ASA 8.X及更高版本：透過ASDM GUI增加或修改訪問清單配置示例

簡介

本文檔說明如何使用Cisco Adaptive Security Device Manager (ASDM)使用訪問控制清單。這包括建立新訪問清單、如何編輯現有訪問清單以及使用訪問清單的其他功能。

必要條件

需求

本文件沒有特定需求。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 思科自適應安全裝置(ASA)，版本8.2.X

• Cisco Adaptive Security Device Manager (ASDM)，6.3.X版

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

背景資訊

訪問清單主要用於控制透過防火牆的流量。您可以使用訪問清單允許或拒絕特定型別的流量。每個訪問清單都包含許多訪問清單條目(ACE)，這些條目控制從特定源到特定目的地的流量。通常，此訪問清單繫結到一個介面，用於通知它應查詢的流的方向。訪問清單主要分為兩大類。

1. 入站訪問清單

2. 出站訪問清單

入站訪問清單適用於進入該介面的流量，出站訪問清單適用於退出該介面的流量。入站/出站標籤法是指流量在該介面上的方向，但不指流量在較高安全性介面與較低安全性介面之間的移動。

對於TCP和UDP連線，您不需要訪問清單來允許返回流量，因為安全裝置允許已建立的雙向連線的所有返回流量。對於無連線協定（例如ICMP），安全裝置會建立單向會話，因此，您需要訪問清單來將訪問清單應用於源介面和目標介面，以便雙向允許ICMP，或者您需要啟用ICMP檢測引擎。ICMP檢測引擎將ICMP會話視為雙向連線。

從ASDM版本6.3.X中，您可以配置兩種型別的訪問清單。

1. 介面訪問規則

2. 全局訪問規則

注意：訪問規則是指單個訪問清單條目(ACE)。

介面訪問規則在建立時繫結到任何介面。如果不將它們繫結到介面，則無法建立它們。這與「命令列」範例不同。在CLI中，您首先使用access list命令建立訪問清單，然後使用access-group命令將此訪問清單繫結到介面。在ASDM 6.3及更高版本中，會建立訪問清單並將其作為單個任務繫結到介面。這僅適用於流經該特定介面的流量。

全局訪問規則未繫結到任何介面。它們可以透過ASDM中的ACL Manager頁籤進行配置並應用於全局入口流量。當存在基於源、目標和協定型別的匹配時，就會實施它們。這些規則不會在每個介面上複製，因此可以節省記憶體空間。

當這兩個規則都要實施時，介面訪問規則的優先順序通常高於全局訪問規則。

設定

本節提供用於設定本文件中所述功能的資訊。

網路圖表

此文件使用以下網路設定：

新增存取清單

完成以下步驟，以便使用ASDM建立新的訪問清單：

1. 選擇Configuration > Firewall > Access Rules，然後按一下Add Access Rule按鈕。

   

2. 選擇此訪問清單必須繫結到的介面，以及要對流量執行的操作，即permit/deny。然後按一下Details 按鈕以選擇源網路。

   

   附註：以下簡要說明此視窗中顯示的不同欄位：

   • Interface -確定此訪問清單所繫結到的介面。

   • 操作- 確定新規則的操作型別。有兩個可用選項。Permit允許所有匹配流量，Deny阻止所有匹配流量。

   • Source —此欄位指定流量的源。這可以是單個IP地址、網路、防火牆的介面IP地址或網路對象組中的任何一個。可使用Details 按鈕選擇這些屬性。

   • Destination —此欄位指定流量的源。這可以是單個IP地址、網路、防火牆的介面IP地址或網路對象組中的任何一個。可使用Details 按鈕選擇這些屬性。

   • Service -此欄位用於確定此訪問清單所應用的資料流的協定或服務。還可以定義包含一組不同協定的服務組。

3. 按一下Details 按鈕後，將顯示包含現有網路對象的新窗口。選擇inside-network，然後按一下OK。

   

4. 您將返回到Add Access Rule窗口。在「目標」欄位中鍵入any。然後按一下確定以完成訪問規則的配置。

   

在現有存取規則之前新增存取規則：

完成以下步驟，在現有的存取規則之前新增存取規則：

1. 選擇現有訪問清單條目，然後從Add下拉選單中按一下Insert

   

2. 選擇Source和Destination，然後按一下Service欄位的Details按鈕以選擇協定。

   

3. 選擇HTTP協定，然後按一下OK。

   

4. 您將返回到「插入訪問規則」窗口。Service欄位將填寫tcp/http作為所選協定。按一下OK以完成新訪問清單條目的配置。

   

現在，您可以觀察顯示在內部網路現有條目之前的新訪問規則。

注意：訪問規則的順序非常重要。在處理要過濾的每個資料包時，ASA會檢查資料包是否按順序匹配任何訪問規則條件，如果匹配，則實施該訪問規則的操作。匹配訪問規則後，它不再繼續訪問規則並再次驗證它們。

在現有存取規則後新增存取規則：

完成以下步驟，在現有的存取規則之後立即建立存取規則。

1. 選擇需要在其後具有新訪問規則的訪問規則，並從Add下拉選單中選擇Insert After。

   

2. 指定Interface、Action、Source、Destination和Service欄位，並按一下OK以完成此訪問規則的配置。

   

您可以看到新配置的訪問規則緊跟已配置的訪問規則之後。

建立標準存取清單

完成以下步驟，以便使用ASDM GUI建立標準訪問清單。

1. 選擇Configuration > Firewall > Advanced > Standard ACL > Add，然後按一下Add ACL。

   

2. 給出標準訪問清單所允許範圍內的數字，然後按一下OK。

   

3. 按一下右鍵訪問清單，並選擇Add ACE 以便向此訪問清單增加訪問規則。

   

4. 選擇Action，並指定Source address。如果需要，請同時指定Description。按一下OK以完成訪問規則的配置。

   

建立全域存取規則

完成以下步驟以建立包含全局訪問規則的擴展訪問清單。

1. 選擇Configuration > Firewall > Advanced > ACL Manager > Add，然後按一下Add ACL按鈕。

   

2. 指定訪問清單的名稱，然後按一下OK。

   

3. 按一下右鍵訪問清單，並選擇Add ACE 以便向此訪問清單增加訪問規則。

   

4. 完成Action、Source、Destination和Service欄位，然後按一下OK以完成全局訪問規則的配置。

   

您現在可以檢視全域存取規則，如下所示。

編輯現有存取清單

本節討論如何編輯現有存取。

編輯[Protocol]欄位以建立服務群組：

完成以下步驟以建立新的服務組。

1. 按一下右鍵需要修改的訪問規則，然後選擇Edit以修改該特定訪問規則。

   

2. 按一下Details 按鈕以修改與此訪問規則關聯的協定。

   

3. 如果需要，可以選擇HTTP以外的任何協定。如果只選取單一通訊協定，就不需要建立服務群組。當需要標識要與此訪問規則匹配的多個非鄰接協定時，建立服務組非常有用。

   選擇Add > TCP service group以建立新的TCP服務組。

   注意：同樣地，您也可以建立新的UDP服務組或ICMP組等。

   

4. 指定此服務組的名稱，在左側選單上選擇協定，然後按一下Add以將其移動到右側的Members in Group選單中。根據要求，可以增加多個協定作為服務組的成員。協定會逐一增加。增加所有成員後，按一下OK。

   

5. 新建立的服務組可以在TCP服務組頁籤下檢視。按一下OK按鈕以返回到Edit Access Rule窗口。

   

6. 您可以看到「服務」欄位填充了新建立的服務組。按一下OK以完成編輯。

   

7. 將滑鼠懸停在該特定服務組上，以檢視所有相關協定。

   

編輯Source/Destination欄位以建立Network物件群組：

物件群組可用來簡化存取清單的建立與維護。當您將相似對象分組在一起時，您可以在單個ACE中使用對象組，而不必分別為每個對象輸入ACE。建立物件群組之前，您必須先建立物件。在ASDM術語中，對象稱為網路對象，對象組稱為網路對象組。

請完成以下步驟：

1. 選擇Configuration > Firewall > Objects > Network Objects/Groups > Add，然後按一下Network Object，以便建立新網路對象。

   

2. 填寫Name、IP Address和Netmask欄位，然後按一下OK。

   

3. 新建的網路對象可在對象清單中看到。按一下「OK」（確定）。

   

4. 選擇Configuration > Firewall > Objects > Network Objects/Groups > Add，然後按一下Network Object Group，以便建立新的網路對象組。

   

5. 所有網路物件的可用清單可在視窗的左窗格中找到。選擇單個網路對象，然後按一下Add按鈕，以使它們成為新建立的網路對象組的成員。必須在為其分配的欄位中指定組名。

   

6. 將所有成員增加到組後，按一下OK。

   

   您現在可以檢視網路物件群組。

   

7. 要修改包含網路組對象的現有訪問清單的任何源/目標欄位，請按一下右鍵特定訪問規則，然後選擇Edit。

   

8. 系統將顯示Edit Access Rule窗口。按一下Source欄位的Details按鈕以對其進行修改。

   

9. 選擇All-Internal-Hosts網路對象組，然後按一下OK按鈕。

   

10. 按一下「OK」（確定）。

    

11. 將滑鼠懸停在訪問規則的「源」欄位上可檢視組成員。

    

編輯源埠：

完成以下步驟以修改訪問規則的源埠。

1. 要修改現有訪問規則的源埠，請按一下右鍵該訪問規則，然後選擇Edit。

   系統將顯示Edit Access Rule窗口。

   

2. 按一下More Options下拉按鈕以修改Source Service欄位，然後按一下OK。

   您可以檢視修改後的存取規則，如下所示。

   

刪除存取清單

若要刪除存取清單，請完成以下步驟：

1. 刪除現有存取清單之前，需要刪除存取清單專案（存取規則）。除非您先刪除所有存取規則，否則無法刪除存取清單。

   按一下右鍵要刪除的訪問規則，然後選擇Delete。

   

2. 對所有現有訪問規則完成相同的刪除操作，然後選擇訪問清單並選擇刪除以將其刪除。

匯出存取規則

ASDM訪問規則將訪問清單與相應的介面繫結，而ACL Manager將跟蹤所有擴展訪問清單。使用ACL Manager建立的訪問規則不會繫結到任何介面。這些訪問清單通常用於NAT-Exempt、VPN-Filter以及沒有與介面關聯的類似其他功能。ACL Manager包含Configuration > Firewall > Access Rules部分中的所有條目。此外，ACL Manager還包含未與任何介面關聯的全局訪問規則。ASDM的組織方式可以讓您輕鬆地將存取規則從任何存取清單匯出到另一個存取清單。

例如，如果需要將已是全局訪問規則一部分的訪問規則與介面關聯，則無需再次配置該規則。您可以改為執行「剪下並貼上」操作來實現此目的。

1. 按一下右鍵指定的訪問規則，然後選擇Cut。

   

2. 選取需要將此存取規則插入其中的必要存取清單。您可以使用工具欄中的貼上來插入訪問規則。

匯出存取清單資訊

您可以將存取清單資訊匯出至其他檔案。支援兩種格式來匯出此資訊。

1. 逗號分隔值(CSV)格式

2. HTML格式

按一下右鍵任何訪問規則，並選擇導出以將訪問清單資訊傳送到檔案。

以下是以HTML格式顯示的訪問清單資訊。

驗證

目前沒有適用於此組態的驗證程序。

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

相關資訊

• ASDM配置示例和技術說明
• ASA配置示例和技術說明
• 技術支援與文件 - Cisco Systems