是不進行轉換，以真實ip出去。

2）啓用NAT控制（ nat-control）

這是NAT規則是要必須有的，否則是出不了站的，沒有匹配的NAT規則。

四，NAT豁免

當啓用了NAT控制時，每一個發起鏈接都須要一個相應的NAT規則，配置了豁免，能夠繞過NAT規則。（如×××），NAT豁免容許雙向通訊。只能容許高級別應用。

配置NAT豁免首先要定義一個ACL，用於指定須要繞過NAT規則的流量。

下面我就根據前面的拓撲進行配置 豁免PC2主機（10.1.1.2）

asa（config）#access-list nonat permit ip 10.1.1.0 255.255.255.0 172.16.16.0 255.255.255.0

asa（config）#nat （inside) 0 access-list nonat

這樣pc2訪問172.16.16.0/24網段中的主機是不作NAT轉換的。

五，遠程管理ASA

1）配置容許telnet接入

asa（config）#telnet 10.1.1.0 255.255.255.0 inside 此配置只容許10.1.1.0/24網段使用telnet接入。

也能夠只容許一臺主機使用telnet接入。

asa（config）#telnet 10.1.1.22 255.255.255.255 inside

2）配置ssh接入

cisco asa（config）# host asa 配置主機名

asa（config）#domain-name accp.com 配置域名

asa(config)#passwd 密碼 passwd命令所指定的密碼爲遠程訪問密碼,一樣適用於telnet

asa（config）#crypto key generate rsa modulus 1024 生成RSA密鑰對

asa(config)#write mem 保存密鑰

查看密鑰對

asa（config）#show crypto key mypubkey rsa

容許ssh接入

asa（config）#ssh 10.1.1.0 255.255.255.0 inside

asa（config）#ssh 0 0 outside

asa （config）# ssh version 2

3)配置ASDM接入

1）啓用HTTPS服務器功能

asa（config）#http server enable {port}

2）容許https接入

asa（config）#http 10.1.1.0 255.255.255.0 inside

3）指定ASDM映像的位置

asa（config）#asdm p_w_picpath disk0：/asdmfile

4)配置客戶端登陸使用的用戶名和密碼

asa（config）#username zhangsan password 123456 privileges 15

5）以web的方式運行ASDM

六，日誌管理

日誌信息的安全級別分爲八個等級

0 emergency（很是緊急）

1 alert（緊急）

2 critical（臨界）

3 error（錯誤）

4 warning（警告）

5 notification（注意）

6 information（提醒）

7 debugging（調試）

1）配置日誌

asa（config）# clock timezone peking 8

2）配置時間

asa（config）#clock set 11：30:00 26 sep 2013

3)啓用日誌

asa（config）#logging enable

asa（config）# logging timestamp 啓用時間戳

asa（config）#logging trap information

asa（config）#logging host inside 10.1.1.2