Копилка знаний

Cisco ASA. Новые функции ACL в ASA 8.3 и более поздних версиях

Новые функции ACL в ASA 8.3

В этой статье мы разберем нововведения в ASA  версий 8.3 и новее.

Начало здесь.

В версиях ASA 8.3 и позже появилось несколько важных новых функций, касающихся списков контроля доступа. Мы рассмотрим их ниже.

1. Global Access Control List (список глобального контроля доступа)

Как мы видели в предыдущих статьях, ACL применяются к интерфейсам с помощью команды access-group. В более новых версиях ASA (8.3 и новее) вы также можете применить ACL глобально следующим образом:

ciscoasa(config)# access-group access_list_name” global

ACL, применяемый глобально с помощью команды “access-group global”, применяет единый набор глобальных правил ко всему трафику, независимо от того, какой интерфейс трафик поступает на устройство безопасности. Однако это влияет только на трафик во входящем (input) направлении (то есть в интерфейс).

Пример

Приведенная ниже конфигурация позволит всем внутренним хостам получить доступ только к внутреннему SMTP-серверу (192.168.1.10) для отправки электронных писем и запретить весь другой SMTP-трафик из нашей внутренней сети.

Применяйте вышеприведенные правила глобально, независимо от того, с какого интерфейса идет трафик. Это полезно, в том случае, когда много интерфейсов на ASA.

2. Изменения ACL в версиях ASA 9.x (9.0, 9.1 и новее)

В Cisco ASA версии 9.x были внесены некоторые изменения в списки контроля доступа, касающиеся трафика IPv4 и IPv6. Теперь в одном ACL вы можете иметь адреса IPv4 и IPv6 (в качестве адресов источника и назначения в ACL).

Кроме того, ключевое слово «any» в ACL имеет другое значение в версии 9.x. Теперь, если у вас есть ключевое слово «any» в записи ACL в версии 9.x и новее, оно представляет «ВСЕ адреса IPv4 и IPv6». Если вы хотите указать «только все IPv4-адреса» в ACL, вы должны использовать ключевое слово «any4». Точно так же, если вы хотите указать «только все адреса IPv6», вы должны использовать ключевое слово «any6». Если вы переходите с версии 8.x и у вас было ключевое слово «any» в конфигурации ACL, оно будет изменено на «any4» в новой конфигурации, работающей под версией 9.x.

Пример:

Приведенное ниже правило разрешает доступ к узлу 10.1.1.1 из Интернета только для трафика IPv4.

Продолжение

Exit mobile version