访问控制列表(ACL)是防火墙配置中最常用的技术之一,下面以Cisco ASA5500为例介绍一下在不同的应用环境中访问控制列表的具体配置。
 
1)发布服务器
要将内部服务器发布要公网上,只要配置一个静态NAT和与之对应的ACL就可以,下面是将内部地址192.168.0.100服务器的WWW发布的具体配置,公网地址200.200.200.200。
static (inside,outside) 200.200.200.200 192.168.0.100
access-list OUTSIDE_IN extended permit tcp any host 200.200.200.200 eq www
access-group OUTSIDE_IN in interface outside
 
2)基于时间的ACL
ASA5500支持基于时间的ACL,下面的例子将周一到周五工作时间的www流量限制为1Mb/s。
time-range working_time
periodic weekdays 9:00 to 17:00
access-list HTTP extended permit tcp any eq 80 any time-rang working_time
class-map HTTP
 match port tcp eq www
policy-map HTTP
 class HTTP
  police output 1000000 1000
service-policy HTTP interface inside
 
3)Lan-to-Lan ××× ACL
基于端口的ACL对于×××流量是不起作用的,因此需要使用***-filter命令来对Lan-to-Lan和Remote Access×××流量进行过滤和控制。下面的例子只允许本地10.10.10.0/24网段的PC访问×××对段192.168.0.100服务器的FTP服务,在这里需要注意ACL中的源地址是指×××对段的地址。
access-list Filter extended permit tcp host 192.168.0.100 eq ftp 10.10.10.0 255.255.255.0
group-policy ×××_1 internal
group-policy ×××_1 attributes
***-filter value Filter
tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x general-attributes
default-group-policy ×××_1
 
4)Remote Access ××× ACL
下面的例子只允许远程接入×××的客户端访问内部地址为10.10.10.100的服务器。
access-list RA××× extended permit ip any host 10.10.10.100
group-policy ×××_2 internal
group-policy ×××_2 attributes
 ***-filter value RA×××
***-tunnel-protocol IPSec
tunnel-group ×××_2 general-attributes
 default-group-policy ×××_2