我有一台固件版本为 8.0(5) 的 Cisco ASA5510。
我想限制允许通过 WebVPN(端口 443)访问路由器的源 IP。以下是配置的相关部分。
access-list outside_access_in extended permit ip host 59.59.59.140 any
access-list outside_access_in extended deny ip any any
[...]
access-group outside_access_in in interface outside
[...]
webvpn
enable outside
svc image disk0:/anyconnect-win-2.3.0254-k9.pkg 1
svc enable
tunnel-group-list enable
但是,我的 webvpn 端口在世界各地都可用。我该如何解决这个问题?
答案1
首先定义允许 VPN/WEBVPN 特定源地址的扩展 ACL,我使用了名称互联网
ciscoasa(config)# access-list internet extended permit tcp host 59.59.59.140 any
ciscoasa(config)# access-list internet extended deny ip any any
然后将扩展 ACL 与 access-group 命令和选项绑定控制平面一起
ciscoasa(config)# access-group internet in interface outside control-plane
这应该适用于您的版本 8.x(ASA 命令参考在 8.x 中列出了此选项)
答案2
您可以将管理访问规则应用于 asa 的控制计划,并有效地允许/拒绝特定源地址访问 webvpn 地址。请参考以下内容: http://www.cisco.com/c/en/us/td/docs/security/asa/asa83/asdm63/configuration_guide/config/access_management.html
答案3
与此同时,我发现这个问题没有确切的解决方案:(
根据思科支持论坛,没有办法使用访问列表来阻止 webvpn。
解决该问题的可能方法包括:
- 在 ASA 前面放置另一个带有防火墙的路由器(Netgear、Cisco 800 等)
- 尝试(传统)IPsec VPN 客户端
- 就我而言,Site-to-Site VPN 也是可行的