Hướng dẫn cấu hình thêm danh sách truy cập

Hướng dẫn cấu hình thêm danh sách truy cập

Hướng dẫn cấu hình thêm danh sách truy cập Firewall Cisco ASA5500

Cisco ASAs cung cấp khả năng lọc lưu lượng cơ bản với danh sách truy cập, kiểm soát quyền truy cập trong mạng của bạn bằng cách ngăn chặn lưu lượng truy cập nhất định xâm nhập hoặc thoát. Trong bài viết dưới đây CiscoData sẽ mô tả danh sách truy cập và cho biết cách thêm chúng vào cấu hình mạng của bạn.

Danh sách truy cập được tạo thành từ một hoặc nhiều mục kiểm soát truy cập (ACE). ACE là một mục duy nhất trong danh sách truy cập chỉ định quy tắc cho phép hoặc từ chối (để chuyển tiếp hoặc thả gói) và được áp dụng cho giao thức, đến địa chỉ IP nguồn hoặc đích, và tùy chọn, với nguồn và các cổng đích.

Danh sách truy cập có thể được cấu hình cho tất cả các giao thức định tuyến và mạng (IP, AppleTalk, vv) để lọc các gói của các giao thức đó khi các gói đi qua một bộ định tuyến.

Cấu hình danh sách truy cập được sử dụng trong nhiều tính năng khác nhau. Nếu tính năng của bạn sử dụng Khung chính sách mô-đun, bạn có thể sử dụng danh sách truy cập để xác định lưu lượng truy cập trong bản đồ lớp lưu lượng truy cập.
Các loại danh sách truy cập phổ biến

Danh sách truy cập thông thường — Xác định địa chỉ IP đích của các tuyến OSPF và có thể được sử dụng trong bản đồ lộ trình để phân phối lại OSPF. Không thể áp dụng danh sách truy cập chuẩn cho các giao diện để kiểm soát lưu lượng truy cập.

Danh sách truy cập mở rộng — Sử dụng một hoặc nhiều mục điều khiển truy cập (ACE), trong đó bạn có thể chỉ định số dòng để chèn ACE, địa chỉ nguồn và đích, và tùy thuộc vào loại ACE, giao thức, cổng (đối với TCP hoặc UDP) hoặc loại IPCMP (cho ICMP).

Danh sách truy cập EtherType — Sử dụng một hoặc nhiều ACE chỉ định EtherType.

Danh sách truy cập Webtype — Được sử dụng trong một cấu hình có hỗ trợ lọc cho SSL VPN không có khách.

Danh sách truy cập IPv6 — Xác định lưu lượng truy cập IPv6 nào sẽ chặn và lưu lượng truy cập nào để chuyển tiếp ở giao diện bộ định tuyến.

Thêm một danh sách truy cập EtherType

Danh sách truy cập EtherType được tạo thành từ một hoặc nhiều Access Control Entries (ACEs) chỉ định EtherType. Một quy tắc EtherType kiểm soát bất kỳ EtherType nào được xác định bởi một số thập lục phân 16 bit, cũng như các loại lưu lượng khác.

Luồng công việc để định cấu hình danh sách truy cập EtherType

Bước 1: Tạo danh sách truy cập bằng cách thêm ACE và áp dụng tên danh sách truy cập, như được hiển thị trong phần “Thêm danh sách truy cập EtherType” .

Bước 2: Áp dụng danh sách truy cập vào một giao diện.

Thêm danh sách truy cập EtherType

Để cấu hình một danh sách truy cập kiểm soát lưu lượng dựa trên EtherType của nó, hãy thực hiện các bước sau:

access-list access_list_name ethertype {deny | permit} {ipx | bpdu | mpls-unicast | mpls-multicast | is-is | any | hex_number}

Example:
hostname(config)# hostname(config)#
access-list ETHER ethertype permit ipx

Example
The following sample access list allows common EtherTypes originating on the inside interface:

hostname(config)# access-list ETHER ethertype permit ipx
hostname(config)# access-list ETHER ethertype permit mpls-unicast
hostname(config)# access-group ETHER in interface inside

Thêm ghi chú vào danh sách truy cập

Bạn có thể bao gồm các nhận xét về các mục trong bất kỳ danh sách truy cập nào, bao gồm các danh sách truy cập mở rộng, EtherType, IPv6, tiêu chuẩn và Webtype. Các nhận xét làm cho một danh sách truy cập dễ hiểu hơn.

Để thêm nhận xét sau lệnh truy cập danh sách cuối cùng bạn đã nhập, hãy nhập lệnh sau:

access-list access_list_name remark text
Example:
hostname(config)# access-list OUT remark –
this is the inside admin address
Example
You can add remarks before each ACE, and the remarks appear in the access list in these locations. Entering a dash (-) at the beginning of a remark helps to set it apart from the ACE.
hostname(config)# access-list OUT remark – this is the inside admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.3 any
hostname(config)# access-list OUT remark – this is the hr admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.4 any

Thêm danh sách truy cập chuẩn

Để thêm một danh sách truy cập để xác định địa chỉ IP đích của các tuyến OSPF, có thể được sử dụng trong bản đồ tuyến để phân phối lại OSPF, hãy nhập lệnh sau:

hostname(config)# access-list
access_list_name standard {deny | permit}
{any | ip_address mask}
Example:
hostname(config)# access-list OSPF standard permit 192.168.1.0 255.255.255.0

Thêm ghi chú vào danh sách truy cập

Bạn có thể bao gồm các nhận xét về các mục trong bất kỳ danh sách truy cập nào, bao gồm các danh sách truy cập mở rộng, EtherType, IPv6, tiêu chuẩn và Webtype. Các nhận xét làm cho danh sách truy cập dễ hiểu hơn.

Để thêm nhận xét sau lệnh truy cập danh sách cuối cùng bạn đã nhập, hãy nhập lệnh sau:

access-list access_list_name remark text
Example:
hostname(config)# access-list OUT remark –
this is the inside admin address
Example
You can add a remark before each ACE, and the remarks appear in the access lists in these location. Entering a dash (-) at the beginning of a remark helps to set it apart from an ACE.

hostname(config)# access-list OUT remark – this is the inside admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.3 any
hostname(config)# access-list OUT remark – this is the hr admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.4 any

Thêm danh sách truy cập Webtype bằng chuỗi URL

Để thêm một danh sách truy cập vào cấu hình hỗ trợ lọc cho SSL VPN không có khách, hãy nhập lệnh sau:

access-list access_list_name webtype {deny
| permit} url [url_string | any]
[log[[disable | default] | level] interval
secs][time_range name]]
Example:
hostname(config)# access-list acl_company webtype deny url http://*.cisco.example

Thêm danh sách truy cập Webtype với địa chỉ IP

Để thêm một danh sách truy cập vào cấu hình hỗ trợ lọc cho SSL VPN không có khách, hãy nhập lệnh sau:

access-list access_list_name webtype {deny
| permit} tcp [host ip_address |
ip_address subnet_mask | any] [oper
port[port]] [log[[disable | default] |
level] interval secs][time_range name]]
Example:
hostname(config)# access-list acl_company webtype permit tcp any

Thêm ghi chú vào danh sách truy cập

Bạn có thể bao gồm các nhận xét về các mục trong bất kỳ danh sách truy cập nào, bao gồm các danh sách truy cập mở rộng, EtherType, IPv6, tiêu chuẩn và Webtype. Các nhận xét làm cho danh sách truy cập dễ hiểu hơn.

Để thêm nhận xét sau lệnh truy cập danh sách cuối cùng bạn đã nhập, hãy nhập lệnh sau:

access-list access_list_name remark text
Example:
hostname(config)# access-list OUT remark –
this is the inside admin address
Example

Bạn có thể thêm nhận xét trước mỗi ACE và nhận xét xuất hiện trong danh sách truy cập ở các vị trí này. Nhập dấu gạch ngang (-) ở đầu nhận xét giúp đặt dấu gạch ngang ngoài ACE.

hostname(config)# access-list OUT remark – this is the inside admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.3 any
hostname(config)# access-list OUT remark – this is the hr admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.4 any

Điều kiện tiên quyết để thêm danh sách truy cập IPv6

Các nguyên tắc và giới hạn sau áp dụng cho danh sách truy cập IPv6:

• Lệnh truy cập danh sách ipv6 cho phép bạn chỉ định xem địa chỉ IPv6 có được cho phép hoặc từ chối truy cập vào cổng hoặc giao thức hay không. Mỗi lệnh được gọi là ACE. Một hoặc nhiều ACE có cùng tên danh sách truy cập được gọi là danh sách truy cập. Áp dụng một danh sách truy cập vào một giao diện bằng cách sử dụng lệnh nhóm truy cập .

• ASA từ chối tất cả các gói từ giao diện bên ngoài sang giao diện bên trong trừ khi bạn cho phép truy cập cụ thể bằng danh sách truy cập. Tất cả các gói được cho phép theo mặc định từ một giao diện bên trong đến một giao diện bên ngoài trừ khi bạn từ chối truy cập cụ thể.

• Lệnh truy cập danh sách ipv6 tương tự như lệnh truy cập danh sách , ngoại trừ việc nó là IPv6 cụ thể. Để biết thêm thông tin về danh sách truy cập, hãy tham khảo lệnh mở rộng danh sách truy cập .

• Các ipv6 access-list icmp lệnh được sử dụng để lọc các thông điệp ICMPv6 mà đi qua ASA.To cấu hình giao thông ICMPv6 được phép xuất phát và kết thúc tại một giao diện cụ thể, sử dụng icmp ipv6 lệnh.

• Xem lệnh nhóm đối tượng để biết thông tin về cách cấu hình các nhóm đối tượng.

• Toán hạng có thể cho tùy chọn toán tử của lệnh ipv6 access-list bao gồm lt cho nhỏ hơn gt , lớn hơn, eq bằng, neq không bằng và phạm vi cho một phạm vi bao gồm. Sử dụng lệnh ipv6 access-list mà không có một toán tử và cổng để chỉ ra tất cả các cổng theo mặc định.

• Các loại tin nhắn ICMP được lọc theo quy tắc truy cập. Bỏ qua đối số icmp_type cho biết tất cả các loại ICMP. Nếu bạn chỉ định loại ICMP, giá trị có thể là số loại ICMP hợp lệ (từ 0 đến 255) hoặc một trong các loại chữ ICMP sau:
– đích đến không thể truy cập
– gói quá lớn
– vượt quá thời gian
– tham số-vấn đề
– yêu cầu echo
– trả lời bằng tiếng vọng
– truy vấn thành viên
– báo cáo thành viên
– giảm hội viên
– định tuyến lại bộ định tuyến
– chào mời bộ định tuyến
– bộ định tuyến quảng cáo
– hàng xóm mời
– quảng cáo hàng xóm
– chuyển hướng hàng xóm

Thêm danh sách truy cập IPv6

Bạn có thể thêm danh sách truy cập IPv6 thông thường hoặc thêm danh sách truy cập IPv6 bằng TCP.

Để thêm danh sách truy cập IPv6 thông thường, hãy nhập lệnh sau:

ipv6 access-list id [line line-num] {deny
| permit} {protocol | object-group
protocol_obj_grp_id}
{source-ipv6-prefix/prefix-length | any |
host source-ipv6-address | object-group
network_obj_grp_id} [operator {port [port]
| object-group service_obj_grp_id}]
{destination-ipv6-prefix/prefix-length |
any | host destination-ipv6-address |
object-group network_obj_grp_id}
[{operator port [port] | object-group
service_obj_grp_id}] [log [[level]
[interval secs] | disable | default]]
Example:
hostname(config)# ipv6 access-list acl_grp permit tcp any host 3001:1::203:A0FF:FED6:162D

Để định cấu hình danh sách truy cập IPv6 với ICMP, hãy nhập lệnh sau:

ipv6 access-list id [line line-num] {deny
| permit} icmp6
{source-ipv6-prefix/prefix-length | any |
host source-ipv6-address | object-group
network_obj_grp_id}
{destination-ipv6-prefix/prefix-length |
any | host destination-ipv6-address |
object-group network_obj_grp_id}
[icmp_type | object-group
icmp_type_obj_grp_id] [log [[level]
[interval secs] | disable | default]]
Example:
hostname(config)# ipv6 access list acl_grp permit tcp any host 3001:1::203:AOFF:FED6:162D

Thêm ghi chú vào danh sách truy cập

access-list access_list_name remark text
Example:
hostname(config)# access-list OUT remark –
this is the inside admin address
Example

Bạn có thể thêm nhận xét trước mỗi ACE và các nhận xét xuất hiện trong danh sách truy cập ở các vị trí này. Nhập dấu gạch ngang (-) ở đầu nhận xét giúp đặt dấu gạch ngang ngoài ACE.
hostname(config)# access-list OUT remark – this is the inside admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.3 any
hostname(config)# access-list OUT remark – this is the hr admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.4 any

Theo dõi danh sách truy cập IPv6

Ví dụ sau cho phép bất kỳ máy chủ nào sử dụng TCP để truy cập máy chủ 3001: 1 :: 203: A0FF: FED6: 162D:

hostname(config)# ipv6 access-list acl_grp permit tcp any host 3001:1::203:A0FF:FED6:162D

Ví dụ sau sử dụng eq và một cổng để từ chối truy cập vào FTP chỉ:

hostname(config)# ipv6 access-list acl_out deny tcp any host 3001:1::203:A0FF:FED6:162D eq
ftp
hostname(config)# access-group acl_out in interface inside

Ví dụ sau sử dụng lt để cho phép truy cập vào tất cả các cổng nhỏ hơn cổng 2025, cho phép truy cập vào các cổng nổi tiếng (1 đến 1024):

hostname(config)# ipv6 access-list acl_dmz1 permit tcp any host 3001:1::203:A0FF:FED6:162D
lt 1025
hostname(config)# access-group acl_dmz1 in interface dmz1

Các bạn có những thắc mắc liên quan đến nội dung của bài viết xin vui lòng liên hệ với chúng tôi theo các Hotline trên Website để được tư vấn, hỗ trợ tốt nhất.

Hướng dẫn cấu hình thêm danh sách truy cập
5 (100%) 2 đánh giá

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *