分享是一种生活态度,求知,求真,分享工作,分享生活!

ASA防火墙白名单配置

Cisco iqianyue 2566次浏览 0个评论 扫描二维码

网络安全策略基本可分为两种:“白名单”策略和“黑名单”策略。黑名单策略会拒绝那些明确会给网络资源带来最大风险的流量。

相反,白名单策略提供更保守的安全做法,它会拦截除支持应用所需流量(以足够精细的级别)以外的所有流量。其他流量将被拦截,无需对其进行监控即可确保没有非法活动发生;这可以减少将转发给IDSIPS的数据量,并能最大限度减少在发生入侵事件或数据丢失时必须浏览的日志条目的数量。

白名单可以通过策略规则集的最后一条规则来识别:白名单策略的最后一条规则总是拒绝未被先前规则拒绝或允许的任意流量。Cisco ASA防火墙在访问列表的结尾处暗中添加了一条拒绝所有规则。黑名单策略在隐含的拒绝所有规则之前,包括一条明确的规则,可允许任何未被明确许可或拒绝的流量通过。

部署白名单安全策略

实例1控制访问权限,确保只能访问特定的主机服务器

object network BladeWeb1Secure

host 10.8.54.100

object network BladeWeb2Secure

host 10.8.55.100

!

object-group network Application-Servers

description HTTP, HTTPS, DNS, MSExchange

network-object object BladeWeb1Secure

network-object object BladeWeb2Secure

!

object-group service MS-App-Services

service-object tcp destination eq domain

service-object tcp destination eq www

service-object tcp destination eq https

service-object tcp destination eq netbios-ssn

service-object udp destination eq domain

service-object udp destination eq nameserver

service-object udp destination eq netbios-dgm

service-object udp destination eq netbios-ns

!

access-list global_access extended permit object-group MSApp-Services any object-group Application-Servers

实例2: 指定特定用户(例如,IT管理人员或网络用户)可以使用的资源,以便于访问管理资源。在本例中,处于IP地址范围10.8.48.224–255中的管理主机被允许通过SSHSNMP访问服务器机房子网。

object network Mgmt-host-range

range 10.8.48.224 10.8.48.254

!

object-group service Mgmt-Traffic

service-object tcp destination eq ssh

service-object udp destination eq snmp

!

object network Secure-Subnets

subnet 10.8.54.0 255.255.255.0

object network SecureIPS-Subnets

subnet 10.8.55.0 255.255.255.0

!

object-group network SR_Secure_Subnet_List

network-object object Secure-Subnets

network-object object SecureIPS-Subnets

!

access-list global_access extended permit object-group Mgmt-Traffic object Mgmt-host-range object-group SR_Secure_Subnet_List

实例3: 如果您想允许访问某个应用以便进行防火墙策略故障排除,请配置旁路规则。旁路规则允许对已添加到适当网络对象组中的主机进行广泛访问。必须谨慎地定义旁路规则,以避免对那些必须拦截的主机或服务进行开放式访问。在白名单策略中,旁路规则通常被禁用,只有在防火墙策略故障排除需要访问应用时才启用。

以下策略定义了两个主机,并将它们应用到了旁路规则。

object network BladeWeb1Secure

host 10.8.54.100

object network BladeWeb2Secure

host 10.8.55.100

!

object-group network Bypass-Rule

description Open Policy for Server Access

network-object object BladeWeb1Secure

network-object object BladeWeb2Secure

access-list global_access extended permit ip any object-group Bypass-Rule

这会禁用旁路规则:

access-list global_access extended permit ip any object-group Bypass-Rule inactive


iqianyue , 版权所有丨如未注明 , 均为原创,转载请注明iqianyue
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论

表情 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址