让我先说我不是交易的networkingpipe理员,而且这个防火墙最初是由一个不再可用的思科顾问设置的。
我们有一个配有Cisco ASA 5505的小型办公室,并配有基于IP的打印机。 打印机可以远程访问供应商打印会计凭证。 由于供应商正在更改ISP,我需要更新供应商的公共IP地址。
如果你看下面的代码片段,我不知道为什么他们没有使用规则的确切地址,而是xxx.xxx.xxx.0,然后在说明中注明了具体的公共IP地址。 是不是应该把xxx.xxx.xxx.250作为开头呢?
当我更新供应商的新公共IP地址时,我是否应该不插入他们来自的特定公共IP地址,而不是允许整个公众/ 24(他们的公有IP来自哪个networking)?
这里是我可以在configuration中find的片段,这些不是真正的IP:
name 192.168.0.106 host-prt-000.106-printing01 name 192.168.0.107 host-prt-000.107-printing02 name XXX.XXX.XXX.0 vendor-srv-PrintingVendor description Specific Print Source: XXX.XXX.XXX.250 object network vendor-srv-PrintingVendor subnet XXX.XXX.XXX.0 255.255.255.0 description AccountingVendor object network host-prt-000.106-printing01 host 192.168.0.106 description accounting HP object network host-prt-000.107-printing02 host 192.168.0.107 description xerox 提前致谢。
大卫
这里没有实际的防火墙规则,这些只是名称 – >configuration中使用的IP地址(范围)映射,以使configuration更容易阅读。
但是,很可能原来的顾问想要为IP地址留出一些灵活性,以防input连接的IP地址发生变化。
如果您确定入站连接始终来自特定的IP地址,则可以将对象IP地址更改为该IP地址,即将subnet行replace为类似于以下对象的host行。
另外,我不会让任何外部IP地址直接连接到内部networking,我会为此设置一个VPN。
您发布的configuration部分不包含NAT规则或ACL(这两者都与允许远程IP打印到networking中的打印机有关)。
object network vendor-srv-PrintingVendor
这是一个networking对象。 在Cisco路由器中,您可以通过名称来定义networking对象,以便您不必记住IP地址。
所以对于对象vendor-srv-PrintingVendor
object network vendor-srv-PrintingVendor subnet XXX.XXX.XXX.0 255.255.255.0 description AccountingVendor
这是定义一个networking对象。 该对象是一个networkingXXX.XXX.XXX.0 255.255.255.0。 名称是vendor-srv-PrintingVendor,这意味着每次需要将其添加到configuration中时,您不必键入XXX.XXX.XXX.0 255.255.255.255.0,只需使用vendor-srv-PrintingVendor即可引用该对象。
您可能想要做的是将对象的名称从vendor-srv-PrintingVendor更改为vendor-srv-PrintingVendor-Network,并创build一个名为vendor-srv-PrintingVendor-PrintSource的新对象。 你会创build这个主机,而不是一个子网,所以你的代码就是这样。
object network vendor-srv-printingVendor-PrintSource host XXX.XXX.XXX.250 description Accounting Vendor Print Source
如果你可以告诉我们这是一个Catalyst,ASA等,型号,如果它是一个ASA的软件版本(不是ASDM版本号,但ASA版本号),这将有助于您可能有关于ACL和NAT规则。
当涉及到创build一个ACL是的,你会想要使用特定的IP地址,而不是整个networking,这是目前的对象给你。