防火墙的基础配置管理

　　结论：以上表明ASA对TCP协议的状态化连接；
　　外网有时会主动要求访问内网，由于接口安全级别的默认规则，允许出站连接（从高到低级别允许）；禁止入站连接（从低到高级别禁止）
　　，所以外网主动连接内网时防火墙会阻挡数据的传输；
　　因此用配置ACL解决：
　　ciscoasa(config)# access-list asa_acl permit tcp host 12.0.0.2 any
　　ciscoasa(config)# access-Group asa_acl in interface outside
　　实验验证：
　　在R1上配置远程：
　　R1(config)#line vty 0 4
　　R1(config-line)#password abc
　　R1(config-line)#login

　　到此R1仍旧可以正常访问R2，如下：

 

　　结论：证明在R2给R1回包的时候，防火墙对ACL列表和Conn表同时检测，如果有一个规则匹配过；
　　在R2上配置环回口，验证以上结论：
　　R2(config)#int loo 0
　　R2(config-if)#ip address  2.2.2.2 255.255.255.255
　　R2(config-if)#no shut
　　配置静态路由：
　　R1(config)#ip route 2.2.2.2 255.255.255.255 11.0.0.2
　　ciscoasa(config)# route outside 2.2.2.2 255.255.255.255 12.0.0.2
　　在ACL列表“asa_acl”中配置允许host2.2.2.2/24通过防火墙；
　　ciscoasa(config)# access-list asa_acl permit tcp 2.2.2.2 255.255.255.255 any
　　ciscoasa(config)# access-group asa_acl in interface outside
　　用R1远程R2：