ASA8.X和以后通过ASDMGUI配置示例添加或修改一访问列表-Cisco.PDFVIP

ASA 8.X和以后：通过ASDM GUI配置示例添加或 修改一访问列表 目录 简介 先决条件 要求 使用的组件 规则 背景信息 配置 网络图 添加新的访问列表 建立标准访问列表 创建全球访问规则 编辑现有的访问列表 删除访问列表 导出访问规则 导出访问列表信息 验证 故障排除 相关信息 简介 本文解释如何使用Cisco Adaptive Security Device Manager (ASDM)为了与访问控制列表一起使用 。这包括一新的访问列表的创建，如何编辑一个现有的访问列表和其他功能与访问列表。 先决条件 要求 本文档没有任何特定的要求。 使用的组件 本文档中的信息基于以下软件和硬件版本： Cisco可适应安全工具(ASA)有版本8.2.X的 Cisco Adaptive Security Device Manager (ASDM)有版本6.3.X的 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景信息 访问列表主要用于控制流量流经防火墙。您能允许或否决与访问列表的特定流量类型。每访问列表 包含一定数量的访问列表条目(ACE)该控制从一特定来源的通信流到一个特定目的地。通常，此访 问列表一定对接口通知应该查找流的方向。访问列表主要分类到两个清楚的类型。 1. 进入访问控制列表 2. 出局访问列表 进入访问控制列表适用于进入该接口的流量，并且出局访问列表适用于退出接口的流量。呼入/呼出 的符号是指流量方向根据该接口，但是不对流量的移动更加高和较低安全性接口之间的。 对于TCP和UDP连接，因为安全工具允许所有返回的流量已建立双向连接，您不需要访问列表允许 返回流量。对于无连接协议例如ICMP，安全工具建立单向的会话，因此您或者需要访问列表运用访 问列表到源和目的接口为了允许在两个方向的ICMP，或者您需要启用ICMP检测引擎。ICMP 检测 引擎将 ICMP 会话视为双向连接。 从ASDM版本6.3.X，有您能配置访问列表的两种类型。 1. 接口访问规则 2. 全球访问规则 注意： 访问规则是指单个访问列表项(ACE)。 接口访问规则一定对所有接口在他们的创建时。没有约束他们对接口，您不能创建他们。这与 Line命令示例有所不同。使用CLI，您首先建立访问列表用访问列表命令 ，然后绑定此访问列表对一 个接口用access-group命令。ASDM 6.3及以后，访问列表创建并且一定对接口作为单个任务。这适 用于流经仅该特定接口的流量。 全球访问规则没有一定对任何接口。他们可以通过在ASDM的ACL Manager选项卡配置和应用对全 局入口流量。当有根据来源、目的地和协议类型时的匹配他们实现。这些规则在每个接口没有复制 ，因此他们节省存储器空间。 当这两个规则将实现时，接口访问规则通常比全球访问规则优先。 配置 本部分提供有关如何配置本文档所述功能的信息。 网络图 本文档使用以下网络设置： 添加新的访问列表 完成这些步骤为了建立与ASDM的一新的访问列表： 1. 选择Configuration防火墙Access规则 ，并且点击添加访问规则按钮。 2. 与操作执行一起即选择此访问列表必须跳起的接口，在流量， permit/拒绝。然后请单击 Detailsbutton为了选择源网络。 注意 ： 这是在此窗口显示不同的字段的简要说明：接口—确定此访问列表一定的接口。操作—确 定新规则的操作类型。两个选项是可用的。允许允许所有流量相匹配并且否决块所有流量相匹 配。来源—此字段指定流量的来源。这可以是任何在单个IP地址、网络、防火墙的接口IP地址 或网络对象组中。这些可以选择与详细信息按钮。 目的地—此字段指定流量的来源。这可以是 任何在单个IP地址、网络、防火墙的接口IP地址或网络对象组中。这些可以选择与详细信息按 钮。服务—此字段确定此访问列表应用流量的协议或服务。您能也定义包含一套不同的协议的 服务组。 3. 在您点击详细信息按钮后 ，包含现有的网络对象的新窗口显示。选择网络内部 ，并且点击 OK键。 4. 您返回对添加访问规则窗口。输入