Firewall
即時更改 ASA 訪問列表
我很快就會遇到需要即時更新防火牆的情況。如何即時更新 cisco ASA 訪問列表?例如,如果我開始:
access-list outside_in extended ip deny any any access-list outside_in extended tcp deny any any access-list outside_in extended udp deny any any access-list outside_in extended icmp deny any any
(有點苛刻,我知道,但請耐心等待。出於好奇,有沒有更簡單的方法來否認一切?)
進而
access-group outside_in in interface DMZ
那麼我以後如何更新訪問列表以打開例如埠 80?沒有重寫整個訪問列表。我不能只添加一條規則,因為以前的規則會拒絕數據包。所以,我想我要問的是,如何將規則添加到訪問列表的開頭?
謝謝!
添加
line x
到 ACL 名稱之後的行會將其插入列表中的該點。所以,如果你有:
access-list outside_in extended udp deny any any access-list outside_in extended icmp deny any any
你跑:
access-list outside_in line 2 extended tcp deny any any
您的配置將最終為:
access-list outside_in extended udp deny any any access-list outside_in extended tcp deny any any access-list outside_in extended icmp deny any any
IP包括udp、tcp、icmp;阻止 IP 將阻止所有這些。所以,在你上面的配置中,只有最上面的規則會被命中。