Главная » Компьютерные сети » Cisco ASA. Конфигурация ACL

Cisco ASA. Конфигурация ACL

Конфигурация ACL

Начало здесь

Формат команд списка контроля доступа следующий:

Формат команды Access-Group, используемой для применения ACL, следующий:

Давайте разберём все элементы команды ACL:

  • access_list_name: Укажите описательное имя конкретного ACL. Это же имя используется в команде access-group.
  • line line_number: Каждая запись ACL имеет свой собственный номер строки.
  • extended: Используйте этот параметр, когда вы указываете как исходный, так и конечный адреса в ACL.
  • deny|permit : укажите, разрешен или запрещен конкретный трафик.
  • protocol: Укажите здесь протокол трафика (IP, TCP, UDP и т. д.).
  • source_address mask: укажите исходный IP-адрес/сеть, из которой исходит трафик. Если это единственный IP-адрес, вы можете использовать ключевое слово «host» без маски. Вы также можете использовать ключевое слово «any», чтобы указать любой адрес.
  • [operator source_port]: укажите номер порта источника исходящего трафика. Ключевое слово «operator» может иметь следующие значения: «lt» (меньше), «gt» (больше), «eq» (равно), «Neq» (не равно), «range» (диапазон портов). Если source_port не указан, межсетевой экран соответствует всем портам.
  • dest_address mask: это IP-адрес/сеть назначения, к которому требуется получить доступ. Вы также можете использовать ключевые слова «host» или «any».
  • [operator dest_port]: укажите номер порта назначения, к которому исходный трафик требует доступа. Ключевое слово «operator» может иметь следующие значения: «lt» (меньше), «gt» (больше), «eq» (равно), «Neq» (не равно), «range» (диапазон портов). Если целевой порт не указан, межсетевой экран соответствует всем портам.

Ниже приведены примеры ACL, которые дадут нам лучшее представление о формате команды:

Пример 1



Вышеизложенное позволит ВСЕМУ трафику из сети DMZ проходить через брандмауэр.

Вышеизложенное позволит ВСЕМУ трафику из сети DMZ проходить через брандмауэр.

Пример 2

В приведенном выше примере будет запрещен ВЕСЬ трафик TCP из нашей внутренней сети 192.168.1.0/24 во внешнюю сеть 200.1.1.0/24. Кроме того, он будет запрещать трафик HTTP (порт 80) из нашей внутренней сети на внешний хост 210.1.1.1. Все остальное движение будет разрешено изнутри.

Пример 3

Версия Cisco ASA до 8.3

ACL выше позволит ЛЮБОМУ хосту в Интернете получить доступ к нашему веб-серверу (100.1.1.1). Для версий ASA до 8.3 адрес 100.1.1.1 является общедоступным глобальным перенаправленным адресом нашего веб-сервера.

Cisco ASA версии 8.3 и новее

Если веб-сервер имеет частный IP-адрес, настроенный на его интерфейсе (реальный IP-адрес), то для версии ASA 8.3 и более поздних версий команда будет (предположим, что частный IP-адрес веб-сервера – 192.168.1.1):

Продолжение