Manualshelf

Leaflet

ManualsBrandsCisco Manualshardware firewallsCisco ASA 5510 Adaptive Security Appliance
71727374757677787980
1-67
思科 ASA 系列命令参考,A H 命令
1 aaa accounting command accounting-server-group 命令
access-list extended
使用指南 ACL 由一个或多个具有相同 ACL ID ACE 组成。将 ACL 用于控制网络访问或指定供许多功能
操作的流量。除非在 ACE 中指定行号,否则将您为给定 ACL 名称输入的每个 ACE 附加到 ACL
的末尾。要删除整个 ACL,请使用 clear configure access-list 命令。
ACE 的顺序
ACE 的顺序非常重要。当 ASA 决定是转发还是丢弃数据包时,ASA 按条目的列出顺序使用每个
ACE 测试数据包。找到匹配项后,不再检查更多 ACE。例如,如果您在 ACL 的开头创建一个明
确允许所有流量的 ACE,则不进一步检查其他语句。
使用实际 IP 地址的功能
以下命令和功能在 ACL 中使用实际 IP 地址:
access-group 命令
模块化策略框架 match access-list 命令
僵尸网络流量过滤器 dynamic-filter enable classify-list 命令
AAA aaa ... match 命令
WCCP wccp redirect-list group-list 命令
使用映射的 IP 地址的功能
以下功能使用 ACL,但是这些 ACL 使用接口上可见的映射的值:
IPsec ACL
capture 命令 ACL
每用户 ACL
路由协议 ACL
所有其他功能 ACL
不支持身份防火墙、FQDN TrustSec ACL 的功能
以下功能使用 ACL,但无法接受带有身份防火墙(指定用户或组名称)、FQDN(完全限定域名)
TrustSec 值的 ACL
route-map 命令
VPN crypto map 命令
VPN group-policy 命令,vpn-filter 除外
WCCP
DAP
示例 以下 ACL 允许所有主机(在应用 ACL 的接口上)通过 ASA
ciscoasa(config)# access-list ACL_IN extended permit ip any any
以下示例 ACL 阻止 192.168.1.0/24 上的主机访问 209.165.201.0/27 网络。允许所有其他地址。
ciscoasa(config)# access-list ACL_IN extended deny tcp 192.168.1.0 255.255.255.0
209.165.201.0 255.255.255.224
ciscoasa(config)# access-list ACL_IN extended permit ip any any