Tweet
Cấu hình ACL trên ASA
1. So sánh giữa ACL Router và Firewall ASA
Cisco đang thử sức để di chuyển đến một giao diện dòng lệnh thống nhất trên toàn sản phẩm mạng của nó, mà bạn có thể thấy rõ điều này với các lệnh ACL trên các thiết bị của nó. Phần này trình bày những điểm tương đồng và một vài sự khác biệt giữa các ACL trên thiết nói chung bị và ACL trên router IOS.
– Một nhóm các ACL được gán nhãn với 1 chỉ số nhận biết nhóm đó .
– Cả Standard và Extended ACL đều được trang bị trong Firewall ASA .
– Cú pháp của các rule là như nhau .
– Mỗi rule được xử lý theo thứ tự từ trên xuống bắt đầu từ rule đầu tiên .
– Có một rule cuối mỗi danh sách ACL mặc định luôn cấm các traffic.
– Khi thêm một Rule vào thì rule đó mặc định được thêm vào cuối của danh sách Rule.
– Khi chỉnh sửa ACL, bạn có thể xóa các rule và thêm các rule vào sanh sách Rule.
– Bạn có thể chú thích vào nhiều ACL. Mỗi ACL có thể được cho phép hoặc vô hiệu dựa trên ngày tháng (Timed ACL).
2. Áp dụng Access-list
Standard ACL
Giống như IOS Router, Firewall ASA hỗ trợ Standard ACL để lọc packet dựa trên địa chỉ IP. Tuy nhiên với Standard ACL, Firewall không thể sử dụng để lọc traffic vào ra Interface.
Cú pháp:
Ciscoasa(config)# access-list ACL_ID standard [line line_#] deny IP_addr subnet_mask
Extended ACL
Có thể lọc traffic vào ra trên một interface. Lọc địa chỉ nguồn và địch, giao thức, ứng dụng .
Cú pháp:
Kiểm tra cấu hình ACL
Để liệt kê các câu lệnh trong ACL, bạn có hai lựa chọn. Đầu tiên Show run access-list và show run access-group để hiển thị cấu hình trong running-config
ciscoasa(config)# show access-list [ACL_ID]
Nếu không muốn xem ACL đơn, bạn có thể xem toàn bộ các ACL
ciscoasa(config)# show access-list
Ví dụ về áp dụng ACL
ASA có hai Interface:
Có hai nhóm thiết bị trong LAN, nhóm A (192.168.1.128 – 192.168.1.191) và nhóm B (192.168.1.192 – 192.168.1.254). Thực hiện Các rule như sau:
Đối với nhóm A
Chặn truy cập đối với mạng 131.108.0.0/16
Chặn truy cập đến webserver: 210.210.210.0/24
Cho phép truy cập internet
Đối với nhóm B
Cho phép truy cập đến tất cả các thiết bị trong mạng 140.140.0.0/16
Cho phép truy cập đến webserver: 210.210.210.5/32 và 211.211.211.3/32
Cấm truy cập đến các mạng Internet khác
Văn Công Thắng – VnPro
Cisco đang thử sức để di chuyển đến một giao diện dòng lệnh thống nhất trên toàn sản phẩm mạng của nó, mà bạn có thể thấy rõ điều này với các lệnh ACL trên các thiết bị của nó. Phần này trình bày những điểm tương đồng và một vài sự khác biệt giữa các ACL trên thiết nói chung bị và ACL trên router IOS.
– Một nhóm các ACL được gán nhãn với 1 chỉ số nhận biết nhóm đó .
– Cả Standard và Extended ACL đều được trang bị trong Firewall ASA .
– Cú pháp của các rule là như nhau .
– Mỗi rule được xử lý theo thứ tự từ trên xuống bắt đầu từ rule đầu tiên .
– Có một rule cuối mỗi danh sách ACL mặc định luôn cấm các traffic.
– Khi thêm một Rule vào thì rule đó mặc định được thêm vào cuối của danh sách Rule.
– Khi chỉnh sửa ACL, bạn có thể xóa các rule và thêm các rule vào sanh sách Rule.
– Bạn có thể chú thích vào nhiều ACL. Mỗi ACL có thể được cho phép hoặc vô hiệu dựa trên ngày tháng (Timed ACL).
2. Áp dụng Access-list
Standard ACL
Giống như IOS Router, Firewall ASA hỗ trợ Standard ACL để lọc packet dựa trên địa chỉ IP. Tuy nhiên với Standard ACL, Firewall không thể sử dụng để lọc traffic vào ra Interface.
Cú pháp:
Ciscoasa(config)# access-list ACL_ID standard [line line_#] deny IP_addr subnet_mask
Extended ACL
Có thể lọc traffic vào ra trên một interface. Lọc địa chỉ nguồn và địch, giao thức, ứng dụng .
Cú pháp:
Kiểm tra cấu hình ACL
Để liệt kê các câu lệnh trong ACL, bạn có hai lựa chọn. Đầu tiên Show run access-list và show run access-group để hiển thị cấu hình trong running-config
ciscoasa(config)# show access-list [ACL_ID]
Nếu không muốn xem ACL đơn, bạn có thể xem toàn bộ các ACL
ciscoasa(config)# show access-list
Ví dụ về áp dụng ACL
ASA có hai Interface:
Mô hình mạng áp dụng ACL
Có hai nhóm thiết bị trong LAN, nhóm A (192.168.1.128 – 192.168.1.191) và nhóm B (192.168.1.192 – 192.168.1.254). Thực hiện Các rule như sau:
Đối với nhóm A
Chặn truy cập đối với mạng 131.108.0.0/16
Chặn truy cập đến webserver: 210.210.210.0/24
Cho phép truy cập internet
Đối với nhóm B
Cho phép truy cập đến tất cả các thiết bị trong mạng 140.140.0.0/16
Cho phép truy cập đến webserver: 210.210.210.5/32 và 211.211.211.3/32
Cấm truy cập đến các mạng Internet khác
Văn Công Thắng – VnPro