一、設備登錄

登錄方式：

內網使用協議：telnet

內網登錄IP地址：192.168.201.6

外網使用協議：ssh

外網登錄IP地址：XXX.XXX.XXX.XXX

用戶名：cisco

密碼：123456

特權密碼：123456

二、安全區域及IP地址

interface GigabitEthernet0/1 //進入接口

nameif outside1 //配置安全區域名稱（可自行編寫）

security-level 0 //配置安全區域安全等級（默認outside為0，inside為100，高安全等級能夠訪問低安全等級，低安全等級不能訪問高安全等級內容，除非使用訪問控制列表permit）

ip address 218.246.213.75 255.255.255.240 //配置接口IP地址

DMZ區也是一個安全區域，創建區域的目的是為了區域之間做訪問控制、攻擊檢測和隔離，外網outside1到inside區域需要做攻擊檢測，創建DMZ區域的目的是將一部分需要隔離的主機訪問其他區域也做檢測，類似于交換機的VLAN，內網分為DMZ VLAN和inside VLAN，這樣就可以給DMZ VLAN和inside VLAN之間做訪問控制策略了。

DMZ區域舉例：

interface GigabitEthernet0/7 //進入接口

nameif DMZ //配置安全區域名稱（可自行編寫）

security-level 50 //配置安全區域安全等級（默認outside為0，inside為100，高安全等級能夠訪問低安全等級，低安全等級不能訪問高安全等級內容，除非使用訪問控制列表permit）

ip address 172.16.50.1 //配置接口IP地址

三、配置路由（路由冗余）

路由優先級數字越小，優先級越高

route outside2 0.0.0.0 0.0.0.0 181.12.111.1 2 //outside2安全區域默認路由

route outside1 0.0.0.0 0.0.0.0 238.201.237.1 3 //outside1安全區域默認路由

route inside 172.16.1.0 255.255.255.0 192.168.202.25 1

//inside安全區域明細路由，訪問172.16.1.0網段，下一條為192.168.202.25（核心交換機）

四、配置上網NAT

object network internet1 //創建允許上網的網段

subnet 0.0.0.0 0.0.0.0

object network internet2

subnet 0.0.0.0 0.0.0.0

object network internet1

nat (inside,outside1) dynamic interface //允許所有網段均可上網

object network internet2

nat (inside,outside2) dynamic interface

不允許上網網段通過訪問控制列表限制

五、端口映射

object network mailowa110 //創建映射內網地址的object項，名稱自取

host 192.168.203.12 //添加需要映射的內網服務器地址

nat (inside,outside1) static 238.106.237.19 service tcp pop3 pop3

//配置端口映射，外網可以通過238.106.237.19地址訪問192.168.203.12服務器的pop3（110）端口

開放相關訪問控制（需要添加在deny條目之前）

access-list outside1-inside extended permit permit tcp any host 238.106.237.19 eq 110

access-list outside1-inside extended deny ip any any

默認訪問控制列表禁用所有IP，端口映射后需要在訪問控制列表中添加

六、反向映射（用于內網訪問外網端口）

same-security-traffic permit inter-interface

same-security-traffic permit intra-interface //打開反向映射功能

object network oa_outside-inside //創建映射內網地址的object項，名稱自取

host 192.168.202.53 //添加需要映射的內網服務器地址

object network oa-outside //創建映射外網地址的object項，名稱自取

host 238.106.237.19 //添加需要映射的外網服務器地址

object service tcp80 //創建映射的服務object項，名稱自取

service tcp destination eq www //添加80端口

nat (inside,inside) source static any interface destination static oa-outside oa_outside-inside service tcp80 tcp80

//映射服務，調用上面所創建object，讓訪問inside區域訪問outside區域端口映射的主機直接通過內網服務器端口訪問

七、訪問控制列表

例：內網172.16.110.0段（廠房掃碼使用）不允許訪問外網

access-list inside-outside extended deny ip 172.16.110.0 255.255.255.0 any

//創建名稱為"inside-outside"的禁止172.16.110.0段訪問任何網絡的表項

access-list inside-outside extended permit ip any any

//創建允許所有網段都允許的表項

access-group inside-outside in interface inside

//應用在防火墻"inside"區域"in"方向，即可

八、雙聯路負載（策略路由）

access-list yidong1 extended permit ip 172.16.200.0 255.255.255.0 any

access-list yidong1 extended permit ip 172.16.30.0 255.255.254.0 any

access-list yidong1 extended permit ip 172.16.100.0 255.255.254.0 any

access-list yidong1 extended permit ip 172.16.110.0 255.255.255.0 any

access-list yidong1 extended permit ip 172.16.111.0 255.255.255.0 any

access-list yidong1 extended permit ip 172.16.120.0 255.255.255.0 any

//創建名為yidong1的訪問控制列表，列表中為需要指定走那條公網的內網網段

route-map yidong permit 10 //創建名為yidong的策略

match ip address yidong1 //匹配上面創建的"yidong1"列表

set ip default next-hop 238.106.237.19 //指定匹配"yiding1"列表的下一條指向"238.106.237.19"（移動IP）

interface GigabitEthernet0/0 //進入inside接口

policy-route route-map yidong //調用"yidong"策略，即可

九、DHCP配置

防火墻DHCP配置不能配置網關，網關已經被指定為相應安全區域接口地址

dhcpd address 192.168.1.2-192.168.1.254 management

//為management安全區域分配IP地址段為"192.168.1.2到192.168.1.254"

dhcpd enable management

//為management安全區域開啟DHCP功能

dhcpd DNS 114.114.114.114 8.8.8.8 interface management

//為management安全區域配置DNS