本章配置为思科防火墙配置

防火墙acl：1.标准 2.扩展

配置acl可以使某一个访问某一个，或拒绝某一个

标准acl配置：

asa(conifg)#access-list 1-99 permit/deny  原IP地址 正子网掩码 

扩展acl：

asa(config）#access-list 100-199 permit/deny 协议 原ip地址 正子网掩码 目标地址 正子网掩码 {操作符} {端口号 }

配置路由

1.静态

asa(config) # route 出去的接口  目标的网段 子网掩码 下一个接口地址 

2.默认 

asa(config)# route 出去的接口 0 0 下一个接口地址 

3.rip 

asa(config)# router rip 

                network 网段

4.ospf

asa（config）#router ospf 进程号

        network 网段 子网掩码反码 区域

保存配置

asa# write memory

asa# copy running-config     startup-config

清除配置 

asa(config)#clear config all

nat类型

1.动态nat：一对一，不是永久

2.动态pat：一对多，上网

3.静态pat：一对一 固定 发布服务器 

4.静态pat：端口映射 用于一个公网地址发布多个服务器（同一个地址，不同的端口号）

配置动态nat

1.创建需要进行转换的条目规则

asa(config)#nat(inside) 编号 ip网段 子网掩码

2.创建公网地址池

asa(config)# global(outside) 编号  开始公网地址-结束公网地址 

注：上下编号要求一样

配置动态pat

1.创建需要进行规制转换的nat规制

asa(config)#nat(inside) 编号 ip网段 子网掩码

2.创建公网地址池

asa(config)#nat(outside) 编号 公网地址 

配置静态nat

asa(config)#static (dmz,outside) 全局地址 真实地址

还需要同时配置acl规制

asa(config)#access-list out_to_dmz permit ip any host 全局地址

asa(config)#access-group out_to_dmz in int outside

注：nat控制的时候，nat规制不是必须的        nat控制开始的时候，nat规制是必须的

nat豁免

1.在启动nat控制的情况下，允许一部分主机不用进行地址转换

2这个豁免是双向的

3.配置

1)配置acl：定义可以不进行地址转换的数据流

asa(config)#access-list no nat permit ip 起始地址 子网掩码 需要转换地址 子网掩码

2.配置nat豁免的命令 

asa(config)#nat(inside) 0 access-list no nat