访问控制列表
ACL可用于接口,也有全局的
接口访问控制列表只能控制穿越流量(session连接除外)
所有到ASA终结的流量,被不同的管理访问列表控制(如:ssh 0 0 DMZ)
ASA发起的都被允许
ASA配置相同优先级的acl是将原来的挤下去,路由器是直接替换
接口规则和安全
默认:outbound(高->低)允许,inbound(低->高)拒绝
接口规则:input(主要)控制改接口进入, output控制出去
enable password cisco //Telnet需要enable密码 same-security-traffic permit inter-interface same-security-traffic permit intra-interface access-list out extended permit tcp any host 192.168.117.100 eq telnet //两条名为out的acl access-list out extended permit tcp any host 192.168.112.100 eq www access-list out extended deny ip any any log //log deny的数据包 access-group out in interface outside //将out acl-list应用在outside接口 router ospf 1 //以下路由 network 192.168.12.0 255.255.255.0 area 0 network 192.168.17.0 255.255.255.0 area 0 log-adj-changes default-information originate always time-range onwork //设置一个时间范围 periodic weekdays 9:00 to 19:15 access-list out line 1 extended permit tcp host 192.168.116.100 host 192.168.117.100 eq telnet time-range onwork //acl在时间范围内生效
Objet-Group
可将网段协议端口做成一个集合以供调用,并且可以嵌套调用
.....................................
本文出自 “Try” 博客,请务必保留此出处http://beening.blog.51cto.com/9079117/1788164
原文地址:http://beening.blog.51cto.com/9079117/1788164
