即時更改 ASA 訪問列表

我很快就會遇到需要即時更新防火牆的情況。如何即時更新 cisco ASA 訪問列表？例如，如果我開始：

access-list outside_in extended ip deny any any
access-list outside_in extended tcp deny any any
access-list outside_in extended udp deny any any
access-list outside_in extended icmp deny any any

（有點苛刻，我知道，但請耐心等待。出於好奇，有沒有更簡單的方法來否認一切？）

進而

access-group outside_in in interface DMZ

那麼我以後如何更新訪問列表以打開例如埠 80？沒有重寫整個訪問列表。我不能只添加一條規則，因為以前的規則會拒絕數據包。所以，我想我要問的是，如何將規則添加到訪問列表的開頭？

謝謝！

添加line x到 ACL 名稱之後的行會將其插入列表中的該點。

所以，如果你有：

access-list outside_in extended udp deny any any
access-list outside_in extended icmp deny any any

你跑：

access-list outside_in line 2 extended tcp deny any any

您的配置將最終為：

access-list outside_in extended udp deny any any
access-list outside_in extended tcp deny any any
access-list outside_in extended icmp deny any any

---

IP包括udp、tcp、icmp；阻止 IP 將阻止所有這些。所以，在你上面的配置中，只有最上面的規則會被命中。

引用自：https://serverfault.com/questions/244981