ASA 8.X en hoger: Een toegangslijst toevoegen of wijzigen met behulp van het ASDM GUI-configuratievoorbeeld

Downloadopties

  • PDF     (1.1 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.1 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:7 april 2011
Document-id:112925

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document legt uit hoe u Cisco Adaptive Security Device Manager (ASDM) moet gebruiken om met toegangscontrolelijsten te werken. Dit omvat het maken van een nieuwe toegangslijst, het bewerken van een bestaande toegangslijst en andere functies met de toegangslijsten.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco adaptieve security applicatie (ASA) met versie 8.2.X

  • Cisco Adaptieve Security Device Manager (ASDM) met versie 6.3.X

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

Toegangslijsten worden voornamelijk gebruikt om de verkeersstroom door de firewall te controleren. U kunt specifieke typen verkeer met toegangslijsten toestaan of weigeren. Elke toegangslijst bevat een aantal toegangslijstvermeldingen (ACE’s) die de verkeersstroom van een specifieke bron naar een specifieke bestemming controleren. Normaal gesproken is deze toegangslijst gebonden aan een interface om de richting van de stroom mee te delen waarin deze zou moeten kijken. Toegangslijsten zijn voornamelijk in twee brede categorieën gecategoriseerd.

  1. Inkomende toegangslijsten

  2. Uitgaande toegangslijsten

De inkomende toegangslijsten zijn op het verkeer van toepassing dat die interface ingaat, en de uitgaande toegangslijsten zijn op het verkeer van toepassing dat de interface weggaat. De inkomende/uitgaande notatie verwijst naar de richting van het verkeer in termen van die interface maar niet naar de beweging van verkeer tussen hogere en lagere veiligheidsinterfaces.

Voor TCP- en UDP-verbindingen hebt u geen toegangslijst nodig om terugkerend verkeer toe te staan, omdat het security apparaat al het terugkerende verkeer toestaat voor gevestigde tweerichtingsverbindingen. Voor verbindingsloze protocollen zoals ICMP, stelt het security apparaat unidirectionele sessies vast, zodat u ofwel toegangslijsten nodig hebt om toegangslijsten toe te passen op de bron- en doelinterfaces om ICMP in beide richtingen toe te staan, of u moet de ICMP-inspectieengine inschakelen. De ICMP-inspectieengine behandelt ICMP-sessies als bidirectionele verbindingen.

Vanuit de ASDM versie 6.3.X zijn er twee soorten toegangslijsten die u kunt configureren.

  1. Regels voor interfacetoegang

  2. Mondiale toegangsregels

Opmerking: toegangsregel verwijst naar een afzonderlijke vermelding in een toegangslijst (ACE).

De regels van de interfacetoegang zijn gebonden aan om het even welke interface op het tijdstip van hun verwezenlijking. Zonder ze aan een interface te binden, kunt u ze niet maken. Dit verschilt van het voorbeeld van de opdrachtregel. Met CLI maakt u eerst de toegangslijst met de opdracht toegangslijst en bindt u deze toegangslijst vervolgens aan een interface met de opdracht toegangsgroep. ASDM 6.3 en hoger, de toegangslijst wordt gemaakt en gebonden aan een interface als één taak. Dit is alleen van toepassing op het verkeer dat door die specifieke interface stroomt.

Mondiale toegangsregels zijn niet gebonden aan enige interface. Ze kunnen worden geconfigureerd via het tabblad ACL Manager in de ASDM en worden toegepast op het wereldwijde toegangsverkeer. Ze worden geïmplementeerd wanneer er een match is op basis van de bron, de bestemming en het protocoltype. Deze regels worden niet op elke interface gerepliceerd, zodat besparen ze geheugenruimte.

Wanneer beide regels moeten worden geïmplementeerd, krijgen de regels voor interfacetoegang normaliter voorrang boven de algemene toegangsregels.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

acl-asdm-01.gif

Een nieuwe toegangslijst toevoegen

Voltooi deze stappen om een nieuwe toegangslijst met ASDM te maken:

  1. Kies Configuratie > Firewall > Toegangsregels en klik op de knop Toegangsregel toevoegen.

    acl-asdm-02.gif

  2. Kies de interface waaraan deze toegangslijst moet worden gebonden, samen met de actie die op het verkeer moet worden uitgevoerd, d.w.z., vergunning/ontkennen. Klik vervolgens op de knop Details om het bronnetwerk te selecteren.

    acl-asdm-03.gif

    Opmerking: Hier volgt een korte uitleg van de verschillende velden die in dit venster worden weergegeven:

    • Interface—Hiermee bepaalt u de interface waaraan deze toegangslijst is gekoppeld.

    • Actie—Bepaalt het actietype van de nieuwe regel. Er zijn twee opties beschikbaar. De vergunning staat al passend verkeer toe en ontkent blokkeert al passend verkeer.

    • Bron—Dit veld specificeert de bron van het verkeer. Dit kan om het even wat onder een Enig IP adres, een netwerk, een interfaceIP adres van de firewall of een netwerkobjecten groep zijn. U kunt deze selecteren met de knop Details.

    • Bestemming—Dit veld specificeert de bron van het verkeer. Dit kan om het even wat onder een Enig IP adres, een netwerk, een interfaceIP adres van de firewall of een netwerkobjecten groep zijn. U kunt deze selecteren met de knop Details.

    • Service—Dit veld bepaalt het protocol of de service van het verkeer waarop deze toegangslijst is toegepast. U kunt ook een servicegroep definiëren die een verzameling verschillende protocollen bevat.

  3. Nadat u op de knop Details hebt geklikt, verschijnt een nieuw venster dat de bestaande netwerkobjecten bevat. Selecteer het interne netwerk en klik op OK.

    acl-asdm-04.gif

  4. U bent teruggekeerd naar het venster Toegangsregel toevoegen. Typ een willekeurige optie in het veld Bestemming. en klik op OK om de configuratie van de toegangsregel te voltooien.

    acl-asdm-05.gif

Voeg een toegangsregel toe vóór een bestaande:

Voltooi deze stappen om een toegangsregel toe te voegen vlak vóór een reeds bestaande toegangsregel:

  1. Selecteer de bestaande toegangslijst en klik op Invoegen in het vervolgkeuzemenu Toevoegen

    acl-asdm-06.gif

  2. Kies de bron en de bestemming en klik op de knop Details van het veld Service om het protocol te kiezen.

    acl-asdm-07.gif

  3. Kies HTTP het protocol en klik op OK.

    acl-asdm-08.gif

  4. U bent teruggekeerd naar het venster Toegangsregel invoegen. Het veld Service is gevuld met tcp/http als het geselecteerde protocol. Klik op OK om de configuratie van de nieuwe toegangslijst te voltooien.

    acl-asdm-09.gif

U kunt nu de nieuwe toegangsregel volgen die wordt getoond vlak voor de reeds bestaande ingang voor het Inside-Network.

acl-asdm-10.gif

Opmerking: de volgorde van de toegangsregels is erg belangrijk. Tijdens het verwerken van elk pakket om te filteren, onderzoekt ASA of het pakket voldoet aan een van de toegangsregels in een sequentiële volgorde en als er een overeenkomst gebeurt, implementeert het de actie van die toegangsregel. Wanneer een toegangsregel wordt aangepast, gaat het niet verder naar verdere toegangsregels en verifieert ze opnieuw.

Voeg een toegangsregel toe na een bestaande:

Voltooi deze stappen om een toegangsregel net na een reeds bestaande toegangsregel te creëren.

  1. Selecteer de toegangsregel waarna u een nieuwe toegangsregel moet hebben, en kies Invoegen na in het vervolgkeuzemenu Toevoegen.

    acl-asdm-11.gif

  2. Specificeer de velden Interface, Action, Source, Destination en Service en klik op OK om de configuratie van deze toegangsregel te voltooien.

    acl-asdm-12.gif

U kunt zien dat de nieuwe toegangsregel direct na de reeds geconfigureerde regel zit.

acl-asdm-13.gif

Een standaard toegangslijst maken

Voltooi deze stappen om een standaard toegangslijst met de ASDM GUI te maken.

  1. Kies Configuratie > Firewall > Geavanceerd > Standaard ACL > Toevoegen en klik op ACL toevoegen.

    acl-asdm-14.gif

  2. Geef een nummer in het toegestane bereik voor de standaard toegangslijst en klik op OK.

    acl-asdm-15.gif

  3. Klik met de rechtermuisknop op de toegangslijst en kies ACE toevoegen om een toegangsregel aan deze toegangslijst toe te voegen.

    acl-asdm-16.gif

  4. Selecteer de Actie en specificeer het bronadres. Indien vereist, specificeer ook de Beschrijving. Klik op OK om de configuratie van de toegangsregel te voltooien.

    acl-asdm-17.gif

Een wereldwijde toegangsregel maken

Voltooi deze stappen om een uitgebreide toegangslijst te creëren die globale toegangsregels bevat.

  1. Kies Configuratie > Firewall > Geavanceerd > ACL-beheer > Toevoegen en klik op ACL-knop toevoegen.

    acl-asdm-18.gif

  2. Specificeer een naam voor de toegangslijst en klik op OK.

    acl-asdm-19.gif

  3. Klik met de rechtermuisknop op de toegangslijst en kies ACE toevoegen om een toegangsregel aan deze toegangslijst toe te voegen.

    acl-asdm-20.gif

  4. Voltooi de velden Actie, Bron, Bestemming en Service en klik op OK om de configuratie van de wereldwijde toegangsregel te voltooien.

    acl-asdm-21.gif

U kunt nu de globale toegangsregel bekijken, zoals getoond.

acl-asdm-22.gif

Een bestaande toegangslijst bewerken

In deze sectie wordt besproken hoe u een bestaande toegang kunt bewerken.

Bewerk het veld Protocol om een servicegroep te maken:

Voltooi deze stappen om een nieuwe servicegroep te maken.

  1. Klik met de rechtermuisknop op de toegangsregel die moet worden gewijzigd en kies Bewerken om die specifieke toegangsregel aan te passen.

    acl-asdm-23.gif

  2. Klik op de knop Details om het protocol aan te passen dat aan deze toegangsregel is gekoppeld.

    acl-asdm-24.gif

  3. U kunt desgewenst elk ander protocol dan HTTP selecteren. Als er slechts één protocol moet worden geselecteerd, hoeft de servicegroep niet te worden gemaakt. Het is handig om een servicegroep te maken wanneer er een vereiste is om talrijke niet-aangrenzende protocollen te identificeren die moeten worden aangepast door deze toegangsregel.

    Kies Add > TCP-servicegroep om een nieuwe TCP-servicegroep te maken.

    Opmerking: op dezelfde manier kunt u ook een nieuwe UDP-servicegroep of ICMP-groep en dergelijke maken.

    acl-asdm-25.gif

  4. Specificeer een naam voor deze servicegroep, selecteer het protocol in het linkermenu en klik op Toevoegen om deze te verplaatsen naar het menu Leden in groep aan de rechterkant. Er kunnen veel protocollen worden toegevoegd als leden van een servicegroep op basis van de vereiste. De protocollen worden één voor één toegevoegd. Nadat alle leden zijn toegevoegd, klikt u op OK.

    acl-asdm-26.gif

  5. De nieuwe servicegroep kan worden bekeken onder de TCP-servicegroepen op het tabblad. Klik op OK om terug te keren naar het venster Toegangsregel bewerken.

    acl-asdm-27.gif

  6. U kunt zien dat het veld Service wordt ingevuld met de nieuwe servicegroep. Klik op OK om de bewerking te voltooien.

    acl-asdm-28.gif

  7. Beweeg de muis over deze specifieke servicegroep om alle bijbehorende protocollen te bekijken.

    acl-asdm-29.gif

Bewerk de velden Bron/Bestemming om een netwerkobjectgroep te maken:

Objectgroepen worden gebruikt om het maken en bijhouden van toegangslijsten te vereenvoudigen. Als u objecten samen groepeert, kunt u de objectgroep in één ACE gebruiken in plaats van een ACE voor elk object afzonderlijk in te voeren. Voordat u de objectgroep maakt, moet u de objecten maken. In de ASDM-terminologie wordt een object netwerkobject genoemd en wordt de objectgroep netwerkobjectgroep genoemd.

Voer de volgende stappen uit:

  1. Kies Configuratie > Firewall > Objecten > Netwerkobjecten/Groepen > Toevoegen, en klik op Netwerkobject om een nieuw netwerkobject te maken.

    acl-asdm-30.gif

  2. Vul de velden Naam, IP-adres en Netmasker in en klik op OK.

    acl-asdm-31.gif

  3. Het nieuwe netwerkobject is te zien in de lijst met objecten. Klik op OK.

    acl-asdm-32.gif

  4. Kies Configuratie > Firewall > Objecten > Netwerkobjecten/Groepen > Toevoegen, en klik op Netwerkobjectgroep om een nieuwe netwerkobjectgroep te maken.

    acl-asdm-33.gif

  5. De beschikbare lijst van alle netwerkobjecten kunt u vinden in het linkerdeelvenster van het venster. Selecteer afzonderlijke netwerkobjecten en klik op de knop Toevoegen om deze tot lid van de nieuwe netwerkobjectgroep te maken. Groepsnaam moet worden gespecificeerd in het veld dat ervoor is toegewezen.

    acl-asdm-34.gif

  6. Klik op OK nadat u alle leden aan de groep hebt toegevoegd.

    acl-asdm-35.gif

    U kunt nu de netwerkobjectgroep bekijken.

    acl-asdm-36.gif

  7. Om een bron/doelveld van een bestaande toegangslijst met een netwerkgroepobject aan te passen, klikt u met de rechtermuisknop op de specifieke toegangsregel en kiest u Bewerken.

    acl-asdm-37.gif

  8. Het venster Toegangsregel bewerken verschijnt. Klik op de knop Details van het veld Bron om het te wijzigen.

    acl-asdm-38.gif

  9. Selecteer de netwerkobjectgroep All-Internal-Hosts en klik op OK.

    acl-asdm-39.gif

  10. Klik op OK.

    acl-asdm-40.gif

  11. Beweeg de muis over het veld Bron van de toegangsregel om de leden van de groep te bekijken.

    acl-asdm-41.gif

Bewerk de bronpoort:

Voltooi deze stappen om de bronpoort van een toegangsregel aan te passen.

  1. Als u de bronpoort van een bestaande toegangsregel wilt wijzigen, klikt u met de rechtermuisknop op de poort en kiest u Bewerken.

    Het venster Toegangsregel bewerken verschijnt.

    acl-asdm-42.gif

  2. Klik op de vervolgkeuzeknop Meer opties om het veld Bronservice aan te passen en klik op OK.

    U kunt de aangepaste toegangsregel bekijken, zoals wordt getoond.

    acl-asdm-43.gif

Een toegangslijst verwijderen

Voltooi deze stappen om een toegangslijst te verwijderen:

  1. Voordat u een bestaande toegangslijst verwijdert, moet u de toegangslijsten verwijderen (de toegangsregels). Het is niet mogelijk om de toegangslijst te verwijderen tenzij u eerst alle toegangsregels verwijdert.

    Klik met de rechtermuisknop op de te verwijderen toegangsregel en kies Verwijderen.

    acl-asdm-44.gif

  2. Voltooi de zelfde verrichting van de Schrapping op alle bestaande toegangsregels, en selecteer dan de toegangslijst en kies Schrapping om het te schrappen.

De toegangsregel exporteren

De toegangsregels van ASDM verbinden de toegangslijst met de respectieve interface terwijl ACL Manager alle uitgebreide toegangslijsten bijhoudt. De toegangsregels die met de ACL Manager worden gemaakt, binden niet aan enige interface. Deze toegangslijsten worden over het algemeen gebruikt voor NAT-Vrijgestelde, VPN-Filter en vergelijkbare andere functies waar er geen associatie met de interface is. ACL-beheer bevat alle vermeldingen die u in de sectie Configuratie > Firewall > Toegangsregels hebt. Daarnaast bevat ACL Manager ook de globale toegangsregels die niet aan een interface zijn gekoppeld. ASDM is zodanig georganiseerd dat u gemakkelijk een toegangsregel van elke toegangslijst naar een andere kunt exporteren.

Als u bijvoorbeeld een toegangsregel nodig hebt die al deel uitmaakt van een wereldwijde toegangsregel die moet worden gekoppeld aan een interface, hoeft u dat niet opnieuw te configureren. In plaats daarvan kunt u een Cut & Paste handeling uitvoeren om dit te bereiken.

  1. Klik met de rechtermuisknop op de opgegeven toegangsregel en kies Knippen.

    acl-asdm-45.gif

  2. Selecteer de gewenste toegangslijst waarin u deze toegangsregel moet invoegen. U kunt Plakken op de werkbalk gebruiken om de toegangsregel in te voegen.

De informatie in de toegangslijst exporteren

U kunt de informatie in de toegangslijst naar een ander bestand exporteren. Twee formaten worden ondersteund om deze informatie te exporteren.

  1. Comma Separated Value (CSV)-indeling

  2. HTML-indeling

Klik met de rechtermuisknop op een van de toegangsregels en kies Exporteren om de informatie in de toegangslijst naar een bestand te verzenden.

acl-asdm-46.gif

Hier is de informatie van de toegangslijst die in het formaat van HTML wordt getoond.

acl-asdm-47.gif

Verifiëren

Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

Problemen oplossen

Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
24-Mar-2011
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten