ASA5505配置如下：

接口IP配置

Interface0/0：

接口名称：OUTSIDE

IP：210.22.13.38/26

GW：210.22.13.1

Interface0/1：

Vlan：vlan 30

接口名称：DMZ

IP：192.168.30.1/24

说明：内网PC网关

Interface0/2：

接口名称：INSIDE

配置过程：

配置interface0/1接口IP

ciscoasa(config)#int vlan 30

ciscoasa(config-if)# nameif dmz

ciscoasa(config-if)# security-level 50

ciscoasa(config-if)# ip add 192.168.30.1 255.255.255.0

ciscoasa(config-if)# no shut

ciscoasa(config-if)# exit

ciscoasa(config)# int e0/1

ciscoasa(config-if)# no sh

ciscoasa(config-if)# switchport access vlan 30

ciscoasa(config-if)# exit

配置interface0/0接口IP

ciscoasa(config)# intvlan 1                                                  

ciscoasa(config-if)#nameif outside

ciscoasa(config-if)#security-level 0

ciscoasa(config-if)# ipadd 210.22.13.38 255.255.255.192

ciscoasa(config-if)# noshu

ciscoasa(config-if)# exit

ciscoasa(config)# inte0/0

ciscoasa(config-if)# noshu

ciscoasa(config-if)#switchport access vlan 1

ciscoasa(config-if)# exit

配置ASA5505路由外出的网关210.22.13.1及默认路由

ciscoasa(config)# routeoutside 0.0.0.0 0.0.0.0 210.22.13.1

配置远程管理接入

配置ASDM接入：

除了使用CLI的管理方式外，ASA还支持一种GUI远程管理方式，即自适应安全设备管理器（ASDM）。

要使用ASDM，首先要保证ASA的Flash中有ASDM映像文件，可以通过命令”dir”进行查看

ciscoasa# dir

Directory of disk0:/

4      -rw- 8515584     16:49:28 Jun 082010  asa724-k8.bin

2083   -rw- 4181246     16:49:58 Jun 082010  securedesktop-asa-3.2.1.103-k9.pkg

3104   -rw- 398305      16:50:12 Jun 082010  sslclient-win-1.1.0.154.pkg

3202   -rw- 6514852     16:51:00 Jun 082010  asdm-524.bin

4798   drw- 0           16:54:02 Jun 08 2010  crypto_archive

127111168 bytes total(107462656 bytes free)

在ASA上配置使用ASDM的步骤如下。

1.启用防火墙的HTTPS服务器功能。

ciscoasa(config)# http server enable

备注：这里默认端口是443，允许指定另外端口。

2.配置防火墙允许HTTPS接入。

ciscoasa(config)# http 192.168.30.0 255.255.255.0 dmz

备注：配置允许192.168.30.0/24网段使用HTTPS接入

3.指定ASDM映像的位置

ciscoasa(config)# asdm p_w_picpath disk0:/asdm-524.bin

4.配置客户端登录使用的用户名和密码

ciscoasa(config)# username yilang password ****** privilege 15

客户端使用ASDM的步骤如下。

1.从网站www.sun.com下载并安装 Java Runtime Environment(JRE)，这里下载的文件时jre-6u10-windows-i586-p.exe。

2.在PC上输入进入访问。

配置Telnet接入

由于使用Telnet远程管理是不安全的，所以一般禁止从外部接口使用Telnet接入，而只允许在内网使用Telnet，但任然建议使用SSH。

配置允许Telnet接入的步骤：

1.配置允许从192.168.30.0/24网段使用Telnet接入：

ciscoasa(config)# telnet 192.168.30.0 255.255.255.0dmz

2.配置远程登录密码（这里在使用Telnet或SSH需要输入的密码）

ciscoasa(config)# passwd cywcarvp114

3.（可选）配置空闲超时设置时间6分钟，默认值是5分钟

ciscoasa(config)# telnet timeout 6

为出站流量配置网络地址转换

内网（Inside）需要访问Internet，所以必须先使用nat-control命令启用NAT控制。从高级别（Inside）访问低级别的（outside），需要配置动态nat和global命令。

配置实施NAT

1.启动NAT控制

ciscoasa(config)# nat-control

2.动态nat是单向的，指定什么流量需要被转换。

ciscoasa(config)# nat (dmz) 2 192.168.30.0 255.255.255.0

备注：在网段192.168.30.0/24中实施NAT转换。

如果为所有地址转换，配置命令为：ciscoasa(config)# nat (dmz) 2 0 0

备注：配置到这来数据只能是出去，考虑到内部需要上网,通讯时数据是双向的，则必须配置global全局地址池，方可成功访问。

3.global命令定义一个全局地址池（PAT转换）

ciscoasa(config)# global (outside) 2 210.22.13.39-210.22.13.41

备注：在outside接口上配置一个全局地址池210.22.13.39-210.22.13.41。

配置ACL

        ASA防火墙使用ACL控制流量

命令语法：

标准访问控制列表：

ciscoasa(config)#access-list acl-name standard {permit | deny} ip_addr mask

扩展访问控制列表：

ciscoasa(config)#access-list acl-name extended {permit | deny} protocol src_ip_addr src_mack dst_ip_addrdst_mask [operator port]

将ACL应用到接口：

ciscoasa(config)#access-group acl_name {in | out} interface interface_name

备注：其中掩码部分使用的正常掩码，而不像路由器ACL那样使用反掩码。

从低安全级别接口访问高安全级别接口，必须配置ACL

因为启用了nat-control命令，从低安全级别接口访问高安全级别接口必须匹配NAT规则，通常是配置Static NAT(静态NAT)，静态NAT是双向的。

Static NAT命令语法：

ciscoasa(config)#static (real_interface,mapped_interface) mapped_ip real_ip

例如DMZ区web主机IP地址192.168.30.11/24映射为公网IP地址210.22.13.34配置命令如下：

ciscoasa(config)# static (dmz,outside) 210.22.13.34 192.168.30.11