Cisco Cisco ASA 5555-X Adaptive Security Appliance 快速安装指南
3-7
思科 ASA 系列防火墙 CLI 配置指南
第 3 章 访问规则
配置访问控制
配置访问控制
以下主题解释如何配置访问控制。
•
•
配置访问组
应先创建 ACL,然后才能创建访问组。有关详细信息,请参阅常规操作配置指南。
要将 ACL 绑定至接口,或将其全局应用,请使用以下命令:
access-group
access_list {
{in | out} interface interface_name [per-user-override | control-plane] |
global
}
示例:
hostname(config)# access-group outside_access in interface outside
对接口特定的访问组:
•
指定扩展或以太网类型 ACL 名称。可为每个 ACL 类型、每个接口、每个方向配置一个
access-group 命令,并配置一个控制平面 ACL。控制平面 ACL 必须是扩展 ACL。
access-group 命令,并配置一个控制平面 ACL。控制平面 ACL 必须是扩展 ACL。
•
关键字 in 将 ACL 应用于入站流量。关键字 out 将 ACL 应用于出站流量。
•
指定 interface 名称。
•
关键字 per-user-override(仅用于入站 ACL)允许下载后用于用户授权的动态用户 ACL 覆盖
已分配至接口的 ACL。例如,如果接口 ACL 拒绝来自 10.0.0.0 的所有流量,但动态 ACL 允
许来自 10.0.0.0 的所有流量,则动态 ACL 将覆盖该用户的接口 ACL。
已分配至接口的 ACL。例如,如果接口 ACL 拒绝来自 10.0.0.0 的所有流量,但动态 ACL 允
许来自 10.0.0.0 的所有流量,则动态 ACL 将覆盖该用户的接口 ACL。
默认情况下,将不针对接口 ACL 匹配 VPN 远程访问流量。然而,如果使用 no sysopt
connection permit-vpn 命令关闭此旁路,行为取决于是否在组策略中已应用 vpn-filter 以及是
否已设置 per-user-override 选项:
connection permit-vpn 命令关闭此旁路,行为取决于是否在组策略中已应用 vpn-filter 以及是
否已设置 per-user-override 选项:
–
No per-user-override, no vpn-filter - 针对接口 ACL 匹配流量。
–
No per-user-override, vpn-filter - 依次针对接口 ACL 和 VPN 过滤器匹配流量。
–
per-user-override, vpn-filter - 仅针对 VPN 过滤器匹配流量。
•
关键字 control-plane 指定规则是否适用于入站流量。
对于全局访问组,指定 global 关键字,以将扩展 ACL 应用于所有接口的入站方向流量。
示例
以下示例展示如何使用 access-group 命令:
hostname(config)# access-list outside_access permit tcp any host 209.165.201.3 eq 80
hostname(config)# access-group outside_access interface outside
access-list 命令可使任何主机使用端口 80 访问主机地址。access-group 命令指定 access-list 命令
应用于进入外部接口的流量。
应用于进入外部接口的流量。