Формат команд списка контроля доступа следующий:
Формат команды Access-Group, используемой для применения ACL, следующий:
Давайте разберём все элементы команды ACL:
- access_list_name: Укажите описательное имя конкретного ACL. Это же имя используется в команде access-group.
- line line_number: Каждая запись ACL имеет свой собственный номер строки.
- extended: Используйте этот параметр, когда вы указываете как исходный, так и конечный адреса в ACL.
- deny|permit : укажите, разрешен или запрещен конкретный трафик.
- protocol: Укажите здесь протокол трафика (IP, TCP, UDP и т. д.).
- source_address mask: укажите исходный IP-адрес/сеть, из которой исходит трафик. Если это единственный IP-адрес, вы можете использовать ключевое слово «host» без маски. Вы также можете использовать ключевое слово «any», чтобы указать любой адрес.
- [operator source_port]: укажите номер порта источника исходящего трафика. Ключевое слово «operator» может иметь следующие значения: «lt» (меньше), «gt» (больше), «eq» (равно), «Neq» (не равно), «range» (диапазон портов). Если source_port не указан, межсетевой экран соответствует всем портам.
- dest_address mask: это IP-адрес/сеть назначения, к которому требуется получить доступ. Вы также можете использовать ключевые слова «host» или «any».
- [operator dest_port]: укажите номер порта назначения, к которому исходный трафик требует доступа. Ключевое слово «operator» может иметь следующие значения: «lt» (меньше), «gt» (больше), «eq» (равно), «Neq» (не равно), «range» (диапазон портов). Если целевой порт не указан, межсетевой экран соответствует всем портам.
Ниже приведены примеры ACL, которые дадут нам лучшее представление о формате команды:
Пример 1
Вышеизложенное позволит ВСЕМУ трафику из сети DMZ проходить через брандмауэр.
Вышеизложенное позволит ВСЕМУ трафику из сети DMZ проходить через брандмауэр.
Пример 2
В приведенном выше примере будет запрещен ВЕСЬ трафик TCP из нашей внутренней сети 192.168.1.0/24 во внешнюю сеть 200.1.1.0/24. Кроме того, он будет запрещать трафик HTTP (порт 80) из нашей внутренней сети на внешний хост 210.1.1.1. Все остальное движение будет разрешено изнутри.
Пример 3
Версия Cisco ASA до 8.3
ACL выше позволит ЛЮБОМУ хосту в Интернете получить доступ к нашему веб-серверу (100.1.1.1). Для версий ASA до 8.3 адрес 100.1.1.1 является общедоступным глобальным перенаправленным адресом нашего веб-сервера.
Cisco ASA версии 8.3 и новее
Если веб-сервер имеет частный IP-адрес, настроенный на его интерфейсе (реальный IP-адрес), то для версии ASA 8.3 и более поздних версий команда будет (предположим, что частный IP-адрес веб-сервера – 192.168.1.1):