防火墙作为现代网络中的硬件安全设备，在隔离网络中有着非常重要的作用。
防火墙默认的三个区域包括：inside（内网），outside（外网）和dmz（隔离）区。
默认outside和dmz的级别为0，inside安全级别为100。
高安全级别到低安全级别的流量是放行的，但返回的数据会根据防火墙的规则来判定是否允许；低安全级别到高安全级别的流量是拒绝的。
高——>低 可放行
低——>高 不放行
同等级别 不转发也不响应。
cisco ASA v9.x系列防火墙 基于端口设置安全区域，再通过ACL对端口进行控制。

FW(config)#interface gigabitEthernet 1/1
FW(config-if)#ip address 192.168.1.1 255.255.255.0
FW(config-if)#no shutdown
FW(config-if)#nameif inside
FW(config-if)#security-level 0

FW(config)#interface gigabitEthernet 1/2
FW(config-if)#ip address 200.1.1.1 255.255.255.0
FW(config-if)#no shutdown
FW(config-if)#nameif outside

FW(config)#interface gigabitEthernet 1/3
FW(config-if)#ip address 172.16.1.1 255.255.255.0
FW(config-if)#no shutdown
FW(config-if)#nameif dmz

配置静态路由：
FW(config)#route outside 0.0.0.0 0.0.0.0 200.1.1.2

查看路由
FW(config)#show route

配置访问列表，允许从outside到inside区域的ping
FW(config)#access-list 101 extended permit icmp any any
FW(config)#access-group 101 in interface outside

配置网络对象
object network net-inside ---引用内网所有网段，此处可以单独写某个需要上网的网段
subnet 192.168.1.0 255.255.255.0

配置NAT，基于端口的地址转换，实现内网用户通过地址转换进行访问外网
nat (inside,outside) source dynamic net-inside interface

配置静态地址一对一转换：
object network WWW
host 172.16.1.2
nat (dmz,outside) static 200.1.1.2

配置使用端口一对一:
nat (dmz,outside) static

ASA 9.x NAT配置专题

思科路由器密码设置
1、开启特权密码保护（默认是明文密码）
router(config)#enable password cisco

如果执行下面这句，会将上面的明文密码转换为用思科私有的加密方式的可逆密文。
router(config)#service password-encryption
2、开启特权密匙保护,使用"scrypt hash"加密
router(config)#enable secret cisco

显示配置信息
router(config)#do show run | include enable
结果如下：
enable secret 9 $9$D1H4hEj5D/LBlf$aAE8V.JwU5/iTzSnyJ5wGmkppFPTeWpnfSHJYBiJfUg
说明：secret后出现9，则说明是"scrypt hash"加密
0 、5、7的意思是：0为不加密，5为使用MD5加密，7为使用cisco的私有算法加密（可逆加密），9为"scrypt hash"加密

3、配置控制端口的用户密码
router(config)#line console 0
进入控制线路配置模式。
router(config-line)#login
开启登陆密码保护
router(config-line)#password cisco
设置密码为cisco，区分大小写。
4、配置VTY(telnet)登陆访问密码:
router(config)#line vty 0 4
进入VTY配置模式。
router(config-line)#login
开启登陆密码保护
router(config-line)#password cisco
Cisco路由器密码设置为cisco，区分大小写。

命令大全
router>enable 进入特权模式
router#configure terminal 进入全局配置模式
router(config)#hostname R1 修改主机名
R1(config)#interface g0/1 进入接口
R1(config-if)#ip address 192.168.10.1 255.255.255.0 设置IP
R1(config-if)#no shutdown 开启端口
R1(config-if)#^z Ctrl+z,返回特权模式
R1#show ip interface brief 查看所有接口名称与IP地址
R1#write 保存running-config配置信息
R1#reload 重启路由器
R1#conf t
R1(config)#router ospf 1 进入OSPF路由配置模式
R1(config-router)#network 192.168.10.0 0.0.0.255 area 0 宣告网络192.168.10.0/24到区域0中
R1(config-router)#^z Ctrl+z,返回特权模式
R1#show ip route 查看路由表信息

使用AAA的policy,在策略里面定义密码格式要求,不过只支持本地用户使用password参数创建密码,不支持本地用户secret参数

启用aaa认证
aaa new-model

配置当用户登录设备时，使用AAA本地登录认证方式，认证调用默认列表default，认证方式为local。
aaa authentication login default local

创建一个aaa密码策略，策略名称为PassPolicy
aaa common-criteria policy PassPolicy
min-length 6 //最小密码长度
max-length 64 //最大密码长度
numeric-count 1 //包含至少一个数字
upper-case 1 //包含至少一个大写字母
lower-case 1 //包含至少一个小写字母
special-case 1 //包含至少一个特殊字符
char-changes 2 //修改新密码至少有两个字符变化

建立用户名与密码时应用指定密码策略
username user1 common-criteria-policy PassPolicy password 具体密码
将策略与用户进行绑定，然后再配置密码，密码策略才生效