我很快就会遇到需要即时更新防火墙的情况。如何即时更新思科 ASA 访问列表?例如,如果我从以下开始:
access-list outside_in extended ip deny any any
access-list outside_in extended tcp deny any any
access-list outside_in extended udp deny any any
access-list outside_in extended icmp deny any any
(我知道这有点苛刻,但请忍耐一下。出于好奇,有没有更简单的方法来否认一切?)
进而
access-group outside_in in interface DMZ
那么我以后如何更新访问列表以打开端口 80?除非重写整个访问列表。我不能只添加一条规则,因为数据包会被之前的规则拒绝。所以,我想我要问的是,如何在访问列表的开头添加一条规则?
谢谢!
答案1
在 ACL 名称后添加line x一行将会将其插入到列表中的该位置。
因此,如果你有:
access-list outside_in extended udp deny any any
access-list outside_in extended icmp deny any any
然后运行:
access-list outside_in line 2 extended tcp deny any any
你的配置最终将如下所示:
access-list outside_in extended udp deny any any
access-list outside_in extended tcp deny any any
access-list outside_in extended icmp deny any any
IP 包括 udp、tcp 和 icmp;阻止 IP 将阻止所有这些。因此,在上述配置中,只有顶部规则会受到攻击。
答案2
默认情况下,Cisco ASA 拒绝所有不是明确地允许。因此,对于你的情况,你可以完美地执行以下操作:
access-list OUTSIDE_IN permit tcp any any eq 80
access-group OUTSIDE_IN interface DMZ
默认情况下,其他一切都将被拒绝。有一个隐含的拒绝任何 IP位于访问列表的末尾。
你只需要明确的如果您想知道进入访问列表的数据包数量,请拒绝 ip any any。