Cisco ASA防火墙对到达自身的流量是怎么处理?

在Cisco ASA防火墙中,控制平面ACL(Access Control List)用于管理到达防火墙自身的流量,例如管理接口的访问控制。以下是通过CLI配置控制平面ACL的步骤

  1. 登录到ASA设备
    通过CLI登录到ASA设备,并进入配置模式:
asa# configure terminal
  1. 创建扩展ACL
    创建一个扩展ACL,定义需要允许或拒绝的流量。例如,创建一个名为“ACL-UNWANTED-COUNTRY”的ACL,拒绝来自特定子网(如192.168.1.0/24)的流量:
asa(config)# access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
  1. 应用控制平面ACL
    将创建的ACL应用到特定接口的控制平面。例如,将ACL应用到外部接口(假设接口名为“outside”):
    bash复制
asa(config)# access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
  1. 清除现有连接(可选)
    如果需要清除与ASA的现有连接,可以使用以下命令。例如,清除来自特定IP地址的连接:
    bash复制
asa# clear conn address 192.168.1.10 all

或者清除整个子网的连接:
bash复制

asa# clear conn address 192.168.1.0 netmask 255.255.255.0 all
  1. 验证配置
    验证控制平面ACL是否已正确应用:
    bash复制
asa# show running-config access-list ACL-UNWANTED-COUNTRY
asa# show running-config access-group

注意事项

控制平面ACL只影响到达防火墙自身的流量,而不影响通过防火墙的流量。
配置控制平面ACL时,建议仅针对接收传入流量的接口(如外部接口)进行配置

其他问题
Q1
思科ASA上的acl,在同1个接口的同1个方向不是只能调用1个吗? 那这个control-plane是否覆盖掉数据平面的ACL?
答复:不会,因为是2个属于不同平面的,并不冲突。

Q2
控制平面的ACL调用方向有说法吗? in和out方向都可以调用?
答复:不能在out方向调用,只能在in方向

asa(config)# access-group ACL-UNWANTED-COUNTRY out interface outside control-plane

这样加out是根本加不上的, 报错:

asa(config)# access-group ACL-UNWANTED-COUNTRY out interface outside control-plane
                                                                                             ^
ERROR: % Invalid input detected at '^' marker.
posted @ 2025-02-08 09:49  朱军杰  阅读(60)  评论(0)    收藏  举报  来源