国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

防火墻通常的部署模式有兩種，路由模式（第三層的IP）和透明模式（第二層的MAC）。防火墻模式是部署在路由模式。透明模式下防火墻只支持兩種接口，內(nèi)部（inside）和外部（outside）接口，并且兩個(gè)接口共享同一個(gè)IP子網(wǎng)。

查看當(dāng)前防火墻的工作模式：

ciscoasa# show firewall
Firewall mode: Router

配置防火墻為透明模式：

ciscoasa(config)# firewall transparent

配置防火墻為路由模式：

ciscoasa(config)# firewall router

PS：配置透明防火墻之后，運(yùn)行配置會(huì)被清除，請(qǐng)注意保存配置到Flash存儲(chǔ)器。

配置透明防火墻：

ciscoasa(config)# firewall transparent

ciscoasa# show firewall 
Firewall mode: Transparent

配置區(qū)域和管理IP：

ciscoasa(config)# interface ethernet 0/0

ciscoasa(config-if)# nameif inside

ciscoasa(config-if)# ip address 192.168.1.201 255.255.255.0

ciscoasa(config-if)# no shu

ciscoasa(config)# interface ethernet 0/1

ciscoasa(config-if)# nameif outside

ciscoasa(config-if)# no shu

默認(rèn)路由：

ciscoasa(config)# route outside 0 0 10.1.1.2

靜態(tài)路由：

ciscoasa(config)# route inside 192.168.100.0 255.255.255.0 192.168.1.3

查看MAC地址獲取進(jìn)程狀態(tài)：

ciscoasa(config)# show mac-learn    
interface                         mac learn
-------------------------------------------
 inside                             enabled
 outside                            enabled
查看MAC地址表：
ciscoasa(config)# show mac-address-table inside 
interface                   mac  address          type      Age(min)
------------------------------------------------------------------
inside                     0023.4ee0.7b6c          dynamic    5
inside                     d0df.9a02.b1ac          dynamic    5
inside                     0022.1961.760c          dynamic    5
inside                     0015.0065.8e00          dynamic    5
inside                     ec6c.9f02.26ba          dynamic    5

設(shè)置MAC地址過期時(shí)間：

ciscoasa(config)# mac-address-table aging-time 10

為常用的主機(jī)定義靜態(tài)MAC地址表表項(xiàng)：

ciscoasa(config)# mac-address-table static inside 0023.4ee0.7b6c

MAC地址表中該MAC的類型：

ciscoasa(config)# show mac-address-table 
interface                   mac  address          type      Age(min)
------------------------------------------------------------------
inside                     0023.4ee0.7b6c          static

在一個(gè)接口上禁用MAC地址獲取功能：

ciscoasa(config)# mac-learn outside disable

添加靜態(tài)ARP表項(xiàng)（永不過期）：

ciscoasa(config)# arp inside 192.168.1.120 0023.4ee0.7b6c

啟用ARP檢測(cè)：

ciscoasa(config)# arp-inspection inside enable flood

ciscoasa(config)# arp-inspection outside enable no-flood

顯示每個(gè)接口的ARP檢測(cè)狀態(tài)：

ciscoasa(config)# show arp-inspection 
interface                arp-inspection         miss
----------------------------------------------------
inside                   enabled                flood
outside                  enabled                no-flood

配置接口訪問列表（不檢測(cè)，雙向放通BPDU和IPX流量）：

ciscoasa(config)# access-list access1 ethertype permit bpdu

ciscoasa(config)# access-list access1 ethertype permit ipx

ciscoasa(config)# access-group access1 in interface inside

ciscoasa(config)# access-group access1 in interface outside

配置一條ACL允許所有IP協(xié)議：

 ciscoasa(config)# access-list access2 permit any

相同級(jí)別的接口之間允許安全訪問：

ciscoasa(config)# same-security-traffic permit inter-interface

ciscoasa(config)# same-security-traffic permit intra-interface

查看NAT連接信息的xlate表：

ciscoasa(config)# show xlate
0 in use, 0 most used

ciscoasa(config)# show conn 
0 in use, 1 most used 

靜態(tài)NAT端口映射：

ciscoasa(config)# static (inside,outside) 10.1.1.1 192.168.0.5 netmask 255.255.255.255   一對(duì)一主機(jī)全映射

ciscoasa(config)# static (inside,outside) interface 192.168.0.5 netmask 255.255.255.255 將外部接口地址轉(zhuǎn)換到內(nèi)部主機(jī)地址192.168.0.5

ciscoasa(config)# static (inside,outside) tcp 10.1.1.1 www 192.168.0.5 www netmask 255.255.255.255        把外網(wǎng)口IP10.1.1.1的80端口訪問映射到192.168.0.5的80端口

ciscoasa(config)# static (inside,outside) tcp 10.1.1.1 smtp 192.168.0.10 smtp netmask 255.255.255.255        把外網(wǎng)口IP10.1.1.1的25端口訪問映射到192.168.0.10的25端口

在外部接口上放通映射的端口：

ciscoasa(config)# access-list access1 permit tcp any host 10.1.1.1 eq www

ciscoasa(config)# access-list access1 permit tcp any host 10.1.1.1 eq smtp

ciscoasa(config)# access-group access1 in interface outside

使用具有ACL訪問控制的條目不進(jìn)行NAT轉(zhuǎn)換，NAT豁免：

ciscoasa(config)# access-list access2 permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0

ciscoasa(config)# access-list access2 permit ip 192.168.0.0 255.255.255.0 192.168.2.0 255.255.255.0

ciscoasa(config)# access-list access2 permit ip 192.168.0.0 255.255.255.0 192.168.3.0 255.255.255.0

ciscoasa(config)# nat (inside) 0 access-list access2

PS：當(dāng)192.168.0.0/24網(wǎng)段的主機(jī)訪問192.168.1.0/24、192.168.2.0/24、192.168.3.0/24網(wǎng)段的主機(jī)時(shí)，不進(jìn)行NAT轉(zhuǎn)換。

將特殊的ACL訪問控制條目轉(zhuǎn)換為一個(gè)固定的IP10.1.1.1：

ciscoasa(config)# access-list access3 permit ip 192.168.0.0 255.255.0.0 10.10.0.0 255.255.0.0 
ciscoasa(config)# static (inside,outside) 10.1.1.1 access-list access3 0 0

PAT全局轉(zhuǎn)換，內(nèi)部192.168.0.0/16的主機(jī)訪問任意IP，轉(zhuǎn)換到outside接口的全局IP：

ciscoasa(config)# access-list access4 permit ip 192.168.0.0 255.255.0.0 any 
ciscoasa(config)# nat (inside) 1 access-list access4 

ciscoasa(config)# global (outside) 1 interface

INFO: outside interface address added to PAT pool

動(dòng)態(tài)NAT：

ciscoasa(config)# access-list access4 permit ip 192.168.0.0 255.255.0.0 any 
ciscoasa(config)# nat (inside) 1 access-list access4 

ciscoasa(config)# global (outside) 1 10.1.1.1-10.1.1.254 netmask 255.255.255.0

在內(nèi)部接口上只放通允許的網(wǎng)段：

ciscoasa(config)# access-list access0 permit ip 192.168.0.0 255.255.255.0 any

ciscoasa(config)# access-list access1 permit ip 192.168.1.0 255.255.255.0 any

ciscoasa(config)# access-list access1 deny ip any any

ciscoasa(config)# access-group access0 in interface inside

查看當(dāng)前配置的ACL：

ciscoasa(config)# show running-config access-list 
access-list access1 extended permit tcp any host 10.1.1.1 eq www 
access-list access1 extended permit tcp any host 10.1.1.1 eq smtp 
access-list access2 extended permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0 
access-list access3 extended permit ip 192.168.0.0 255.255.0.0 any

ciscoasa(config)# show access-list 
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list access1; 2 elements
access-list access1 line 1 extended permit tcp any host 10.1.1.1 eq www 

accss-list access1 line 2 extended permit tcp any host 10.1.1.1 eq smtp 
access-list access2; 1 elements
access-list access2 line 1 extended permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list access3; 1 elements

access-list access3 line 1 extended permit ip 192.168.0.0 255.255.0.0 any

ACL重命名：

ciscoasa(config)# access-list access3 rename access_3

ACL添加說明：

ciscoasa(config)# access-list access3 remark ACL_3_NAT

ciscoasa(config)# access-list access1 line 2 remark ACL_SMTP_PERMIT

移除一條ACL：

ciscoasa(config)# no access-list access1 extended permit ip any any

定義網(wǎng)絡(luò)對(duì)象組：

ciscoasa(config)# object-group network Accounting_Addrs

ciscoasa(config-network)# description List of Accounting Dept IP Addresses

ciscoasa(config-network)# network-object host 192.168.0.1

ciscoasa(config-network)# network-object host 192.168.0.2

ciscoasa(config-network)# network-object host 192.168.0.3

ciscoasa(config-network)# network-object 192.168.1.0 255.255.255.0

PS：在對(duì)象組中新增的主機(jī)IP，會(huì)自動(dòng)在被使用的ACL中擴(kuò)展。

網(wǎng)絡(luò)對(duì)象組的引用：

ciscoasa(config)# object-group network RemoteSite_addrs

ciscoasa(config-network)# group-object Accounting_Addrs

定義協(xié)議對(duì)象組：

ciscoasa(config)# object-group protocol Tunnel1_proto

ciscoasa(config-protocol)# description Tunneling Protocols

ciscoasa(config-protocol)# protocol-object ipinip

ciscoasa(config-protocol)# protocol-object esp

ciscoasa(config-protocol)# protocol-object ah

ciscoasa(config-protocol)# protocol-object gre

協(xié)議對(duì)象組的引用：

ciscoasa(config)# object-group protocol Group1_proto

ciscoasa(config-protocol)# group-object Tunnel1_proto

定義基本服務(wù)對(duì)象組：

ciscoasa(config-protocol)# object-group service Web_ports tcp

ciscoasa(config-service)# description TCP ports users by Web browsers

ciscoasa(config-service)# port-object eq www

ciscoasa(config-service)# port-object eq https

ciscoasa(config-service)# port-object range 8080 8088

ciscoasa(config-service)# exit

基本服務(wù)對(duì)象組的引用：

ciscoasa(config)# object-group service Example_ports tcp 
ciscoasa(config-service)# group-object Web_ports

定義增強(qiáng)型服務(wù)對(duì)象組：

ciscoasa(config-service)# object-group service test

ciscoasa(config-service)# description test service

ciscoasa(config-service)# service-object icmp echo

ciscoasa(config-service)# service-object icmp echo-reply

ciscoasa(config-service)# service-object esp

ciscoasa(config-service)# service-object udp eq isakmp

ciscoasa(config-service)# service-object udp source 10000

ciscoasa(config-service)# service-object tcp eq www

ciscoasa(config-service)# exit

PS：增強(qiáng)型服務(wù)對(duì)象組只能被ACL調(diào)用一次。

在ACL中使用對(duì)象組：

ciscoasa(config)# access-list access5 extended permit tcp object-group RemoteSite_addrs any object-group Web_ports

ciscoasa(config)# access-list access6 extended permit object-group test any host 192.168.0.100

重置ACL匹配計(jì)數(shù)器：

ciscoasa(config)# clear access-list access5 counters

惡意主機(jī)規(guī)避：

ciscoasa(config)# shun 172.21.4.8

查看連接：

ciscoasa(config)# show conn

查看規(guī)避：

ciscoasa(config)# show shun

查看系統(tǒng)日志：

ciscoasa(config)# show logging

查看規(guī)避統(tǒng)計(jì)信息：
ciscoasa(config)# show shun statistics

移除特定的規(guī)避源地址：

ciscoasa(config)# no shun 172.21.4.8