网络安全篇 ASA防火墙的基本访问控制列表-10

最新推荐文章于 2024-06-20 14:28:31 发布
最新推荐文章于 2024-06-20 14:28:31 发布
阅读量2.3k 收藏 4
点赞数 1
分类专栏: 网络安全 文章标签: 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37171673/article/details/112471956
版权

目录

一、访问控制列表基本概念

二、实验拓扑

三、实验步骤

四、实验过程

总结

实验难度3
实验复杂度3

 

 

一、访问控制列表基本概念

访问控制列表(ACL,Access Control List),它是由一组permit与deny语句组成的,它的作用绝不止网络上说的控制数据包进出接口这么简单,它的功能是很强大的,不然它也不会是最早的静态包过滤防火墙了。ASA防火墙只对进入或出接口的穿越流量进行控制,若是非穿越防火墙的流量,它是不会控制的,比如,防火墙自身流量出某个接口。ACL它是可以基于三层的源、目标IP地址,四层的源、目标端口号进行控制的。对于接口访问控制列表,它只能控制穿越流量,切记切记。所有由防火墙本身发起的流量都会被允许的。ACL的作用有很多,除大家熟知的控制数据包进出接口外,还外就是匹配网络范围,那么这个匹配网络范围有什么作用呢?有很多的用途,比如匹配相应的网络范围应用到NAT中、路由策略中、IPSec中等。相对于ASA而言,它有以下的相关特性:

1.状态化的访问规则:

对所有能够状态化处理的协议与应用,防火墙接口规则就会放行首个包,后面的都是放行的。

2.接口规则与接口安全级别:

若不应用接口访问规则到接口,那么outbound连接被允许(高安全级别流向低安全级别),反之,inbound连接都会被拒绝(低安全级别到高安全级别)

若是存在以下连接,那么需要写ACL来明确允许:

1.相同的安全级别之间的流量

2.相同一个接口进出的流量

3.在相关接口,被ACL规则控制的所有流量

3.接口访问规则的应用方向

1.可以在防火墙的接口上启用input与output方向的ACL,这个是可以同时启用的

2.一般地,我们在多数情况下,都是使用input方向,这样可以确保设定的ACL可以起到作用

3.在一些特殊的环境,output的应用规则更加容易被应用

4.ACL的接口访问规则的相关注意事项

1.在配置多条ACL时,建议把最精细的ACL条目(明细路由)配置在最上方,这个是最小权限分配原则

2.建议把ACL应用在防火墙接口的入方向上

3.不要在ACL后面放行所有流量

 

二、实验拓扑

三、实验步骤

1.搭建如图所示的网络拓扑;

2.初始化路由器,配置相应的IP地址;

3.配置ASA的初始相关参数:

防火墙的名称为ASA

接口接口名称安全级别IP地址
G0inside100192.168.100.254/24
G1dmz50192.168.200.254/24
G2outside050.100.200.254/24

 

 

 

 

4.配置dmz路由器的telnet信息:

用户名/密码,dmz/ccie,

特权密码,ccie

5.配置三个路由器的默认路由,下一跳都指向防火墙;

6.配置扩展ACL,使得outside路由器可以Telnet dmz路由器;

7.配置inside路由器的http服务,配置扩展ACL,使得outside去往inside的http流量可以穿越防火墙;

8.配置一条基于时间ACL,名字为time,生效时间为工作日(周一至周五)的9:00-17:00,除了这个时间外,其余时间outside路由器都无法telnet到dmz路由器。

四、实验过程

1.搭建如图所示的网络拓扑;

这里我们只需要用于防火墙与路由器而已,过程略。

2.初始化路由器,配置相应的IP地址;

inside:

dmz:

outside:

3.配置ASA的初始相关参数:

防火墙的名称为ASA

接口接口名称安全级别IP地址
G0inside100192.168.100.254/24
G1dmz50192.168.200.254/24
G2outside050.100.200.254/24

 

 

 

 

测试ASA防火墙直连网络的连通性:

4.配置dmz路由器的telnet信息:

用户名/密码,dmz/ccie,

特权密码,ccie

5.配置三个路由器的默认路由,下一跳都指向防火墙;

6.配置扩展ACL,使得outside路由器可以Telnet dmz路由器;

测试:

7.配置inside路由器的http服务,配置扩展ACL,使得outside去往inside的http流量可以穿越防火墙;

测试:

这里的结果为Open,表示已经成功了,HTTP的流量已经穿越防火墙。

8.配置一条基于时间ACL,名字为time,生效时间为工作日(周一至周五)的9:00-17:00,除了这个时间外,其余时间outside路由器都无法telnet到dmz路由器。

(1)配置时间范围

(2)查看之前的ACL

(3)应用time-range到ACL上

(4)查看ACL的状态

这里我们发现,这条ACL是失效了,因为它已经超过我们定义的时间范围了。

代码解析:

ASA(config)# access-list out-dmz extended permit tcp host 50.100.200.1  host 192.168.200.1 eq 23  //out-dmz表示这条ACL的名称,extended表示这条ACL为扩展ACL类型,permit tcp表示允许TCP协议流量类型,后面表示允许IP地址为50.100.200.1的主机远程telnet IP地址为192.168.200.1的主机

ASA(config)# access-group out-dmz in interface outside  //调用out-dmz这条ACL语句到outside接口的入方向上

inside(config)#ip http server   //启用路由器的http功能

access-list out-dmz extended permit tcp host 50.100.200.1 host 192.168.200.1 eq telnet time-range time  //后面添加了一个ACL的生效时间

ASA(config)# time-range time    //配置一条time-range的名称
ASA(config-time-range)# periodic weekdays 9:00 to 17:00   //定义一个时间范围,这里表示周一至周五的9:00到17:00生效

总结

本章节的内容,中等难度吧,其实若对路由交换内容的ACL熟悉的话,这个章节的内容是很好理解的。好了,今天的内容就到了这里,我们在下一个章节再见,加油!

公子绝
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
防火墙技术原理_访问控制访问控制列表
11-13
防火墙技术原理,访问控制访问控制列表,图文并茂。
最新cisco asa911-k8
12-25
配置涵盖防火墙规则、访问控制列表ACLs)、身份认证、IPsec和SSL VPN、NAT转换等多方面。 **4. 安全最佳实践** - **定期更新**:保持ASA软件的最新状态,以抵御新的安全威胁。 - **安全策略审查**:定期评估并...
思科ASA防火墙: 接口配置名称 && 安全等级 && acl防控列表
鲍海超
04-07 2919
access-list + 自定义acl名称+ permit + ip host 源ip host 目标ip (any是全部 上边那个意思是 172.12.12.1 到内网全部)(因为没有对某些协议进行记录,所以不会让外面的回包进来,但是自己发的可以出去,这样就造成的无法得到回应,设备就以为外网设备不存在,使用acl就可以解决)现在基本的都配置好了,但是内网只能ping通自己的网关,外网也是只能ping通网关。如果源ip 改成any 目标 ip也是 any 那就是外网全部可以和内网全部通信。
CCNA 之ASA 5505防火墙配置,没有硬件防火墙?那就使用Cisco Packet Tracer Student 6.2 模拟实现
最新发布
笑震湘的博客
06-20 975
企业内部架设web服务器用于发布公司相关产品宣传。要求web服务器能被 外网所访问,但又要保证内部网络及服务器的安全,防止外部网络恶意攻击。通过硬件防火墙(firewall)来实现配置,隔离内部外部网络,然后配置规则允许ICMP包及HTTP协议通过,从而实现任务。
路由器接口上的“防火墙”——访问控制列表
Zzzzzz的博客
10-14 2454
路由器接口上的“防火墙”——访问控制列表 众所周知,无论在哪个系统上都有防火墙的存在,帮助计算机/服务器网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。 而在路由器上同样也有一种“防火墙”,被称为——访问控制列表。该列表应用于路由器接口,通过该列表来告诉路由哪些数据包需要过滤,哪些可以通过。下面我将详细为大家进行讲解。 ACL(access control l...
新手学堂:防火墙概念与访问控制列表(转)
08-15 284
新手学堂:防火墙概念与访问控制列表(转)[@more@]  防火墙分软件防火墙与硬件防火墙。   就软件防火墙而言又分网络防火墙与病毒防火墙,这之中还有手机防火墙。我们常用到的软件防火墙品牌包括瑞星,冰盾等。   就硬件防火墙我...
4-思科防火墙访问控制列表基本ACL
weixin_34115824的博客
07-07 3363
一、实验拓扑:二、实验要求:1、放行Outside去往DMZ的Telnet流量;2、放行Outside去往Inside的Http流量;3、配置默认拒绝所有的ACL,并且ASA丢掉数据包后会有Log提示;4、R2开启http secure-server服务(https服务),R1远程登录R2的443端口,查看ASA是否有提示? 三、命令部署:1、R1、R2、R3分别配置默认路由,下一跳为对应的ASA...
防火墙访问控制列表.pdf
11-26
防火墙访问控制列表.pdf
asa 5505 防火墙的配置
05-13
4. **访问控制列表ACL)配置**: ``` access-list 102 extended permit icmp any any access-list 102 extended permit ip any any ``` - 第一条ACL允许所有ICMP数据包通过,常用于网络诊断。 - 第二条ACL...
asa8.4配置手册
08-30
该手册适用于多种型号的ASA防火墙,包括但不限于ASA5505、ASA5510ASA5520、ASA5540、ASA5550、ASA5580、ASA5512-X、ASA5515-X、ASA5525-X、ASA5545-X、ASA5555-X及ASA5585-X。手册通过命令行界面(CLI)提供了详细的...
CISCO ASA5510 配置详解
06-20
access-list 用于定义访问控制列表ACL),用于控制流量的流入和流出。在上述配置中,定义了两个 ACL:access-list 102 和 access-list 111。access-list 102 允许 icmp 和 ip 流量,access-list 111 允许来自 ...
PT的计算机网络实训教学体系构建与应用解析.pdf
09-26
安全管理,如ASA防火墙配置、交换机端口安全、访问控制列表等;协议分析,包括数据封装与解封装,链路层、ICMP、IP选路、ARP、TCP、UDP等协议的分析。 在项目设计阶段,需要分析专业课程实训内容,根据PT平台的特性...
Firewall-cmd 为 MariaDB 数据库防火墙进行配置
HONEY MOOSE
10-29 439
当你完成安装数据库后,通常会迫不及待的进行访问和连接。但是防火墙会给你很大的麻烦,如果你不进行正确的配置的话。不管使用什么工具,可能就是一直连不上。 本文主要帮助你解决这个小问题。 下面的配置需要在 MariaDB 数据库服务器上进行配置。 我们的场景是,假设我们有一个 Web 服务器是部署在 IP 地址 192.168.0.1 上面。我们需要这个 Web 服务器能访问我们的数据库。数据库使用的端口是 3306。 在正常安装情况下,如果你的 firewalld 启动的话,Web 服务器是没有办法进行
ASA防火墙访问配置总结
asdwlgcx的博客
03-17 636
ASA防火墙访问配置添加外网访问端口 添加外网访问端口 show run 找到如下信息: access-list inside1-outside1 extended permit udp xxx.xxx.xx.0(内网地址) 255.255.255.0(内网掩码) host xxx.xxx.xxx.xxx(外网地址) range 16000 33000 access-list inside1-ou...
10ACL访问控制列表)原理与配置
2301_76274559的博客
06-19 2658
本次主要介绍了ACL的相关技术知识,包括ACL的作用,ACL的组成、匹配和分类、通配符的使用方法,以及ACL基本配置。
acl访问控制列表
钻石
08-06 1631
用户相关目录和文件 #如果要彻底删除用户必须对这些文件和目录修改 /etc/passwd /etc/shadow /home/zhang3 /var/spool/mail groupadd teachers #创建teachers组 groupadd class1 #创建class1组 useradd -g teachers teacher1 ...
access-list中in 和out的含义
weixin_34391445的博客
08-17 596
在net130上看到的文章,感觉通俗易懂,呵呵。 in和out是相对的,比如:A(s0)-----(s0)B(s1)--------(s1)C假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C)现在要拒绝小偷从A进来,那么你在...
ASA防火墙中端口的互访规则
weixin_33814685的博客
08-26 1265
ASA防火墙中,基于安全的原因对不同的端口的安全定义也是不一样的。默认规则如下: 1、安全级别低的端口,不能访问安全级别高的端口。如outside接口安全级别为0,不能访问安全级别为100的inside接口。 2、安全级别高的端口,可以访问安全级别低的端口。如inside接口可以访问outside接口。 3、相同安全级别的都够,不可以互访。如定义两个安全级...
Packet Tracer 5.2实验(十二) 标准IP访问控制列表配置
weixin_33961829的博客
07-20 946
一、实验目标 理解标准IP访问控制列表的原理及功能; 掌握编号的标准IP访问控制列表的配置方法; 二、实验背景 公司的经理部、财务部和销售部分别属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部不能对财务部进行访问,但经理部可以对财务部进行访问。 三、技术原理 ACLs的全称为接入控制列表(Access Control Lists),也称为访问...
ASA防火墙 OID
05-10
ASA防火墙OID(Object Identifier)是ASA防火墙设备上的唯一标识符,用于标识和管理ASA防火墙上的各种对象和资源。ASA防火墙OID通常由数字组成,具有层级结构,可以用来表示不同类型的对象和资源。例如,ASA防火墙OID可以用来表示防火墙接口、NAT规则、ACL规则等对象和资源。 通过使用ASA防火墙OID,网络管理员可以更方便地管理ASA防火墙设备,查找和诊断问题,以及进行配置和监控。ASA防火墙OID还可以与SNMP(Simple Network Management Protocol)协议结合使用,实现对ASA防火墙设备的远程管理和监控。 如果您需要了解更多关于ASA防火墙OID的内容,建议您参考Cisco官方文档或者向网络专家咨询。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

公子绝

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值