Erstellen und Verwalten von Access-Listen auf Cisco ASA und PIX Firewalls
Access Control Lists (ACLs) sind sequentielle Listen der Genehmigung verweigern und Bedingungen zur Steuerung der Verkehrsströme auf einem Gerät Schnittstelle angewendet. ACLs werden auf verschiedene Kriterien wie Protokoll-Typ Quell-IP-Adresse, Ziel-IP-Adresse, Herkunfts-Port-Nummer auf und / oder Ziel-Port-Nummer.
ACLs können Verkehr zu filtern für verschiedene Zwecke einschließlich der Sicherheit, Überwachung, route Auswahl, und Network Address Translation. ACLs bestehen aus einem oder mehreren Access Control Entries (ACE) zusammen. Jeder ACE ist eine individuelle Linie in einer ACL.
ACLs auf einem Cisco ASA Security Appliance (oder eine PIX-Firewall-Software laufen Version 7.x oder höher) auf denen ähnlich sind, auf einem Cisco-Router, aber nicht identisch. Firewalls verwenden echte Subnetzmasken anstelle der invertierten Maske auf einen Router verwendet. ACLs auf einem Firewall befinden, immer den Namen anstelle von Nummern und sind davon ausgegangen, dass eine erweiterte Liste.
Die Syntax eines ACE ist relativ einfach:
Ciscoasa (config) # access-list name [Zeilennummer] [erweitert] (permit | deny) Protokoll
source_IP_address source_netmask [Betreiber SOURCE_PORT] destination_IP_address
destination_netmask [Betreiber DESTINATION_PORT] [log [[disable | default] | [level]] [interval Sekunden]] [time-range name] [inaktiv]
Hier ein Beispiel:
asa (config) # access-list demo1 permit tcp 10.1.0.0 255.255.255.0 any eq www asa (config) # access-list demo1 permit tcp 10.1.0.0 255.255.255.0 any eq 443 asa (config) # show access-list demo1 access-list demo1; 2 Elemente access-list demo1 line 1 extended permit tcp 10.1.0.0 255.255.255.0 any eq www access-list demo1 Linie 2 verlängert permit tcp 10.1.0.0 255.255.255.0 any eq https
Im obigen Beispiel wird ein ACL "demo1" erstellt, in dem die erste ACE ermöglicht TCP-Datenverkehr, der über die 10.1.0.0 Subnetz auf jede Ziel-IP-Adresse mit dem Zielport 80 (www) zu gehen. In der zweiten ACE, ist das gleiche Verkehrsfluss für Ziel-Port 443 erlaubt. Beachten Sie in der Ausgabe des show access-Liste, die Zeilennummern angezeigt werden und der erweiterten Parameter ist ebenfalls enthalten, obwohl weder in der Konfiguration Aussagen enthalten.
Sie können einen ACE deaktivieren ohne ihn zu löschen durch Anhängen der inaktiven Option, um das Ende der Zeile.
Wie bei Cisco-Router, gibt es eine implizite "deny any" am Ende jeder ACL. Jeder Datenverkehr, der nicht explizit erlaubt ist, ist implizit verweigert.
** Bearbeiten von ACLs und ACEs **
Neue ACEs werden bis zum Ende der ACL angehängt. Wenn Sie wollen, aber auf die neue ACE an einem bestimmten Ort innerhalb der ACL einfügen, können Sie die Nummer der Zeile Parameter, um den ACE hinzuzufügen:
asa04 (config) # access-list demo1 Linie 1 deny tcp host 10.1.0.2 any eq www asa04 (config) # show access-list demo1 access-list demo1; 3 Elemente access-list demo1 Linie 1 verlängert deny tcp host 10.1.0.2 any eq www access-list demo1 Linie 2 verlängert permit tcp 10.1.0.0 255.255.255.0 any eq www access-list demo1 Linie 3 verlängert permit tcp 10.1.0.0 255.255.255.0 any eq https
Beachten Sie in der ersten Zeile des obigen Beispiel, dass ein ACE hinzugefügt wird in Zeile eins in der ACL. Beachten Sie in der Ausgabe des show access-list demo1 Befehl, der den neuen Eintrag in der ersten Position in der ACL hinzugefügt wird und die ehemalige erste Eintrag wird entsprechend Nummer zwei.
Sie können einen ACE aus einer ACL entfernen, indem Sie vor dem ACE-Konfiguration Erklärung mit dem Modifier nicht, wie im folgenden Beispiel:
Asa04 (config) # no access-list demo1 Host 10.10.2 tcp any eq www leugnen 
Geschrieben von Redaktion am 10. Mai 2009 um 10:12 Uhr 
Cisco Access Liste Position
Sie kamen aus www.google.com.hk Benutzer für Cisco Access-Liste Position. Diese Stellen könnten von Interesse sein:
Sie können auch das RSS-Feed oder per E-Mail abonnieren Techgurulive
