5-思科防火墙:ASA的基于时间的ACL
一、实验拓扑:
二、实验要求:
1、只允许在工作日的09:00-18:00期间,放行Outside访问Inside的FTP流量;
2、ASA上:show access-list,查看时间如果超过范围,是否有inactive提示?
3、ASA只匹配一次,就会记录这种源目IP、端口等的映射,放在状态信息的表项里边去;比如R1远程登录R2经过ASA,第一次是1,进去后enable等操作,该数值不变的;
如果退出再重新登录的话,就会增加数值的;节省ASA的资源;
路由器的话,每匹配一次,数目就会+1;比如ACL放行Ping包,Ping 1次,这里是1,Ping 5次这里就会显示5。
三、命令部署:
1、定义时间范围:
ASA(config)# time-range abc
ASA(config-time-range)# periodic weekdays 9:00 to 18:00
2、ACL抓取流量并应用time-range:
ASA(config)#access-list name extended permit tcp 202.100.1.0 255.255.255.0 10.1.1.0 255.255.255.0 eq ftp time-range abc
3、接口下调用ACL:
ASA(config)# access-group name in interface outside
4、调整时区、时间:
ASA(config)# clock timezone beijing +8 //调整时区
ASA(config)# clock set 16:09:00 2 june 2018 //调整时间
四、验证:
1、ASA:show access-list:
ASA# show access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
alert-interval 300
access-list name; 1 elements; name hash: 0x72262761
access-list name line 1 extended permit tcp 202.100.1.0 255.255.255.0 10.1.1.0 255.255.255.0 eq ftp time-range abc (hitcnt=0) 0x15877aab
2、查看时间:
ASA# show clock
16:05:46.929 UTC Tue May 29 2018
3、调整时区、时间后查看:
ASA(config)# show clock
16:09:28.149 beijing Sat Jun 2 2018
4、调整时间后查看ACL:
ASA(config)# show access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
alert-interval 300
access-list name; 1 elements; name hash: 0x72262761
access-list name line 1 extended permit tcp 202.100.1.0 255.255.255.0 10.1.1.0 255.255.255.0 eq ftp time-range abc (hitcnt=0) (inactive) 0x15877aab
R1依然不能远程登录R2,部分效果依然出不来,先放过吧!
转载于:https://blog.51cto.com/13856092/2138570
5-思科防火墙:ASA的基于时间的ACL相关推荐
- 思科防火墙ASA配置案例
思科防火墙ASA配置案例 拓扑图 要求:通过思科防火墙ASA使用内网用户可以访问外网与DMZ中的服务器,DMZ中的服务器可以发布到网络中,供外网用户访问 一.思科模拟防火墙的使用 因为我们没有真实的设 ...
- 访问控制列表--基于时间的ACL、动态ACL
4.1 实验目的 (1)掌握定义time-range: (2)掌握配置基于时间ACL: (3)掌握基于时间的ACL的测试 4.2 实验原理 1.基于时间ACL的配置 基于时间的 ACL 功能类似于扩展 ...
- 基于时间的访问控制列表ACL
实验名称 基于时间的访问控制列表ACL 一. 实验目的 1.掌握时间范围的建立及修改设备的时间: 2.掌握基于时间的访问控制列表ACL命令的使用. 二.实验仪器设备或材料 Cisco PT Gns3 ...
- 【思科CCNA理论专题:10】--ACL实验扩展-晁海江-专题视频课程
[思科CCNA理论专题:10]--ACL实验扩展-5661人已学习 课程介绍 更多课程,请百度搜索"晁海江". 策略有很多,在前面的CCNP视频中,已经做过路由映射 ...
- 27.思科防火墙(ASA)
防火墙分软件防火墙与硬件防火墙. v 软件防火墙:运行在IOS系统之上的一个应用,通过应用指定出入网规则. v 硬件防火墙:功能更强大,漏洞少,状态化. 状态化可以理解为当用户通过该防火墙连接,那么防 ...
- 思科防火墙PIX ASA精华配置总结
思科防火墙 PIX ASA 配置总结一(基础): 思科防火墙已经从PIX发展到ASA了,IOS也已经从早期的6.0发展到7.2.但总体的配置思路并没有多少变化.只是更加人性化,更加容易配置和管理了. ...
- pfSense配置基于时间的防火墙规则
基于时间的规则允许防火墙规则在指定的日期和/或时间范围内激活.基于时间的规则与任何其他规则的功能相同,只是它们在预定时间之外的规则集中实际上不存在. 基于时间的规则逻辑处理基于时间的规则时,调度计划确 ...
- 思科防火墙5510打开端口_输入验证问题打开了思科防火墙漏洞
思科防火墙5510打开端口 标准安全性实践是任何产品的基准,即使是最初级的软件开发人员也应了解任何项目的最低安全性要求. 然而,诸如缺少输入验证之类的简单问题仍然困扰着整个行业. 例如,在1.2.5之 ...
- 思科防火墙,h3c三层交换机配置笔记
h3c: 进入超级终端 system-view 进入配置模式 1.交换机默认有个一vlan vlanID 为1 2.vlan划分 用vlan {vlanID} 新建立一个vlan,进入相应vlan , ...
最新文章
- Shutil.move PermissionError: [WinError 82] 无法创建目录或文件,以及PermissionError: [Errno 13] Permission denied
- gcp上使用gpu来学习tensorflow
- c++获取时间戳_「崩坏3」众星陨落 | 限时补给开启,4星装备获取概率UP
- express4.x中的链式路由句柄
- word项目符号或编号bullets and numbering
- SpringIOC概述
- cocos2d之列表容器节点再排序
- 时延波束形成 matlab,有关波束形成程序解释
- 黑莓9900 刷机体验(ROM:7.1.0.318_DoCoMo_Japan版)
- u盘扩容盘用什么软件测试,如何检测所购买的U盘是否为扩容盘?
- 【2022年第十周周总结】拖延症啊。。。。算法题啊。。。。
- Mac OS 关闭系统更新提示小红点
- DeepMind AI 科学家:2020年NLP和ML领域十大研究进展
- 生鲜在B2C电商模式下存在问题,O2O模式解决生鲜电商物流配送难题
- 【JAVA 学习基础】java内存区域 探究
- Swordfish【prim算法】
- 易中天教授讲座十句人生感悟
- 一个无名内隐类的问题(Java)
- ThinkPHP 框架建立 PostgreSQL / 腾讯云 TDSQL PgSQL (TBase) 连接
- 基于Python 3.4 实现的12306查票器