Skip to main content

ASA防火墙访问控制VS思科路由路访问控制

2012-05-13 23:43

 

1、最基本的一点。ASA上的ACL用的不是反向掩码,而是普通的掩码;路由器上的ACL则用反向掩码

e.g. ASA ACL: access-list test permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0

Router ACL: access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

另外,编辑此贴时刚发现的一点,防火墙上的ACL直接支持用字母命名,而路由器上同样的书写格式只能用数字,不能用字母命名,除非换一种书写格式才行。

e.g. ip access-list extended test permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

2、默认的访问控制。路由器上的端口如果没有设置ACL,所有端口都是permit ip any any的,路由的宗旨是使不同网段进行通迅;防火墙上的端口如果未设置ACL,至少部分端口以及部分方向的通迅是被阻止的,防火墙的宗旨是安全,安全就要阻止通迅。

防火墙的端口要启用需要三个条件,一是设置nameif, 二是设置security-level,三是设置ip addr, 当然还要no shut.

int e0/0

nameif intranet

security-level 100

ip addr 192.168.1.100

在端口未关联ACL的情况下,防火墙默认的访问控制规则为:从高安全级别端口发起的到低安全级别端口的访问都允许,从低安全级别端口发起的到高健全级别端口的访问都阻止,相同安全级别的端口之间也不能互访,除非设置了same-security-traffic permit inter-interface

3、防火墙的状态表。防火墙是有状态的包过滤设备,它通过各种状态表(state table)以及访问策略来验证进入其端口的数据包的合法性和正确性。对于已经建立的连接,已经在状态表中有记录,就不需要再使用ACL进行检查了。端口上应用的ACL是用来确定哪些新的连接允许进入状态表,只要进入状态表,ACL就管不着了,路由器不会象防火墙那样,在状态表中记下每个连接的特征(src addr/port dst addr/port .etc.)自动允许由目标地址返回源地址的数据包,路由器是无状态的,必须在每个端口上明确的设置允许所需要的数据流。

4、编辑ACL。防火墙有ASDM图形化界面的配置工具,可以方便的对ACL进行复制,移动,插入,删除,和修改。CLI界面也可以对ACL进行编辑,e.g. 插入ACE,已有存在的ACL

access-list test line 1 extended permit ip 192.168.1.0 255.255.255.0 any

access-list test line 2 extended deny ip 192.168.2.0 255.255.255.0 any

现在要插入一条ACE到line 1 和line 2之间,键入下面命令行

access-list test line 2 extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

原来的line 2就被挤到后面,成了line 3。

access-list test line 1 extended permit ip 192.168.1.0 255.255.255.0 any

access-list test line 2 extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

access-list test line 3 extended deny ip 192.168.2.0 255.255.255.0 any

路由器编辑ACL时建议使用 ip access-list { standard | extended } 的语法,进入ACL编辑模式,

R3(config)#ip access-list extended test

R3(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any /***默认序号 10

R3(config-ext-nacl)#deny ip 192.168.2.0 0.0.0.255 any /***默认序号 20

R3(config-ext-nacl)#15 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 /***插入到10和20之间

R3(config)#do sh access-list

Extended IP access list test
10 permit ip 192.168.1.0 0.0.0.255 any

15 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

20 deny ip 192.168.2.0 0.0.0.255 any

R3(config)#ip access-list resequence test 10 10 /***重新编排序号,从10开始,递增10

R3(config)#do sh access-list

Extended IP access list test

10 permit ip 192.168.1.0 0.0.0.255 any

20 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

30 deny ip 192.168.2.0 0.0.0.255 any

R3(config)#


5、防火墙中有对象组(Object Group)用于简化ACL的配置管理,路由器没有相关概念。Object Group允许把任意多个,可设置同一访问策略的,IP地址,IP协议及端口号组成一组,共享一条ACE,还可以重复使用。大大减少了必须的ACE数量,简化了ACL配置;同时,修改Object Group中的成员后,与之相关联的ACL会自动更新,这样也简化了ACL的维护工作。

e.g.

ciscoasa(config)# object-group network OFFICE-AREA

ciscoasa(config-network)# network-object 192.168.1.0 255.255.255.0

ciscoasa(config-network)# network-object 192.168.10.0 255.255.255.0

ciscoasa(config-network)# network-object 172.20.0.0 255.255.0.0

ciscoasa(config-network)# exit

ciscoasa(config)# object-group service TO-DMZ tcp

ciscoasa(config-service)# port-object eq http

ciscoasa(config-service)# port-object eq smtp

ciscoasa(config-service)# port-object eq https

ciscoasa(config-service)# port-object eq ftp

ciscoasa(config-service)#exit

ciscoasa(config)#access-list INSIDE-IN extended permit tcp object-group OFFICE-AREA gt 1024 172.16.1.0 255.255.255.0 object-group TO-DMZ