CISCO ASA 基本設定










CISCO ASA 防火牆剛拿到的時候可以先接Console進去看show run原本設定,enable password預設沒有。

interface GigabitEthernet1/1
nameif outside
security-level 0
ip address dhcp setroute

interface GigabitEthernet1/2
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0

dhcpd address 192.168.1.5-192.168.1.254 inside
dhcpd enable inside

http server enable
http 192.168.1.0 255.255.255.0 inside

預設是第一port是WAN,第二port是LAN,有發一段DHCP 192.168.1.5-192.168.1.254,HTTP服務是開放的,只允許192.168.1.0/24網段登入,所以這時候我們可以插第二port進去拿到一個DHCP IP 192.168.1.5,點擊瀏覽器 https://192.168.1.1。



這時候你要先去安裝JAVA然後點擊 Install ASDM Launcher ,然後安裝 dm-launcher ,如果出現帳號密碼的話,空白登入即可,我把IP從192.168.1.1改成192.168.2.254,所以截圖不一樣。


接下來就會進入ASDM的主畫面。

Configuration ->  Interface Seting -> Interface,我要設定的是WAN Port,範例IP是 210.242.144.107/24。


Configuration -> Routing ->  Static Routes,設定預設路由,範例是210.242.144.254。



這時候內部網路還不能上網,因為上網一定要做NAT,我們到 Configuration > Firewall > Service Policy Rule > Add裡面的 > Add "Network Object" NAT Rule ,只要是192.168.2.0/24都NAT成Outside Interface IP,用 Dynamic PAT作。



我們測試電腦目前可以上網,但是ping不通,因為ASA預設沒有開放ICMP服務。



Configuration > Firewall > Service Policy Rules編輯預設的規則,頁籤 Rule Actions,把 ICMP相關打勾,確定。



驗證確實可以ping到 HINET DNS。



Configuration > Firewall > Access Rules 最後檢查政策,ASA 有 security-level 的概念,數字多少可以自己訂,常見的是 LAN 是100最安全,DMZ數字在0~100中間,WAN是 0 最不安全,預設數字大的介面可以到數字小的介面,但是數字小的介面沒辦法到數字大的介面,所以訂好之後預設 LAN 可以到 WAN ,但是 WAN 不能到 LAN ,這也是為什麼我們到現在都沒有設定 Policy 還是可以上網,ASA 最後隱藏一條deny any。



























留言

  1. 這一篇有介面說明,太感動了,已經花了二個星期,還搞不定我們家的asa

    回覆刪除

張貼留言

這個網誌中的熱門文章

FortiGate 網路基本設定

Windows AD 架設

交換器Console的連線方法