ASA 8.X及更高版本：通过ASDM GUI添加或修改访问列表的配置示例

简介

本文档说明如何使用Cisco自适应安全设备管理器(ASDM)使用访问控制列表。这包括创建新的访问列表、如何编辑现有访问列表以及使用访问列表的其他功能。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 思科自适应安全设备(ASA)，版本8.2.X

• 思科自适应安全设备管理器(ASDM)（版本6.3.X）

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档约定的更多信息，请参考 Cisco 技术提示约定。

背景信息

访问列表主要用于控制通过防火墙的流量。您可以使用访问列表允许或拒绝特定类型的流量。每个访问列表包含许多访问列表条目(ACE)，用于控制从特定源到特定目标的流量。通常，此访问列表绑定到接口，以通知其应查找的流的方向。访问列表主要分为两大类。

1. 入站访问列表

2. 出站访问列表

入站访问列表适用于进入该接口的流量，出站访问列表适用于退出该接口的流量。入站/出站表示法是指流量在该接口上的方向，而不是流量在安全性较高的接口与安全性较低的接口之间的移动。

对于TCP和UDP连接，无需访问列表即可允许返回流量，因为安全设备允许已建立的双向连接的所有返回流量。对于无连接协议（例如ICMP），安全设备将建立单向会话，因此，您需要访问列表将访问列表应用于源接口和目标接口，以便在两个方向上都允许ICMP，或者您需要启用ICMP检测引擎。ICMP 检测引擎将 ICMP 会话视为双向连接。

在ASDM版本6.3.X中，您可以配置两种类型的访问列表。

1. 接口访问规则

2. 全局访问规则

注意：访问规则是指单个访问列表条目(ACE)。

接口访问规则在创建时绑定到任何接口。如果不将它们绑定到接口，则无法创建它们。此示例与命令行示例不同。在CLI中，您首先使用access list命令创建访问列表，然后使用access-group命令将此访问列表绑定到接口。在ASDM 6.3及更高版本中，会创建访问列表并将其作为单个任务绑定到接口。这仅适用于流经该特定接口的流量。

全局访问规则未绑定到任何接口。它们可以通过ASDM中的ACL Manager选项卡进行配置并应用于全局入口流量。当根据源、目标和协议类型进行匹配时，就会实施它们。这些规则不会在每个接口上复制，因此可以节省内存空间。

当要实施这两个规则时，接口访问规则的优先级通常高于全局访问规则。

配置

本部分提供有关如何配置本文档所述功能的信息。

网络图

本文档使用以下网络设置：

添加新的访问列表

要使用ASDM创建新的访问列表，请完成以下步骤：

1. 选择Configuration > Firewall > Access Rules，并单击Add Access Rule按钮。

   

2. 选择必须绑定此访问列表的接口，以及要对流量执行的操作，即permit/deny。然后单击Details 按钮以选择源网络。

   

   注：以下是对此窗口中显示的不同字段的简要说明：

   • Interface - 确定此访问列表所绑定到的接口。

   • Action -确定新规则的操作类型。有两个选项可供选择。Permit允许所有匹配的流量，Deny阻止所有匹配的流量。

   • Source - 此字段指定流量的源。这可以是单一IP地址、网络、防火墙的接口IP地址或网络对象组中的任何内容。可使用Details按钮选择这些选项。

   • Destination —此字段指定流量的源。这可以是单一IP地址、网络、防火墙的接口IP地址或网络对象组中的任何内容。可使用Details按钮选择这些选项。

   • Service -此字段确定应用此访问列表的流量的协议或服务。您还可以定义包含一组不同协议的服务组。

3. 单击Details 按钮后，将显示包含现有网络对象的新窗口。选择inside-network，然后单击OK。

   

4. 您将返回到Add Access Rule窗口。在Destination字段中键入any。然后单击OK以完成访问规则的配置。

   

在现有访问规则之前添加访问规则：

完成以下步骤，以在现有访问规则之前添加访问规则：

1. 选择现有访问列表条目，然后从Add下拉菜单中单击Insert

   

2. 选择Source和Destination，然后单击Service字段的Details 按钮以选择协议。

   

3. 在协议中选择HTTP，然后单击OK。

   

4. 您将返回到Insert Access Rule窗口。Service字段已填写tcp/http作为所选协议。单击OK以完成新访问列表条目的配置。

   

现在，您可以观察内部网络现有条目之前显示的新访问规则。

注意：访问规则的顺序非常重要。在处理要过滤的每个数据包时，ASA会按顺序检查数据包是否与任何访问规则条件匹配，如果匹配，则会实施该访问规则的操作。当访问规则匹配时，它不会继续访问规则并再次进行验证。

在现有规则后添加访问规则：

完成以下步骤，以便在现有访问规则之后立即创建访问规则。

1. 选择需要在其后具有新访问规则的访问规则，并从Add下拉菜单中选择Insert After。

   

2. 指定Interface、Action、Source、Destination和Service字段，并单击OK以完成此访问规则的配置。

   

您可以查看，新配置的访问规则紧跟在已配置的访问规则之后。

创建标准访问列表

完成以下步骤以使用ASDM GUI创建标准访问列表。

1. 选择Configuration > Firewall > Advanced > Standard ACL > Add，然后单击Add ACL。

   

2. 给出标准访问列表所允许范围内的数字，然后单击OK。

   

3. 右键单击访问列表，并选择Add ACE以便向此访问列表添加访问规则。

   

4. 选择操作，并指定源地址。如果需要，请同时指定Description。单击OK以完成访问规则的配置。

   

创建全局访问规则

完成以下步骤以创建包含全局访问规则的扩展访问列表。

1. 选择Configuration > Firewall > Advanced > ACL Manager > Add，然后单击Add ACL按钮。

   

2. 指定访问列表的名称，然后单击OK。

   

3. 右键单击访问列表，并选择Add ACE以便向此访问列表添加访问规则。

   

4. 完成Action、Source、Destination和Service字段，然后单击OK以完成全局访问规则的配置。

   

现在可以查看全局访问规则，如下所示。

编辑现有访问列表

本节讨论如何编辑现有访问。

编辑Protocol字段以创建服务组：

完成以下步骤以创建新的服务组。

1. 右键单击需要修改的访问规则，并选择Edit以修改该特定访问规则。

   

2. 单击Details 按钮以修改与此访问规则关联的协议。

   

3. 如果需要，可以选择HTTP以外的任何协议。如果只选择一个协议，则无需创建服务组。当需要标识此访问规则要匹配的多个非邻接协议时，创建服务组非常有用。

   选择Add > TCP service group以创建新的TCP服务组。

   注意：同样地，您也可以创建新的UDP服务组或ICMP组等。

   

4. 为该服务组指定名称，在左侧菜单中选择协议，然后单击Add以将其移动到右侧的“Members in Group”菜单中。可以根据需要将多个协议添加为服务组的成员。协议会逐一添加。添加所有成员后，单击确定。

   

5. 可以在TCP服务组选项卡下查看新创建的服务组。单击OK 按钮返回到Edit Access Rule窗口。

   

6. 您可以看到Service字段填充了新创建的服务组。单击OK以完成编辑。

   

7. 将鼠标悬停在该特定服务组上可查看所有相关协议。

   

编辑Source/Destination字段以创建网络对象组：

对象组用于简化访问列表的创建和维护。将相似对象组合在一起时，可以在单个ACE中使用对象组，而不必为每个对象单独输入ACE。在创建对象组之前，需要创建对象。在ASDM术语中，对象称为网络对象，对象组称为网络对象组。

请完成以下步骤：

1. 选择Configuration > Firewall > Objects > Network Objects/Groups > Add，然后单击Network Object，以便创建新的网络对象。

   

2. 填写Name、IP Address和Netmask字段，然后单击OK。

   

3. 新创建的网络对象可在对象列表中看到。Click OK.

   

4. 选择Configuration > Firewall > Objects > Network Objects/Groups > Add，然后单击Network Object Group，以便创建新的网络对象组。

   

5. 所有网络对象的可用列表可在窗口的左窗格中找到。选择单个网络对象，然后单击Add按钮以使它们成为新创建的网络对象组的成员。必须在为其分配的字段中指定组名。

   

6. 将所有成员添加到组中后，单击OK。

   

   现在可以查看网络对象组。

   

7. 要修改具有网络组对象的现有访问列表的任何源/目标字段，请右键单击特定访问规则，然后选择Edit。

   

8. 系统将显示Edit Access Rule窗口。单击Source字段的Details按钮以对其进行修改。

   

9. 选择All-Internal-Hosts网络对象组，然后单击OK按钮。

   

10. Click OK.

    

11. 将鼠标悬停在访问规则的Source字段上可查看组成员。

    

编辑源端口：

要修改访问规则的源端口，请完成以下步骤。

1. 要修改现有访问规则的源端口，请右键单击它并选择Edit。

   系统将显示Edit Access Rule窗口。

   

2. 单击More Options下拉按钮以修改Source Service字段，然后单击OK。

   可以查看修改的访问规则，如下所示。

   

删除访问列表

要删除访问列表，请完成以下步骤：

1. 在删除现有访问列表之前，需要删除访问列表条目（访问规则）。除非您首先删除所有访问规则，否则无法删除访问列表。

   右键单击要删除的访问规则，然后选择删除。

   

2. 对所有现有访问规则完成相同的Delete操作，然后选择访问列表并选择Delete以将其删除。

导出访问规则

ASDM访问规则将访问列表与各自的接口绑定，而ACL Manager将跟踪所有扩展访问列表。使用ACL Manager创建的访问规则不会绑定到任何接口。这些访问列表通常用于NAT-Exempt、VPN-Filter以及没有与接口关联的类似其他功能。ACL Manager包含Configuration > Firewall > Access Rules部分中的所有条目。此外，ACL Manager还包含未与任何接口关联的全局访问规则。ASDM的组织方式可以让您轻松地将访问规则从任何访问列表导出到其他访问列表。

例如，如果需要将已作为全局访问规则一部分的访问规则与接口相关联，则无需重新配置该规则。您可以执行剪切并粘贴操作来实现此目的。

1. 右键单击指定的访问规则，然后选择Cut。

   

2. 选择需要将此访问规则插入其中的所需访问列表。可在工具栏中使用粘贴插入访问规则。

导出访问列表信息

您可以将访问列表信息导出到其他文件。支持两种格式导出此信息。

1. 逗号分隔值(CSV)格式

2. HTML格式

右键单击任意访问规则，并选择Export以将访问列表信息发送到文件。

以下是以HTML格式显示的访问列表信息。

验证

当前没有可用于此配置的验证过程。

故障排除

目前没有针对此配置的故障排除信息。

相关信息

• ASDM配置示例和技术说明
• ASA配置示例和技术说明
• 技术支持和文档 - Cisco Systems