环境：上图环境  

win10 内 ip：192.168.1.1 /24    网关   ： 192.168.1.254

win10 外 ip： 172.12.12.1 /24   网关   ：172.12.12.254

asa    e0/0接口 ： 192.168.1.254      e0/1  接口 ： 172.12.12.254

---

1.基础配置

现在asa上无任何 两台win10也只是配置了ip

防火墙上的接口ip配置也是和路由器一样的

内e0/0

 

 外e0/1

---

2.接口命名 && 安全等级

asa进入e0/0接口

nameif ru 

nameif + 自定义接口名称 

security-level 100

 security-level + （0 - 100数越高安全等级越高，如果你不知道安全等级是干什么的或者一些通信规则可以直接去网上搜索）

这样f0/0就配置完了 以下   ：ip  ，   命名    ， 安全等级    由于防火墙规则对某些协议只出不进目前还没做acl可以相互通信：所以内网192.168.1.1 只能ping通自己的192.168.1.254网关

进入asa e0/1接口

 nameif chu

nameif 后面加名称  名称自己定义

 security-level 0

  security-level + 安全等级

现在基本的都配置好了，但是内网只能ping通自己的网关，外网也是只能ping通网关

但是：用内网远程连接外网可以连接上（因为没有对某些协议进行记录，所以不会让外面的回包进来，但是自己发的可以出去，这样就造成的无法得到回应，设备就以为外网设备不存在，使用acl就可以解决）

可以远程连接但是ping不通

---

3.acl命名

进入asa全局模式

控制外到内

access-list wai-nei permit ip host 172.12.12.1 any

access-list + 自定义acl名称+  permit + ip host 源ip host  目标ip （any是全部 上边那个意思是 172.12.12.1 到内网全部）

如果源ip 改成any 目标 ip也是 any 那就是外网全部可以和内网全部通信

access-list wai-nei permit ip any any

access-group wai-nei in interface chu

 access-group + 刚刚定义的name +in （入）+interface + 刚刚接口名称（e0/1）

----------------------

控制拒绝内到外

 access-list nei-wai deny ip host 192.168.1.1 any

access-list nei-wai permit ip any any

access-group nei-wai in interface ru

 

内网再ping外网就ping不通了

如果内网换个ip 就可以ping通了

如果上边acl不是 192.168.1.1 而是 any 那你怎么换都不能和外变通信因为上边只控制了一个ip不能个外边通信

如果想控制单个ip也可以 

 access-list nei-wai deny ip host 192.168.1.1 hsot 172.12.12.1