我很快就要处于一种需要更新防火墙的情况。 如何更新思科ASA访问列表? 例如,如果我从下面开始:
access-list outside_in extended ip deny any any access-list outside_in extended tcp deny any any access-list outside_in extended udp deny any any access-list outside_in extended icmp deny any any (有点苛刻,我知道,但忍受着我,出于好奇,有没有更容易的办法来否定一切?)
接着
access-group outside_in in interface DMZ
那么我该如何更新访问列表来打开端口80? 没有重写整个访问列表。 我不能只添加一个规则,因为数据包将被以前的规则拒绝。 所以,我猜我在问什么,如何添加一个规则到访问列表的开始?
谢谢!
在ACL名称后面添加line x将把它插入列表中的那一点。
所以,如果你有:
access-list outside_in extended udp deny any any access-list outside_in extended icmp deny any any
你运行:
access-list outside_in line 2 extended tcp deny any any
你的configuration将最终为:
access-list outside_in extended udp deny any any access-list outside_in extended tcp deny any any access-list outside_in extended icmp deny any any
IP包含udp,tcp和icmp; 阻止IP将阻止所有这些。 所以,在你的configuration上面,只有顶级的规则会被击中。
默认情况下,思科ASA拒绝所有未明确允许的内容。 所以在你的情况下,你可以完美地做一个:
access-list OUTSIDE_IN permit tcp any any eq 80 access-group OUTSIDE_IN interface DMZ
而且默认情况下,其他一切都将被拒绝。 在访问列表的末尾有一个隐含的拒绝IP地址 。
如果你想知道访问列表中的数据包的数量,你只需要显式地拒绝ip。