本篇繼續講解asa防火牆,關於使用mpf的方式來配置監控流量,使得流量可以正常的回包。
配置命令如下
配置icmp監控流量
asa(config)#policy-map global_policy
asa(config-pmap)#class inspection_default
asa(config-pmap-c)# inspect icmp
配置esp監控流量
由於在 class-map中的流量匹配沒有esp流量,因此需要建立乙個acl表來匹配esp流量,在class-map中呼叫這個acl
asa(config)#access-list esp extended permit esp any any
asa(config)#class-map esp-class
asa(config-cmap)#match access-list esp //呼叫acl列表來匹配esp流量
asa(config)#policy-map global_policy
asa(config-pmap)#class esp-class //在全域性policy-map中呼叫class-map
asa(config-pmap-c)#inspect ipsec-pass-thru //監控esp流量
以正常asa高階別到低階別的區域的ping為例,在不做配置的情況下,是無法ping成功的,無論是低級別到高階別還是低到高,原因就是回包無法匹配asa的特性,通過以上的配置,生成流量監控,使得回包匹配流量監控,讓訪問正常通訊。
ASA防火牆之global ACL配置例項
本篇繼續介紹asa防火牆的相關配置,有關全域性訪問控制acl的配置,相對於介面對的呼叫,全域性更加的靈活。需求 全域性放行icmp與telnet的流量,進行測試。再將outside介面入方向telnet流量deny掉,再進行測試。配置命令如下 asa config access list globa...
ASA防火牆訪問配置總結
show run 找到如下資訊 access list inside1 outside1 extended permit udp xx.0 內網位址 255.255.255.0 內網掩碼 host 外網位址 range 16000 33000 access list inside1 outside1...
ASA防火牆之URL的過濾
本篇繼續講解asa防火牆,主要講解asa防火牆對流量的關鍵字的過濾,通過正規表示式來過濾抑或是放行的url流量。需求 1 當xp訪問站點www.cjc.com時,只允許ur1中包含 sh run 關鍵字得流量通過。2 訪問其他站點得流量不受控制。3 丟棄不符合http協議標準的流量。環境搭建,r2作...