帮朋友调试一台ASA，做一下记录（很久没动手了）

三个区：

vlan10: inside: 192.168.1.1

vlan20: outside: 202.102.1.1

vlan30: dmz:   172.16.1.1

需求：内网可以上网/内网可以访问DMZ/外网可以访问DMZ的主机

配置：

1）设置端口IP 地址，并设置优先级

interface vlan10

nameif inside

security-level  100

ip address x.x.x.x

2) 配置默认路由，保证可以路由出网

route outside 0 0 x.x.x.x

3）配置NAT，可以保证内网可以访问外网，可以访问DMZ

nat-control

nat (inside) 1  192.168.1.0 255.255.255.0

global (outside) 1 interface

global (dmz)      1 interface

4) 配置静态NAT，可以让外网访问DMZ

static (dmz,outside) interface 172.16.100.251(主机) netmask 255.255.255.255 dns  //dns项如果不加，内网可以用172地址访问，但不能用公网地址访问

5) 配置安全策略，应用到OUTSIDE上, 允许外网访问DMZ服务器

access-list xxxx  extended permit tcp any host 202.102.x.x eq www

access-group xxxx  in  interface outside