首先我要声明,我并不是一名专业的网络管理员,并且该防火墙最初是由一位现已不再任职的思科顾问设置的。
我们有一间小办公室,配备了 Cisco ASA 5505,还有一台基于 IP 的打印机。供应商可以远程访问此打印机来打印会计文档。由于供应商正在更换 ISP,我需要更新供应商的公共 IP 地址。
如果您查看下面的代码片段,我不确定我是否理解为什么他们没有使用规则的确切地址,而是 xxx.xxx.xxx.0,然后他们在描述中注明了特定的公共 IP 地址。一开始就将其设置为 xxx.xxx.xxx.250 不是更好吗?
当我更新供应商的新公共 IP 地址时,我是否不应该插入他们所来自的特定公共 IP 地址,而是允许整个公共 /24(他们的公共 IP 来自的网络)?
以下是我在配置中找到的片段,这些不是真正的 IP:
name 192.168.0.106 host-prt-000.106-printing01
name 192.168.0.107 host-prt-000.107-printing02
name XXX.XXX.XXX.0 vendor-srv-PrintingVendor description Specific Print Source: XXX.XXX.XXX.250
object network vendor-srv-PrintingVendor
subnet XXX.XXX.XXX.0 255.255.255.0
description AccountingVendor
object network host-prt-000.106-printing01
host 192.168.0.106
description accounting HP
object network host-prt-000.107-printing02
host 192.168.0.107
description xerox
提前致谢。
大卫
答案1
这里没有实际的防火墙规则,这些只是配置中使用的名称 -> IP 地址(范围)映射,以使配置更易于阅读。
然而,最初的顾问很可能想为 IP 地址留出一些灵活性,以防传入连接的 IP 地址发生变化。
如果您确定入站连接始终来自特定 IP 地址,那么您可以将对象 IP 地址更改为该地址,即将该行替换为类似于下面对象的行subnet。host
另外,我不会让任何外部 IP 地址直接连接到内部网络,为此我会设置 VPN。
答案2
您发布的配置部分不包含 NAT 规则或 ACL(这两者都与允许远程 IP 打印到您网络中的打印机有关)。
object network vendor-srv-PrintingVendor
这是一个网络对象。在 Cisco 路由器中,您可以按名称定义网络对象,这样就不必记住 IP 地址。
因此对于对象 vendor-srv-PrintingVendor
object network vendor-srv-PrintingVendor
subnet XXX.XXX.XXX.0 255.255.255.0
description AccountingVendor
这是在定义网络对象。该对象是网络 XXX.XXX.XXX.0 255.255.255.0。名称是 vendor-srv-PrintingVendor,这意味着每次需要在配置中添加它时,无需键入 XXX.XXX.XXX.0 255.255.255.255.0,您只需使用 vendor-srv-PrintingVendor 引用该对象即可。
您可能需要将对象的名称从 vendor-srv-PrintingVendor 更改为 vendor-srv-PrintingVendor-Network,并创建一个名为 vendor-srv-PrintingVendor-PrintSource 的新对象。您可以将其创建为主机而不是子网,因此您的代码将是这样的。
object network vendor-srv-printingVendor-PrintSource
host XXX.XXX.XXX.250
description Accounting Vendor Print Source
如果您能告诉我们这是否是 Catalyst、ASA 等,以及型号,如果是 ASA,则告诉我们软件版本(不是 ASDM 版本号,而是 ASA 版本号),这将有助于解答您可能对 ACL 和 NAT 规则存在的疑问。
当为此创建 ACL 时,您将需要使用特定的 IP 地址而不是当前对象提供给您的整个网络。