Cisco Cisco ASA 5555-X Adaptive Security Appliance Quick Setup Guide
3-9
思科 ASA 系列防火墙 CLI 配置指南
第 3 章 访问规则
监控访问规则
示例
以下示例展示,如何允许除处于 10.1.1.15 的主机之外的所有主机使用 ICMP 流量侦测内部接口:
hostname(config)# icmp deny host 10.1.1.15 inside
hostname(config)# icmp permit any inside
以下示例展示,如何允许处于 10.1.1.15 的主机仅使用 ping 来侦测内部接口:
hostname(config)# icmp permit host 10.1.1.15 inside
以下示例展示,如何拒绝所有外部接口的 ping 请求,并允许所有外部接口的 packet-too-big 消息
(以便支持路径 MTU 发现):
(以便支持路径 MTU 发现):
hostname(config)# ipv6 icmp deny any echo-reply outside
hostname(config)# ipv6 icmp permit any packet-too-big outside
以下示例展示,如何允许主机 2000:0:0:4::2 或前缀 2001::/64 上的主机 ping 外部接口:
hostname(config)# ipv6 icmp permit host 2000:0:0:4::2 echo-reply outside
hostname(config)# ipv6 icmp permit 2001::/64 echo-reply outside
hostname(config)# ipv6 icmp permit any packet-too-big outside
监控访问规则
要监控网络访问,请输入以下命令:
•
clear access-list id counters
清除访问列表的命中计数。
•
show access-list [name]
显示访问列表,包括每个 ACE 的行号和命中计数。纳入 ACL 名称,否则您将看到所有访问
列表。
列表。
•
show running-config access-group
显示已绑定至接口的当前 ACL。
评估访问规则的系统日志消息
使用系统日志事件查看器,如 ASDM 中的查看器,查看与访问规则相关的消息。
如果使用默认日志记录,则只会看到与显式拒绝的流对应的系统日志消息 106023。将不记录与规
则列表末尾的 “ 隐式拒绝 ” 条目匹配的流量。
则列表末尾的 “ 隐式拒绝 ” 条目匹配的流量。
如果 ASA 受到攻击,则表明已拒绝数据包的系统日志消息数量可能十分庞大。我们建议您转而
启用使用系统日志消息 106100 的日志记录,该记录提供每条规则(包括允许规则)的统计信
息,且可使您限制所生成的系统日志消息的数量。或者,您可禁用给定规则的所有日志记录。
启用使用系统日志消息 106100 的日志记录,该记录提供每条规则(包括允许规则)的统计信
息,且可使您限制所生成的系统日志消息的数量。或者,您可禁用给定规则的所有日志记录。
为消息 106100 启用日志记录时,如果数据包与 ACE 匹配,则 ASA 将创建流条目以跟踪特定间隔
内收到的数据包的数量。ASA 将在首次命中以及在每个间隔结束时生成系统日志消息,从而确定
间隔期间总命中数量和最后一个命中的时间戳。在每个间隔结束时,ASA 将命中计数重置为 0。
如在间隔期间没有与 ACE 匹配的数据包,则 ASA 将删除流条目。为规则配置日志记录时,可控
制间隔,甚至可控制每条规则的日志消息的严重性级别。
内收到的数据包的数量。ASA 将在首次命中以及在每个间隔结束时生成系统日志消息,从而确定
间隔期间总命中数量和最后一个命中的时间戳。在每个间隔结束时,ASA 将命中计数重置为 0。
如在间隔期间没有与 ACE 匹配的数据包,则 ASA 将删除流条目。为规则配置日志记录时,可控
制间隔,甚至可控制每条规则的日志消息的严重性级别。
流是按源与目标 IP 地址、协议和端口定义的。由于对于相同两台主机之间的新连接而言源端口可
能不同,且为该连接创建了新的流,因此,可能看不到相同的流递增。
能不同,且为该连接创建了新的流,因此,可能看不到相同的流递增。