Leaflet

ManualsBrandsCisco Manualshardware firewallsCisco ASA 5510 Adaptive Security Appliance

1-56

思科 ASA 系列命令参考，A 至 H 命令

第 1 章 aaa accounting command 至 accounting-server-group 命令

access-group

以上访问组配置在分类表中添加以下规则（从 show asp table classify 命令中输出）：

in id=0xb1f90068, priority=13, domain=permit, deny=false

hits=0, user_data=0xaece1ac0, cs_id=0x0, flags=0x0, protocol=0

src ip=10.1.2.2, mask=255.255.255.255, port=0

dst ip=10.2.2.2, mask=255.255.255.255, port=0, dscp=0x0

input_ifc=outside, output_ifc=any

in id=0xb1f2a250, priority=12, domain=permit, deny=true

hits=0, user_data=0xaece1b40, cs_id=0x0, flags=0x0, protocol=0

src ip=0.0.0.0, mask=0.0.0.0, port=0

dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0

input_ifc=any, output_ifc=any

in id=0xb1f90100, priority=11, domain=permit, deny=true

hits=0, user_data=0x5, cs_id=0x0, flags=0x0, protocol=0

src ip=0.0.0.0, mask=0.0.0.0, port=0

dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0

input_ifc=outside, output_ifc=any

in id=0xb1f2a3f8, priority=11, domain=permit, deny=true

hits=0, user_data=0x5, cs_id=0x0, flags=0x0, protocol=0

src ip=0.0.0.0, mask=0.0.0.0, port=0

dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0

input_ifc=any, output_ifc=any

以上规则将流量从 10.1.2.2 传递到输出接口上的 10.2.2.2，并因全局拒绝规则丢弃从 10.1.1.10 到

输出接口上的 10.2.2.20 的流量。

以下示例允许从任何地方对 DMZ 中的 HTTP 服务器的全局访问（使用 IP 地址 10.2.2.2）：

ciscoasa(config)# access-list global_acl permit tcp any host 10.2.2.2 eq 80

ciscoasa(config)# access-group global_acl global

以上规则允许从外部主机 10.1.2.2 到主机 10.2.2.2 的 HTTP 连接，且它允许从内部主机

192.168.0.0 到主机 10.2.2.2 的 HTTP 连接。

以下示例展示如何结合使用全局策略和接口策略。该示例允许从任何内部主机访问服务器（使用

IP 地址 10.2.2.2），但是它拒绝从任何其他主机访问该服务器。接口策略优先。

ciscoasa(config)# access-list inside_acl permit tcp any host 10.2.2.2 eq 23

ciscoasa(config)# access-list global_acl deny ip any host 10.2.2.2

ciscoasa(config)# access-group inside_acl in interface inside

ciscoasa(config)# access-group global_acl global

以上规则拒绝从外部主机 10.1.2.2 到主机 10.2.2.2 的 SSH 连接，它允许从内部主机 192.168.0.0 到

主机 10.2.2.2 的 SSH 连接。

以下示例展示 NAT 和全局访问控制策略如何配合使用。该示例允许一个从外部主机 10.1.2.2 到主

机 10.2.2.2 的 HTTP 连接，也允许另一个从内部主机 192.168.0.0 到主机 10.2.2.2 的 HTTP 连接，

但拒绝（根据隐式规则）一个从外部主机 10.255.255.255 到主机 172.31.255.255 的 HTTP 连接。

ciscoasa(config)# object network dmz-server host 10.1.1.2

ciscoasa(config)# nat (any, any) static 10.2.2.2

ciscoasa(config)# access-list global_acl permit tcp any host 10.2.2.2 eq 80

ciscoasa(config)# access-group global_acl global

以下示例展示 NAT 和全局访问控制策略如何配合使用。该示例允许一个从主机 10.1.1.1 到主机

192.168.0.0 的 HTTP 连接，也允许另一个从主机 209.165.200.225 到主机 172.16.0.0 的 HTTP 连

接，但拒绝一个从主机 10.1.1.1 到主机 172.16.0.0 的 HTTP 连接。

ciscoasa(config)# object network 10.1.1.1 host 10.1.1.1

ciscoasa(config)# object network 172.16.0.0 host 172.16.0.0

ciscoasa(config)# object network 192.168.0.0 host 192.168.0.0

ciscoasa(config)# nat (inside, any) source static 10.1.1.1 10.1.1.1 destination static

192.168.0.0 172.16.0.0