请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 801|回复: 4

【原创翻译】思科ASA9.9 ACL配置相关

[复制链接]
发表于 2019-10-30 09:45:40 | 显示全部楼层 |阅读模式
ASA 使用以下类型的ACL:
• 扩展ACL - 扩展ACL 是您将使用的主要类型。这些ACL 用于访问规则以允许和拒绝通过设备的流量,并在许多功能中用于流量匹配,包括服务策略、AAA 规则、WCCP、僵尸网络流量过滤器、VPN 组和DAP 策略。
• EtherType ACL - EtherType ACL 仅适用于桥接组成员接口上的非IP 第2 层流量。可以使用这些规则,根据第2 层数据包中的EtherType 值允许或丢弃流量。通过EtherType ACL,可以控制设备上的非IP 流量。
• Webtype ACL - Webtype ACL 用于过滤无客户端SSL VPN 流量。这些ACL 可基于URL 或目标地址拒绝访问。
• 标准ACL - 标准ACL 只能基于目标地址识别流量。使用这种ACL 的功能较少:路由映射和VPN 过滤器。由于VPN 过滤器也允许扩展访问列表,所以使用标准ACL 的情况限于路由映射。




访问控制条目顺序
ACL 由一个或多个ACE 组成。除非明确将ACE 插入给定行,否则为给定ACL 名称输入的每个ACE都将附加到ACL 的末尾。
ACE 的顺序非常重要。当ASA 决定转发数据包还是丢包时,ASA 会按条目的列出顺序对照每个ACE 检测数据包。找到匹配项后,不再检查更多ACE。

因此,如果将一条更具体的规则放在一条更通用的规则之后,则该更具体的规则可能永远不会被命中。例如,如果要允许网络10.1.1.0/24,但要丢弃该子网上来自主机10.1.1.15的流量,则拒绝10.1.1.15的ACE 必须排在允许10.1.1.0/24 的ACE 之前。如果允许10.1.1.0/24 的ACE 排在前面,则将允许
10.1.1.15,并且用以拒绝的ACE 将永远不会被匹配。
在扩展ACL 中,使用access-list 命令上的line number 参数将规则插入正确位置。使用show access-list name 命令查看ACL 条目及其行号以帮助确定要使用的正确行号。对于其他类型的ACL,必须重新创建ACL(或最好使用ASDM)以更改ACE 的顺序。

基于时间的ACE
可以将时间范围对象应用到扩展ACE 和Webtype ACE,以便规则仅在特定时期内处于活动状态。通过这些类型的规则,可以区分在一天中某些时间点可接受但在其他时间点不可接受的活动。例如,可以在工作时间内提供附加限制,而在下班后或在午餐时间则不限制。相反,基本上可以在非工作时间关闭网络。
无法创建具有与不包含时间范围对象的规则完全相同的协议、源、目标和服务条件的基于时间的规则。非基于时间的规则始终会覆盖重复的基于时间的规则,因为它们是冗余规则。


使用show access-list name 命令查看ACL 的内容。每一行是一个ACE,并且包括行号。

access-list outside_access_in; 3 elements; name hash: 0x6892a938
access-list outside_access_in line 1 extended permit ip 10.2.2.0 255.255.255.0 any (hitcnt=0) 0xcc48b55c
access-list outside_access_in line 2 extended permit ip host
2001:DB8::0DB8:800:200C:417A any (hitcnt=0) 0x79797f94
access-list outside_access_in line 3 extended permit ip user-group


向ACL 中添加注释(除webtype 之外的所有类型)

hostname(config)# access-list OUT remark - this is the inside admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.3 any
hostname(config)# access-list OUT remark - this is the hr admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.4 any


重命名ACL
使用access-list name rename new_name 命令。



配置扩展ACL
扩展ACL 由具有相同ACL ID 或名称的所有ACE 组成。扩展ACL 是最复杂且功能丰富的一类ACL,可以用于许多功能。扩展ACL最显著用途是作为访问组被全局应用或应用到接口,以确定将被拒绝或允许通过设备的流量。但是,扩展ACL 还可用于确定要向其提供其他服务的流量。


举例

hostname(config)# access-list ACL_IN extended permit ip any any
hostname(config)# access-list ACL_IN extended permit object service-obj-http any any

hostname(config)# access-list ACL_IN extended deny tcp any host 209.165.201.29 eq www

port_argument 选项指定源端口或目标端口。如果不指定端口,则与所有端口匹配。可用参数包括:
• operator port - port 可以是整数或端口名称。操作符可以是以下任意一项:
• lt - 小于
• gt - 大于
• eq - 等于
• neq - 不等于
• range - 值的范围(包括边界值)。使用该操作符时,请指定两个端口编号,例如,range 100 200。


举例:
以下ACL 允许所有主机(将ACL 应用到的接口)通过ASA:
hostname(config)# access-list ACL_IN extended permit ip any any

以下ACL 阻止192.168.1.0/24 上的主机访问209.165.201.0/27 网络以获取基于TCP 的流量。允许所有其他地址。
hostname(config)# access-list ACL_IN extended deny tcp 192.168.1.0 255.255.255.0 209.165.201.0 255.255.255.224
hostname(config)# access-list ACL_IN extended permit ip any any

如果要将访问权限限制为只有特定主机,请输入有限制性的允许ACE。默认情况下,所有其他流量将被拒绝,除非显式允许。
hostname(config)# access-list ACL_IN extended permit ip 192.168.1.0 255.255.255.0
209.165.201.0 255.255.255.224

以下ACL 限制所有主机(将ACL 应用到的接口)访问地址为209.165.201.29 的网站。允许所有其他流量。
hostname(config)# access-list ACL_IN extended deny tcp any host 209.165.201.29 eq www
hostname(config)# access-list ACL_IN extended permit ip any any

以下使用对象组的ACL 限制内部网络中的多台主机访问多台Web 服务器。允许所有其他流量。
hostname(config-network)# access-list ACL_IN extended deny tcp object-group deniedobject-group web eq www
hostname(config)# access-list ACL_IN extended permit ip any any
hostname(config)# access-group ACL_IN in interface inside

以下示例会临时禁用允许流量从一个网络对象组(A) 流向另一个网络对象组(B) 的ACL:
hostname(config)# access-list 104 permit ip host object-group A object-group B inactive

要实施基于时间的ACE,请使用time-range 命令来定义一周和一天中的特定时间。然后,使用
access-list extended 命令将该时间范围绑定到ACE。以下示例将“Sales” ACL 中的ACE 绑定到名为“New_York_Minute”的时间范围。
hostname(config)# access-list Sales line 1 extended deny tcp host 209.165.200.225 host 209.165.201.1 time-range New_York_Minute

以下示例显示同时包含IPv4 和IPv6 的ACL:
hostname(config)# access-list demoacl extended permit ip 2001:DB8:1::/64 10.2.2.0255.255.255.0
hostname(config)# access-list demoacl extended permit ip 2001:DB8:1::/64 2001:DB8:2::/:/64
hostname(config)# access-list demoacl extended permit ip host 10.3.3.3 host 10.4.4.4


配置Webtype ACL
Webtype ACL 用于过滤无客户端SSL VPN 流量,限制用户对特定网络、子网、主机和Web 服务器的访问。如果不定义过滤器,将允许所有连接。Webtype ACL 由具有相同ACL ID 或名称的所有ACE组成。

以下示例显示如何拒绝对特定网页的访问:
hostname(config)# access-list acl_file webtype deny url https://www.example.com/dir/file.html
以下示例显示如何拒绝通过端口8080 对特定服务器上任何URL 的HTTP 访问:
hostname(config)# access-list acl_company webtype deny url http://my-server:8080/*

以下示例显示如何在webtype ACL 中使用通配符。
• 以下示例匹配http://www.example.com/layouts/1033 等URL:
access-list VPN-Group webtype permit url http://www.example.com/*
• 以下示例匹配http://www.example.com/http://www.example.net/ 等URL:
access-list test webtype permit url http://www.example.*
• 以下示例匹配http://www.example.comftp://wwz.example.com 等URL:
access-list test webtype permit url *://ww?.e*co*/
• 以下示例匹配http://www.cisco.com:80https://www.cisco.com:81 等URL:
access-list test webtype permit url *://ww?.c*co*:8[01]/
上一个示例中的范围操作符“[]” 指定在该位置可能出现0 或1。
• 以下示例匹配http://www.example.comhttp://www.example.net 等URL:
access-list test webtype permit url http://www.[a-z]xample?*/
上一个示例中的范围操作符“[]” 指定该范围(从a 到z)内的任何字符都可能出现。
• 以下示例匹配文件名或路径中包含“cgi”的http 或https URL。
access-list test webtype permit url htt*://*/*cgi?*




配置EtherType ACL
EtherType ACL 适用于桥接组成员接口上的非IP 第2 层流量。可以使用这些规则,根据第2 层数据包中的EtherType 值允许或丢弃流量。使用EtherType ACL,可以控制非IP 流量跨桥接组的流动。请注意,802.3 格式的帧不是由ACL 处理,因为这些帧使用的是长度字段,而非类型字段。


EtherType ACL 的示例
以下示例显示如何配置EtherType ACL,包括如何将ACL 应用到接口。
例如,以下示例ACL 允许源自内部接口的常见EtherType 流量:
hostname(config)# access-list ETHER ethertype permit ipx
INFO: ethertype ipx is saved to config as ethertype eii-ipx
INFO: ethertype ipx is saved to config as ethertype dsap ipx
INFO: ethertype ipx is saved to config as ethertype dsap raw-ipx
hostname(config)# access-list ETHER ethertype permit mpls-unicast
hostname(config)# access-group ETHER in interface inside

以下示例允许一些EtherType 流量通过ASA,但会拒绝所有其他EtherType 流量:
hostname(config)# access-list ETHER ethertype permit 0x1234
hostname(config)# access-list ETHER ethertype permit mpls-unicast
hostname(config)# access-group ETHER in interface inside
hostname(config)# access-group ETHER in interface outside

以下示例将拒绝EtherType 0x1256 的流量,但允许两个接口上的所有其他流量:
hostname(config)# access-list nonIP ethertype deny 1256
hostname(config)# access-list nonIP ethertype permit any
hostname(config)# access-group nonIP in interface inside
hostname(config)# access-group nonIP in interface outside

要查看监控ACL ,可以使用show  access-list NAME 命令

可以在单独的配置会话中编辑ACL 和对象。还可以向前引用对象和ACL,也就是说,可以为尚未存在的对象或ACL 配置规则和访问组。
引入了clear config-session、clear session、configure session、forward-reference 和show config-session 命令。




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
发表于 2019-11-2 23:08:49 | 显示全部楼层
感谢分享,兄弟 ,最近我们这里也有不少的ASA 要搞
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-11-3 16:24:09 | 显示全部楼层
感谢分享
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-11-4 15:33:05 来自手机 | 显示全部楼层
【原创翻译】思科ASA9.9 ACL配置相关内容
感谢分享!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 3 天前 | 显示全部楼层
66666
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-11-15 23:24 , Processed in 0.090790 second(s), 42 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表