思科防火墙一个容易疏忽的问题
问题描述:
当调试思科VPN的时候,尤其是远程拨入VPN的调试,你会发现,当调试路由器的时候,客户端拨入可以直接访问路由器的内口地址,但是当设备是思科的安全设备(PIX,ASA)的时候,你去尝试一下,你会发现在访问INSIDE接口的时候,结果是不通的。
解决办法:
因为思科的安全设备安全级别高一些,所以他默认会对从低安全级别的访问做一定的限制,例如设备的管理权限;大家都知道防火墙从外网是不能TELNET到本机上的,相比SSH本身安全的多的多,但是INSIDE可以TELNET,默认内部是最高安全级别,所以TELNET当然对本身不会造成多大破坏,但是思科的人性化体现的很淋漓尽致,对于远程客户端通过VPN客户端拨入的用户(可能会出现帐户泄露等因素),防火墙默认是不允许这些客户访问他本身的,这样就更增强了自身的安全性,个人觉得非常好!!!!
解决此办法很容易
在全局模式下 输入
management-access inside 这条命令就可以了
应用领域:
总部是固定IP,各分部是动态IP,但是总部也要管理分部的PIX,因为分部的公网地址会变化,所以使用客户端拨入通过内口管理分部设备是个很好的办法!!!
当然也可以通过使用 SHOW CRYPTO ISA SA查看 VPN状态,但是如果分支没有感兴趣流,那么网络管理员就鞭长莫及了!!!
基于名称的ACL下可以通过序列号插入、删除、重新编排访问列表条目。
router#sh access-list
Extended IP access list MYTESTACL
10 permit ip 10.10.10.0 0.0.0.255 any
20 permit icmp 10.10.10.0 0.0.0.255 any
30 deny ip 10.10.20.0 0.0.0.255 any
40 permit tcp 10.10.30.0 0.0.0.255 host 192.168.87.65 eq www
现在我们有了这个信息,我们就可以在不干扰现有的ACL情况下插入一个新行。在这种情况下,我们会插入一个新的序号25。第一项声明是新的序列号。
router#conf t
router(config)#ip access-list extended MYTESTACL
router(config-ext-nacl)#25 permit tcp host 10.10.20.5 host 192.168.87.65 eq www
这个事变更后的样子:
router#sh access-list MYTESTACL
Extended IP access list MYTESTACL
10 permit ip 10.10.10.0 0.0.0.255 any
20 permit icmp 10.10.10.0 0.0.0.255 any
25 permit tcp host 10.10.20.5 host 192.168.87.65 eq www (**note new line)
30 deny ip 10.10.20.0 0.0.0.255 any
40 permit tcp 10.10.30.0 0.0.0.255 host 192.168.87.65 eq www
阅读(1363) | 评论(0) | 转发(0) |