cisco ASA 防火墙安全算法原理和基本配置 （二）

三，NAT控制

1）禁用NAT控制（默认是禁用NAT控制的（no nat-control)

这时NAT规则并不必需的，没做NAT，也允许出站，只是不进行转换，以真实ip出去。

2）启用NAT控制（ nat-control）

这是NAT规则是要必须有的，不然是出不了站的，没有匹配的NAT规则。

四，NAT豁免

当启用了NAT控制时，每个发起连接都需要一个相应的NAT规则，配置了豁免，可以绕过NAT规则。（如×××），NAT豁免允许双向通信。只能允许高级别应用。

配置NAT豁免首先要定义一个ACL，用于指定需要绕过NAT规则的流量。

下面我就根据前面的拓扑进行配置 豁免PC2主机（10.1.1.2）

asa（config）#access-list nonat permit ip 10.1.1.0 255.255.255.0 172.16.16.0 255.255.255.0

asa（config）#nat （inside) 0 access-list nonat

这样pc2访问172.16.16.0/24网段中的主机是不做NAT转换的。

五，远程管理ASA

1）配置允许telnet接入

asa（config）#telnet 10.1.1.0 255.255.255.0 inside 此配置只允许10.1.1.0/24网段使用telnet接入。

也可以只允许一台主机使用telnet接入。

asa（config）#telnet 10.1.1.22 255.255.255.255 inside

2）配置ssh接入

cisco asa（config）# host asa 配置主机名

asa（config）#domain-name accp.com 配置域名

asa(config)#passwd 密码 passwd命令所指定的密码为远程访问密码,同样适用于telnet

asa（config）#crypto key generate rsa modulus 1024 生成RSA密钥对

asa(config)#write mem 保存密钥

查看密钥对

asa（config）#show crypto key mypubkey rsa

允许ssh接入

asa（config）#ssh 10.1.1.0 255.255.255.0 inside

asa（config）#ssh 0 0 outside

asa （config）# ssh version 2

3)配置ASDM接入

1）启用HTTPS服务器功能

asa（config）#http server enable {port}

2）允许https接入

asa（config）#http 10.1.1.0 255.255.255.0 inside

3）指定ASDM映像的位置

asa（config）#asdm p_w_picpath disk0：/asdmfile

4)配置客户端登录使用的用户名和密码

asa（config）#username zhangsan password 123456 privileges 15

5）以web的方式运行ASDM

六，日志管理

日志信息的安全级别分为八个等级

0 emergency（非常紧急）

1 alert（紧急）

2 critical（临界）

3 error（错误）

4 warning（警告）

5 notification（注意）

6 information（提醒）

7 debugging（调试）

1）配置日志

asa（config）# clock timezone peking 8

2）配置时间

asa（config）#clock set 11：30:00 26 sep 2013

3)启用日志

asa（config）#logging enable

asa（config）# logging timestamp 启用时间戳

asa（config）#logging trap information

asa（config）#logging host inside 10.1.1.2