本篇繼續介紹asa防火牆的相關配置,有關全域性訪問控制acl的配置,相對於介面對的呼叫,全域性更加的靈活。
需求:全域性放行icmp與telnet的流量,進行測試。再將outside介面入方向telnet流量deny掉,再進行測試。
配置命令如下
asa(config)#access-list global extended permit icmp any any
asa(config)#access-list global extended permit tcp any any eq telnet
asa(config)#access-group global global //全域性呼叫
配置完成
配置全域性之後,可以發現全域性都可以通過icmp以及telnet訪問,例如下面這裡正常情況r2是無法telnet和pingr1的(低到高階別),但是配置之後,可以telnet以及ping。
r3pingr1也是一樣的效果。
接下來配置介面呼叫
asa(config)#access-list outside-in extended deny tcp any any eq telnet
asa(config)#access-group outside-in in inte***ce outside //介面呼叫
配置完成,來檢視效果
很明顯,r3telnetr1失敗了。原因就是介面呼叫deny了,即使你全域性上允許了。也是無法telnet的,但是卻不影響ping。因為介面deny只是deny掉telnet的資料報。
當然,也可以在asdm裡面配置,配置方法如下,
感謝**!
ASA防火牆之URL的過濾
本篇繼續講解asa防火牆,主要講解asa防火牆對流量的關鍵字的過濾,通過正規表示式來過濾抑或是放行的url流量。需求 1 當xp訪問站點www.cjc.com時,只允許ur1中包含 sh run 關鍵字得流量通過。2 訪問其他站點得流量不受控制。3 丟棄不符合http協議標準的流量。環境搭建,r2作...
ASA防火牆訪問配置總結
show run 找到如下資訊 access list inside1 outside1 extended permit udp xx.0 內網位址 255.255.255.0 內網掩碼 host 外網位址 range 16000 33000 access list inside1 outside1...
ASA防火牆之MPF配置監控流量
本篇繼續講解asa防火牆,關於使用mpf的方式來配置監控流量,使得流量可以正常的回包。配置命令如下 配置icmp監控流量 asa config policy map global policy asa config pmap class inspection default asa config p...