Firewall

即時更改 ASA 訪問列表

  • March 9, 2011

我很快就會遇到需要即時更新防火牆的情況。如何即時更新 cisco ASA 訪問列表?例如,如果我開始:

access-list outside_in extended ip deny any any
access-list outside_in extended tcp deny any any
access-list outside_in extended udp deny any any
access-list outside_in extended icmp deny any any

(有點苛刻,我知道,但請耐心等待。出於好奇,有沒有更簡單的方法來否認一切?)

進而

access-group outside_in in interface DMZ

那麼我以後如何更新訪問列表以打開例如埠 80?沒有重寫整個訪問列表。我不能只添加一條規則,因為以前的規則會拒絕數據包。所以,我想我要問的是,如何將規則添加到訪問列表的開頭?

謝謝!

添加line x到 ACL 名稱之後的行會將其插入列表中的該點。

所以,如果你有:

access-list outside_in extended udp deny any any
access-list outside_in extended icmp deny any any

你跑:

access-list outside_in line 2 extended tcp deny any any

您的配置將最終為:

access-list outside_in extended udp deny any any
access-list outside_in extended tcp deny any any
access-list outside_in extended icmp deny any any

IP包括udp、tcp、icmp;阻止 IP 將阻止所有這些。所以,在你上面的配置中,只有最上面的規則會被命中。

引用自:https://serverfault.com/questions/244981