思科ASA 5510防火墙设置教程第3部分

　　在本系列的第1部分中，我们选择通过设置内部接口和静态路由来实现了网络内部通信。众所周知，如果网络中没有建立起外部路由的话，所带来的好处就是内部用户不会连接上YouTube和Facebook之类的大众网站。

　　而为了进行相关的设置，我们就需要回到启动向导或者单击打开配置栏目选择左下角的设备安装项目。接下来，我们就可以在设备安装树中选择展开路由，并将静态路由突出显示出来。

　　现在，我们就可以看到以前对内部路由进行配置的情况。在本文给出的示例中，地址就是192.168.11.0和192.168.12.0。接下来，我们要做的就是再次单击打开添加项目，以便建立起一个默认的外部路由。

　　1、选择容许连接到外部的接口(在这里，我们可以选择通过虚拟局域网连接到外部或者直接连接上ISP等不同方式)。

　　2、在网络栏目中，我们可以从列表中任意选择一张事前完成配置的网络。

　　3、在网关IP地址中，我们可以选择将连接到ISP的网关。它将会属于外部网络IP地址(即不在10.XXX、172.16.xx、192.168.xx等内部网络的范围中)。

　　4、单击确定。

　　现在，我们就可以从静态路由中看到使用0.0.0.0作为网络IP地址和子网掩码的外部接口用新路由。由于在默认状态下，ASA设备会容许流量从内部网络(这里大概具有更高的安全级别)自由传输到外部网络(这里的安全级别设置估计较低)上，这就意味着用户可以直接连接上互联网。而为了测试设置是否生效，我们可以选择打开命令行工具利用ping工具连接谷歌的IP地址。通过在拥有指定DNS设置的计算机上使用nslookup命令，我们就可以找到谷歌的IP地址。当然，由于ASA设备中并没有对DNS进行配置，因此对网络IP地址进行pinging将成为唯一可行的测试方法。如果我们能够获得了地址以及成功信息的话，就意味着网络已经建立起一条外部连接来了。

　　对于在防火墙中设置DNS这项操作来说，我们将会发现这属于一项非常简单的任务。相关设置还是位于配置栏中，我们要做的就是单击打开设备管理项，展开树中的DNS。接下来的工作就是，单击打开DNS客户端项输入域名的DNS信息，并选择在内部接口中启用。最后，我们要做的就是单击确认。现在，我们就可以利用命令行ping谷歌对网络连接进行测试了。

　　接下来，我们要做的就是对活动目录信息进行配置。尽管活动目录配置本身属于可选项目，但这么做却可以容许我们完成对与用户以及IP地址相关的防火墙访问控制列表以及规则进行配置的下一步工作。

　　1、进入设备管理树，选择展开用户/AAA项目。

　　2、在AAA服务器群集窗格中单击添加。

　　3、对服务器群集进行命名并选择LDAP作为协议

　　4、单击确定

　　5、将新创建的服务器群组突出显示出来

　　6、在选定群组服务器下面单击添加

　　7、选择接口，最好属于内部接口

　　8、输入活动目录服务器使用的网络IP地址

　　9、选择是否启用SSL(该决定就需要活动目录管理员作出;希望在这里就是我们自己!)

　　10、选择微软作为服务器类型

　　11、系统的基本分辨名将会是这样：CN=用户、DC=域、DC=　COM

　　12、选择连接到活动目录的DN和密码，并单击确定。

　　13、现在我们就可以单击右侧的测试来对连接有效性进行测试。

　　14、选择应用并保存设置。

　　现在，我们就可以对防火墙进行常规维护和配置等操作了。在这里，我们可以选择建立防火墙规则以及访问控制列表对来自不同网络的多种流量进行全面管理。这里会有几十而不是数百项其它方面的功能可以进行设置。思科ASA设备可以作为防火墙(路由或透明)、入侵防御系统和VPN(客户端/无客户端的IP　Sec、和或SSL、以及站点到站点)等设备来使用。最后，我希望由三篇文章组成的该系列教程可以帮助广大读者对思科ASA　5510设备ASDM包含的基本功能有初步了解。

思科ASA 5510防火墙设置教程第1部分

思科ASA 5510防火墙设置教程第2部分

思科ASA 5510防火墙设置教程第3部分