網(wǎng)絡(luò)工程：教你使用CISCOASA5520的基本配置

　　1、 配置接口：interface、名字：nameif、IP address、security-level

　　nameif 是我們?yōu)檫@個(gè)接口指定的具體名字。

　　security-level表示這個(gè)接口的安全等級。一般情況下，可以把企業(yè)內(nèi)部接口的安全等級可以設(shè)置的高一點(diǎn)，而企業(yè)外部接口的安全等級則可以設(shè)置的低一點(diǎn)。如此的話，根據(jù)防火墻的訪問規(guī)則，安全級別高的接口可以防衛(wèi)安全級別低的接口。也就是說，不需要經(jīng)過特殊的設(shè)置，企業(yè)內(nèi)部網(wǎng)絡(luò)就可以訪問企業(yè)外部網(wǎng)絡(luò)。而如果外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)，由于是安全級別低的接口訪問安全級別高的接口，則必須要要進(jìn)行一些特殊的設(shè)置，如需要訪問控制列表的支持

　　;這里是配置外網(wǎng)的接口，名字是outside，安全級別0，IP地址我隱藏了。輸入ISP給您提供的地址就行了。

　　interface GigabitEthernet0/0

　　nameif outside

　　security-level 0

　　ip address *.*.*.* 255.255.255.0

　　;這里是配置內(nèi)網(wǎng)的接口

　　interface GigabitEthernet0/1

　　nameif inside

　　security-level 100

　　ip address 172.19.12.2 255.255.255.0

　　!

　　2、 網(wǎng)絡(luò)部分設(shè)置

　　global (outside) 1 interface /*所有IP訪問外網(wǎng)全部轉(zhuǎn)換成該端口的IP出去，即PAT

　　nat (inside) 1 0.0.0.0 0.0.0.0 /*表示轉(zhuǎn)換網(wǎng)段中的所有地址。定義內(nèi)部網(wǎng)絡(luò)地址將要翻譯成的全局地址或地址范圍

　　route outside 0.0.0.0 0.0.0.0 *.*.*.* 1 /*設(shè)置外網(wǎng)路由的網(wǎng)關(guān)，最后的1是路由的跳數(shù)

　　route inside 172.19.74.0 255.255.254.0 172.19.12.1 1 /*設(shè)定路由回指到內(nèi)部的子網(wǎng)

　　route inside 172.19.76.0 255.255.252.0 172.19.12.1 1

　　3、 !開啟asdm

　　http server enable

　　http 0.0.0.0 0.0.0.0 inside

　　!允許內(nèi)網(wǎng)用戶使用telnet連接防火墻

　　telnet 0.0.0.0 0.0.0.0 inside

　　telnet timeout 5

　　!允許內(nèi)網(wǎng)用戶使用ssh連接防火墻

　　ssh 0.0.0.0 0.0.0.0 inside

　　ssh timeout 5