ASA防火墙的网管方式ACL配置实例

上篇讲了ASDM的使用，那本篇就讲一下命令模式的配置ASA防火墙的网络管理以及ACl配置。

ASA防火墙的网管方式

拓扑

1、telnet

需求
inside区域允许网段192.168.150.0/24通过telnet访问ASA，并且使用本地数据库认证

ASA(config)#telnet 192.168.150.0 255.255.255.0 inside
ASA(config)#username admin password admin privilege 15
ASA(config)#aaa authentication telnet console LOCAL
注意设备中的最低级别无法被telnet。
配置完成，让R1telnetASA,成功telnet上。

修改telnet远程登陆的默认密码
ASA(config)#passwd ccie

修改enable的密码
ASA(config)# enable password //enable采用空密码
ASA(config)# enable password ccie enable采用空密码

2、ssh

需求
DMZ区域所有主机都能通过SSH管理ASA，并且通过本地数据库用户认证
ASA(config)#domain-name ssh.com
ASA(config)#crypto key generate rsa
ASA(config)#ssh 0 0 DMZ
ASA(config)#aaa authentication ssh console LOCAL
配置完成，让R2sshASA，成功ssh。

3、http

4、带外网管口

带外网关口，该接口只允许专用管理流量，其他穿越流量都被拒绝
ASA(config)# interface g0
ASA(config-if)# management-only
一开始R1telnetR2的流量可以经过ASA的g0口到达R2

配置了带外网关口之后，流量到达g0口，ASA看到目的地址不是自己，则丢弃该数据包，最后无法到达R2

ACL配置实例

拓扑

如该拓扑所示，配置命令满足下列需求。
需求1：在outside接口配置入方向的ACL
需求2：放行outside网络访问inside网络的telnet流量
需求3：放行outside网络访问dmz的http流量
需求4：配置默认拒绝所有的ACL，并且LOG丢弃数据包。

基础配置不在介绍（注意需配置路由保证网络的通信），满足不配置ACL的接口需求（如下）

配置命令：
ASA(config)# access-list out extended permit tcp 192.168.106.0 255.255.255.0 192.168.150.0 255.255.255.0 eq 23 //定义一个out的ACL匹配条目，满足需求2
ASA(config)#access-list out extended permit tcp 192.168.106.0 255.255.255.0 192.168.184.0 255.255.255.0 eq www //定义一个out的ACL匹配条目，满足需求3
ASA(config)#access-list out extended deny ip any any log //定义一个out的ACL匹配条目，满足需求4
Loggin enable //开启监控
Loggin console 7 //开启7级别监控
（这里配置的是网段的，所以疯狂的跳，建议配置host的方便查看）
No Loggin enable //关闭监控

ASA(config)# access-group out in interface outside //调用在outside接口

配置完成，来查看效果，
R3（outside）telnet R1（inside）没有问题

R3（outside）http R2（dmz）没有问题

最后

到此，上述简单的介绍完毕，看完请点个赞再走呗，谢谢观看。