Wie Access Control Lists auf Cisco ASA 5500 Firewall konfigurieren

Die Cisco ASA 5500 ist die neue Cisco Firewall Baureihe, die den erfolgreichen Cisco PIX Firewall-Appliance an. Cisco fordert die ASA 5500 eine "Sicherheits-Appliance" statt nur ein "Hardware-Firewall", weil die ASA ist nicht nur eine Firewall. Dieses Gerät vereint mehrere Sicherheitsfunktionen wie Intrusion Detection, Intrusion Prevention, Content Inspection, Botnet Inspection, neben der Firewall-Funktionalität.

Allerdings ist der Kern ASA Funktionalität als Hochleistungs-Firewall arbeiten. Alle anderen Sicherheits-Features sind nur kostenlose Dienste auf der Firewall-Funktionalität. Having said that, der Zweck einer Netzwerk-Firewall auf Computer-und IT-Ressourcen von bösartigen Quellen durch die Blockierung und Steuerung des Verkehrsflusses zu schützen. Die Cisco ASA Firewall erreicht dieses Flugsicherung mit Access Control Lists (ACL).

Eine ACL ist eine Liste von Regeln erlauben oder zu verweigern Aussagen. Grundsätzlich ist ein Access Control List erzwingt die Sicherheitspolitik auf dem Netzwerk. Die ACL (Liste der politischen Regeln) wird dann auf eine Firewall-Schnittstelle angewendet, entweder auf der eingehenden oder ausgehenden Datenverkehr Richtung. Wenn die ACL auf den eingehenden Datenverkehr Richtung (in) angewendet wird, dann wird die ACL wird für den Verkehr Eingabe eines Firewall-Schnittstelle angewendet. Das Gegenteil geschieht ACL, die auf die ausgehenden (out) Richtung.

Die ACL erlauben oder zu verweigern Aussagen im Wesentlichen aus der Quell-und Ziel-IP-Adressen und Ports. Eine Genehmigung ACL-Anweisung erlaubt es dem angegebenen Quell-IP-Adresse / network die angegebene Ziel-IP-Adresse / Netzwerk zugreifen. Das Gegenteil geschieht leugnen ACL Aussagen. Am Ende des ACL, die Firewall fügt standardmäßig eine implizite Deny All Statement Regel, die nicht in der Konfiguration sichtbar.

Genug der Theorie so weit. Lassen Sie uns einige Beispiele unten zu klären, was wir oben gesagt haben.

Der grundlegende Befehl Format der Access Control List ist die folgende:

ciscoasa (config) # access-list "access_list_name" erweitert {deny | Genehmigung} Protokoll "source_address" "Maske" [source_port] "dest_address" "Maske" [dest_port]
Um die ACL auf eine bestimmte Schnittstelle anwenden auf die access-group-Befehl wie folgt:
ciscoasa (config) # access-group "access_list_name" [in | out]-Schnittstelle "Schnittstellenname"

Beispiel 1:
Erlauben Sie nur HTTP-Verkehr aus dem Inneren Netzwerk 10.0.0.0/24 auf fremde Internetseiten

ciscoasa (config) # access-list HTTP-ONLY erweiterten Genehmigung tcp 10.0.0.0 255.255.255.0 einem eq 80
ciscoasa (config) # access-group HTTP-ONLY in Schnittstelle in

Der Name "HTTP-ONLY" ist die Access Control List selbst, die in unserem Beispiel enthält nur eine Genehmigung Regelanweisung. Beachten Sie, dass es eine implizite Deny All Regel am Ende des ACL, die nicht standardmäßig angezeigt wird.

Beispiel 2:
Deny Telnet-Verkehr von Host 10.1.1.1 bis 10.2.2.2 hosten und damit alles andere.

ciscoasa (config) # access-list DENY-TELNET erweitert leugnen tcp Host 10.1.1.1 Host 10.2.2.2 eq 23
ciscoasa (config) # access-list DENY-TELNET erweiterten Genehmigung ip host 10.1.1.1 Host 10.2.2.2
ciscoasa (config) # access-group DENY-TELNET in Schnittstelle in

Das obige Beispiel ACL (DENY-TELNET) enthält zwei der Regel Aussagen verneinen und eine Genehmigung. Wie oben erwähnt, gilt die "access-group"-Befehl die ACL zu einer Schnittstelle (entweder zu einem eingehenden oder ausgehender Richtung).

Beispiel 3:
Das folgende Beispiel werden alle TCP-Verkehr aus unserem internen Netzwerk 192.168.1.0/24 gegenüber den externen Netzwerk 200.1.1.0/24 leugnen. Auch wird es den HTTP-Datenverkehr (Port 80) aus unserem internen Netzwerk mit dem externen Host 210.1.1.1 leugnen. Alle anderen Verkehr wird von innen zugelassen werden.

ciscoasa (config) # access-list INSIDE_IN erweitert leugnen tcp 192.168.1.0 255.255.255.0 200.1.1.0 255.255.255.0
ciscoasa (config) # access-list INSIDE_IN erweitert leugnen tcp 192.168.1.0 255.255.255.0 Host 210.1.1.1 eq 80
ciscoasa (config) # access-list INSIDE_IN erweiterten permit ip any any
ciscoasa (config) # access-group INSIDE_IN in Schnittstelle in