千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 网络安全 >

ASA 8.4命令解析

发表于:2025-02-01 作者:千家信息网编辑
千家信息网最后更新 2025年02月01日,前面发表了一篇文章是ASA 8.0版本的,后面用到8.4发现命令有很多不一样,特发一篇8.4版本的命令可以和前面命令做对比和参考需要注意的是1.这边没有nat 0,也就是说到DMZ区域不需旁路。2.如
千家信息网最后更新 2025年02月01日ASA 8.4命令解析

前面发表了一篇文章是ASA 8.0版本的,后面用到8.4发现命令有很多不一样,特发一篇8.4版本的命令可以和前面命令做对比和参考

需要注意的是

1.这边没有nat 0,也就是说到DMZ区域不需旁路。

2.如果是ASA 5505的设备,则需定义vlan端口地址然后把防火墙相应端口加入对应vlan.

:

ASA Version 8.4(2) //版本8.4

!

hostname fw

enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

names

!

interface GigabitEthernet0

nameif inside

security-level 100

ip address 192.168.1.254 255.255.255.0

!

interface GigabitEthernet1

nameif dmz

security-level 50

ip address 172.16.1.254 255.255.255.0

!

interface GigabitEthernet2

nameif outside

security-level 0

ip address 221.222.1.2 255.255.255.0

!

interface GigabitEthernet3

shutdown

no nameif

no security-level

no ip address

!

interface GigabitEthernet4

shutdown

no nameif

no security-level

no ip address

!

interface GigabitEthernet5

shutdown

no nameif

no security-level

no ip address

!

ftp mode passive

object network inside //定义nat内部网段

subnet 0.0.0.0 0.0.0.0

object network outside //定义外网地址

host 221.222.1.2

object network telnet //定义需发布端口的内部服务器地址

host 172.16.1.2

object network www

host 172.16.1.1

object network towww //定义NAT转换的外部内址(此地址做静态NAT)

host 221.222.1.3

object network totelnet

host 221.222.1.4

object network natoutside

host 221.222.1.5

access-list outtodmz extended permit tcp any object www eq www //定义需要放行的流量

access-list outtodmz extended permit tcp any object www eq telnet

access-list outtodmz extended permit tcp any object telnet eq telnet

access-list outtodmz extended permit tcp any object telnet eq www

pager lines 24

mtu dmz 1500

mtu outside 1500

mtu inside 1500

no failover

icmp unreachable rate-limit 1 burst-size 1

no asdm history enable

arp timeout 14400

!

object network inside //定义动态多对一NAT

nat (dmz,outside) dynamic interface

object network telnet //定义端口转换

nat (dmz,outside) static interface service tcp telnet 2023

object network www //定义静态一对一NAT

nat (dmz,outside) static towww

access-group outtodmz in interface outside //应用ACL到端口进行流量放行

route outside 0.0.0.0 0.0.0.0 221.222.1.1 1 //默认路由

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h423 0:05:00 h325 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

timeout floating-conn 0:00:00

dynamic-access-policy-record DfltAccessPolicy

user-identity default-domain LOCAL

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart

telnet timeout 5

ssh timeout 5

console timeout 0

threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

!

class-map inspection_default

match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

parameters

message-length maximum client auto

message-length maximum 512

policy-map global_policy

class inspection_default

inspect dns preset_dns_map

inspect ftp

inspect h423 h325

inspect h423 ras

inspect ip-options

inspect netbios

inspect rsh

inspect rtsp

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

inspect icmp

!

service-policy global_policy global

prompt hostname context

no call-home reporting anonymous

call-home

profile CiscoTAC-1

no active

destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService

destination address email callhome@cisco.com

destination transport-method http

subscribe-to-alert-group diagnostic

subscribe-to-alert-group environment

subscribe-to-alert-group inventory periodic monthly

subscribe-to-alert-group configuration periodic monthly

subscribe-to-alert-group telemetry periodic daily

crashinfo save disable

Cryptochecksum:ceec7cf7a060a0ab5127d816542bb2db

: end


ASA QOS限速实例


access-list qos extended permitip host 192.168.1.10 host 192.168.2.10

access-list qos extended permitip host 192.168.2.10 host 192.168.1.10

class-map qos

match access-list qos

policy-map qos

class qos

police output 10000

police input 10000

service-policy qos interfaceinside


注意:

如果流量是已经建立的会话,那么数据包不会去找新建立的策略

只有在新建立的策略以后新生成的会话,才会撞击这个策略

http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113396-asa-packet-flow-00.html


8.3以后若有NAT, ACL需匹配源实际IP地址。

很赞哦!
地址 端口 命令 流量 版本 策略 静态 一对一 也就是 也就是说 动态 区域 只有 实例 实际 数据 新生 旁路 服务器 篇文章 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 光盘数据库设置 企业网络安全知识宣传 区块链平台软件开发 数据量多了数据库会很慢吗 竹溪专业软件开发技术指导 网络安全法建设运营和使用 宝山区网络技术服务产品介绍 服务器一般是什么人装的 我的世界服务器无敌 vb 查询sql数据库 深圳市多特网络技术有限公司 遍历数据库信息放入数组 虹口区固态硬盘服务器 数据库空间用什么命令查看 天津途至臻网络技术有限公司 社旗天气预报软件开发 数据库数据挖掘技术 南京蜂群网络技术有限公司 软件开发群说明 贵州云联网络技术有限公司 库里连接数据库 计算机网络安全应用前景 第十八届线上网络安全知识普及赛 湖北网络技术服务是真的吗 大龄软件开发要员的去路 武汉网络安全基地招聘 网络安全法第四条规定内容 数据库和php可以做的简单系统 房山区互联网网络技术服务哪家好 通州区软件开发培训班

相关文章

0