ASA 8.X und höher: Konfigurationsbeispiel für die ASDM GUI zum Hinzufügen oder Ändern einer Zugriffsliste

Download-Optionen

  • PDF     (1.0 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.1 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.5 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:7. April 2011
Dokument-ID:112925

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

In diesem Dokument wird erläutert, wie Sie den Cisco Adaptive Security Device Manager (ASDM) für die Arbeit mit Zugriffskontrolllisten verwenden können. Dazu gehören die Erstellung einer neuen Zugriffsliste, das Bearbeiten einer vorhandenen Zugriffsliste und anderer Funktionen mit den Zugriffslisten.

Voraussetzungen

Anforderungen

Für dieses Dokument bestehen keine speziellen Anforderungen.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:

  • Cisco Adaptive Security Appliance (ASA) mit Version 8.2.X

  • Cisco Adaptive Security Device Manager (ASDM) mit Version 6.3.X

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).

Hintergrundinformationen

Zugriffslisten werden hauptsächlich zur Kontrolle des Datenverkehrsflusses durch die Firewall verwendet. Sie können bestimmte Arten von Datenverkehr mithilfe von Zugriffslisten zulassen oder verweigern. Jede Zugriffsliste enthält eine Reihe von Zugriffslisteneinträgen (ACEs), die den Datenverkehrsfluss von einer bestimmten Quelle zu einem bestimmten Ziel steuern. Normalerweise ist diese Zugriffsliste an eine Schnittstelle gebunden, um die Richtung des Datenflusses zu benachrichtigen, in den sie einsehen soll. Zugriffslisten werden hauptsächlich in zwei große Typen eingeteilt.

  1. Eingehende Zugriffslisten

  2. Ausgehende Zugriffslisten

Eingehende Zugriffslisten gelten für den Datenverkehr, der in diese Schnittstelle eingeht, und ausgehende Zugriffslisten gelten für den Datenverkehr, der die Schnittstelle verlässt. Die Inbound/Outbound-Notation bezieht sich auf die Richtung des Datenverkehrs in Bezug auf diese Schnittstelle, nicht jedoch auf die Verschiebung des Datenverkehrs zwischen den oberen und unteren Sicherheitsschnittstellen.

Für TCP- und UDP-Verbindungen benötigen Sie keine Zugriffsliste, um zurückkehrenden Verkehr zuzulassen, da die Sicherheits-Appliance den gesamten zurückkehrenden Verkehr für etablierte bidirektionale Verbindungen zulässt. Für verbindungslose Protokolle wie ICMP erstellt die Security Appliance unidirektionale Sitzungen. Sie benötigen daher entweder Zugriffslisten, um Zugriffslisten auf die Quell- und Zielschnittstellen anzuwenden, um ICMP in beide Richtungen zuzulassen, oder Sie müssen die ICMP-Prüfungs-Engine aktivieren. Die ICMP Inspection Engine behandelt ICMP-Sitzungen als bidirektionale Verbindungen.

Von der ASDM-Version 6.3.X gibt es zwei Arten von Zugriffslisten, die Sie konfigurieren können.

  1. Schnittstellenzugriffsregeln

  2. Globale Zugriffsregeln

Hinweis: Die Zugriffsregel bezieht sich auf einen einzelnen Eintrag in der Zugriffsliste (ACE).

Schnittstellenzugriffsregeln sind zum Zeitpunkt ihrer Erstellung an jede Schnittstelle gebunden. Ohne sie an eine Schnittstelle zu binden, können Sie sie nicht erstellen. Dies unterscheidet sich vom Beispiel für die Befehlszeile. Mit der CLI erstellen Sie zunächst die Zugriffsliste mit dem Befehl access list und binden diese Zugriffsliste dann an eine Schnittstelle mit dem Befehl access-group. ASDM 6.3 und höher wird die Zugriffsliste erstellt und als einzelne Aufgabe an eine Schnittstelle gebunden. Dies gilt nur für den Datenverkehr, der durch diese spezifische Schnittstelle fließt.

Globale Zugriffsregeln sind nicht an eine Schnittstelle gebunden. Sie können über die Registerkarte "ACL Manager" (ACL-Manager) im ASDM konfiguriert und auf den globalen eingehenden Datenverkehr angewendet werden. Sie werden implementiert, wenn eine Übereinstimmung basierend auf der Quelle, dem Ziel und dem Protokolltyp vorliegt. Diese Regeln werden nicht auf jeder Schnittstelle repliziert, sodass Speicherplatz eingespart wird.

Wenn beide Regeln implementiert werden sollen, haben Schnittstellenzugriffsregeln in der Regel Vorrang vor den globalen Zugriffsregeln.

Konfigurieren

In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

acl-asdm-01.gif

Neue Zugriffsliste hinzufügen

Gehen Sie wie folgt vor, um eine neue Zugriffsliste mit ASDM zu erstellen:

  1. Wählen Sie Konfiguration > Firewall > Zugriffsregeln, und klicken Sie auf die Schaltfläche Zugriffsregel hinzufügen.

    acl-asdm-02.gif

  2. Wählen Sie die Schnittstelle aus, an die diese Zugriffsliste gebunden werden soll, zusammen mit der Aktion, die für den Datenverkehr ausgeführt werden soll, d. h. Zulassen/Verweigern. Klicken Sie dann auf die Schaltfläche Details, um das Quellnetzwerk auszuwählen.

    acl-asdm-03.gif

    Hinweis: Im Folgenden werden die verschiedenen Felder, die in diesem Fenster angezeigt werden, kurz erläutert:

    • Interface (Schnittstelle): Bestimmt die Schnittstelle, an die diese Zugriffsliste gebunden ist.

    • Action (Aktion): Bestimmt den Aktionstyp der neuen Regel. Es stehen zwei Optionen zur Verfügung. Zulassen erlaubt den gesamten übereinstimmenden Datenverkehr und Verweigern blockiert den gesamten übereinstimmenden Datenverkehr.

    • Source (Quelle): Dieses Feld gibt die Quelle des Datenverkehrs an. Dabei kann es sich um alles unter einer einzigen IP-Adresse, einem Netzwerk, einer IP-Adresse der Schnittstelle der Firewall oder einer Netzwerkobjektgruppe handeln. Diese können mit der Schaltfläche Details ausgewählt werden.

    • Destination (Ziel): Dieses Feld gibt die Quelle des Datenverkehrs an. Dabei kann es sich um alles unter einer einzigen IP-Adresse, einem Netzwerk, einer IP-Adresse der Schnittstelle der Firewall oder einer Netzwerkobjektgruppe handeln. Diese können mit der Schaltfläche Details ausgewählt werden.

    • Service: Dieses Feld bestimmt das Protokoll oder den Service des Datenverkehrs, auf den diese Zugriffsliste angewendet wird. Sie können auch eine Dienstgruppe definieren, die verschiedene Protokolle enthält.

  3. Nachdem Sie auf die Schaltfläche Details geklickt haben, wird ein neues Fenster mit den vorhandenen Netzwerkobjekten angezeigt. Wählen Sie das interne Netzwerk aus, und klicken Sie auf OK.

    acl-asdm-04.gif

  4. Sie kehren zum Fenster Zugriffsregel hinzufügen zurück. Geben Sie any im Feld Ziel ein. und klicken Sie auf OK, um die Konfiguration der Zugriffsregel abzuschließen.

    acl-asdm-05.gif

Hinzufügen einer Zugriffsregel vor einer vorhandenen:

Gehen Sie wie folgt vor, um kurz vor einer bereits bestehenden Zugriffsregel eine Zugriffsregel hinzuzufügen:

  1. Wählen Sie den vorhandenen Zugriffslisteneintrag aus, und klicken Sie im Dropdown-Menü Hinzufügen auf Einfügen

    acl-asdm-06.gif

  2. Wählen Sie Quelle und Ziel aus, und klicken Sie auf die Schaltfläche Details im Feld Service, um das Protokoll auszuwählen.

    acl-asdm-07.gif

  3. Wählen Sie HTTP als Protokoll aus, und klicken Sie auf OK.

    acl-asdm-08.gif

  4. Sie kehren zum Fenster Zugriffsregel einfügen zurück. Das Feld Service wird mit tcp/http als ausgewähltem Protokoll gefüllt. Klicken Sie auf OK, um die Konfiguration des neuen Zugriffslisteneintrags abzuschließen.

    acl-asdm-09.gif

Sie können jetzt die neue Zugriffsregel beobachten, die kurz vor dem bereits vorhandenen Eintrag für das Inside-Netzwerk angezeigt wird.

acl-asdm-10.gif

Hinweis: Die Reihenfolge der Zugriffsregeln ist sehr wichtig. Bei der Verarbeitung jedes Pakets zum Filtern prüft die ASA, ob das Paket einem der Kriterien für Zugriffsregeln in sequenzieller Reihenfolge entspricht und ob eine Übereinstimmung vorliegt, die Aktion dieser Zugriffsregel implementiert wird. Wenn eine Zugriffsregel zugeordnet wird, werden keine weiteren Zugriffsregeln angewendet und erneut überprüft.

Hinzufügen einer Zugriffsregel nach einer vorhandenen:

Führen Sie diese Schritte aus, um unmittelbar nach einer bereits bestehenden Zugriffsregel eine Zugriffsregel zu erstellen.

  1. Wählen Sie die Zugriffsregel aus, nach der Sie eine neue Zugriffsregel benötigen, und wählen Sie im Dropdown-Menü Hinzufügen die Option Einfügen aus.

    acl-asdm-11.gif

  2. Geben Sie die Felder Interface (Schnittstelle), Action (Aktion), Source (Quelle), Destination (Ziel) und Service (Dienst) an, und klicken Sie auf OK, um die Konfiguration dieser Zugriffsregel abzuschließen.

    acl-asdm-12.gif

Sie können sehen, dass die neu konfigurierte Zugriffsregel direkt nach der bereits konfigurierten Zugriffsregel angeordnet ist.

acl-asdm-13.gif

Erstellen einer Standard-Zugriffsliste

Führen Sie diese Schritte aus, um eine Standard-Zugriffsliste mit der ASDM-GUI zu erstellen.

  1. Wählen Sie Konfiguration > Firewall > Erweitert > Standard-ACL > Hinzufügen aus, und klicken Sie auf ACL hinzufügen.

    acl-asdm-14.gif

  2. Geben Sie eine Nummer in dem für die Standard-Zugriffsliste zulässigen Bereich an, und klicken Sie auf OK.

    acl-asdm-15.gif

  3. Klicken Sie mit der rechten Maustaste auf die Zugriffsliste, und wählen Sie Add ACE (ACE hinzufügen) aus, um dieser Zugriffsliste eine Zugriffsregel hinzuzufügen.

    acl-asdm-16.gif

  4. Wählen Sie die Aktion aus, und geben Sie die Quelladresse an. Geben Sie bei Bedarf auch die Beschreibung an. Klicken Sie auf OK, um die Konfiguration der Zugriffsregel abzuschließen.

    acl-asdm-17.gif

Erstellen einer globalen Zugriffsregel

Führen Sie diese Schritte aus, um eine erweiterte Zugriffsliste mit globalen Zugriffsregeln zu erstellen.

  1. Wählen Sie Configuration > Firewall > Advanced > ACL Manager > Add aus, und klicken Sie auf Add ACL button.

    acl-asdm-18.gif

  2. Geben Sie einen Namen für die Zugriffsliste an, und klicken Sie auf OK.

    acl-asdm-19.gif

  3. Klicken Sie mit der rechten Maustaste auf die Zugriffsliste, und wählen Sie Add ACE (ACE hinzufügen) aus, um dieser Zugriffsliste eine Zugriffsregel hinzuzufügen.

    acl-asdm-20.gif

  4. Füllen Sie die Felder Aktion, Quelle, Ziel und Service aus, und klicken Sie auf OK, um die Konfiguration der globalen Zugriffsregel abzuschließen.

    acl-asdm-21.gif

Sie können jetzt, wie gezeigt, die globale Zugriffsregel anzeigen.

acl-asdm-22.gif

Bearbeiten einer vorhandenen Zugriffsliste

In diesem Abschnitt wird erläutert, wie ein vorhandener Zugriff bearbeitet wird.

Bearbeiten Sie das Feld Protokoll, um eine Servicegruppe zu erstellen:

Führen Sie diese Schritte aus, um eine neue Servicegruppe zu erstellen.

  1. Klicken Sie mit der rechten Maustaste auf die Zugriffsregel, die geändert werden muss, und wählen Sie Bearbeiten aus, um diese Zugriffsregel zu ändern.

    acl-asdm-23.gif

  2. Klicken Sie auf die Schaltfläche Details, um das Protokoll zu ändern, das dieser Zugriffsregel zugeordnet ist.

    acl-asdm-24.gif

  3. Sie können bei Bedarf ein anderes Protokoll als HTTP auswählen. Wenn nur ein Protokoll ausgewählt werden soll, muss die Servicegruppe nicht erstellt werden. Es empfiehlt sich, eine Servicegruppe zu erstellen, wenn eine Anforderung besteht, zahlreiche nicht benachbarte Protokolle zu identifizieren, die dieser Zugriffsregel zugeordnet werden sollen.

    Wählen Sie Add > TCP service group, um eine neue TCP service group zu erstellen.

    Hinweis: Auf dieselbe Weise können Sie auch eine neue UDP-Servicegruppe oder eine ICMP-Gruppe usw. erstellen.

    acl-asdm-25.gif

  4. Geben Sie einen Namen für diese Servicegruppe an, wählen Sie das Protokoll auf der linken Seite aus, und klicken Sie auf Hinzufügen, um sie im Menü Gruppe auf der rechten Seite in das Menü Mitglieder zu verschieben. Je nach Anforderung können mehrere Protokolle als Mitglieder einer Servicegruppe hinzugefügt werden. Die Protokolle werden einzeln hinzugefügt. Nachdem alle Mitglieder hinzugefügt wurden, klicken Sie auf OK.

    acl-asdm-26.gif

  5. Die neu erstellte Servicegruppe kann unter der Registerkarte TCP-Servicegruppen angezeigt werden. Klicken Sie auf OK, um zum Fenster Zugriffsregel bearbeiten zurückzukehren.

    acl-asdm-27.gif

  6. Sie sehen, dass das Feld "Service" mit der neu erstellten Servicegruppe ausgefüllt wird. Klicken Sie auf OK, um die Bearbeitung abzuschließen.

    acl-asdm-28.gif

  7. Bewegen Sie den Mauszeiger über diese Servicegruppe, um alle zugehörigen Protokolle anzuzeigen.

    acl-asdm-29.gif

Bearbeiten Sie die Felder Quelle/Ziel, um eine Netzwerkobjektgruppe zu erstellen:

Objektgruppen werden verwendet, um die Erstellung und Pflege von Zugriffslisten zu vereinfachen. Wenn Sie Objekte wie Objekte gruppieren, können Sie die Objektgruppe in einem einzigen ACE verwenden, anstatt einen ACE für jedes Objekt einzeln eingeben zu müssen. Bevor Sie die Objektgruppe erstellen, müssen Sie die Objekte erstellen. In der ASDM-Terminologie wird das Objekt als Netzwerkobjekt und die Objektgruppe als Netzwerkobjektgruppe bezeichnet.

Gehen Sie wie folgt vor:

  1. Wählen Sie Konfiguration > Firewall > Objekte > Netzwerkobjekte/Gruppen > Hinzufügen aus, und klicken Sie auf Netzwerkobjekt, um ein neues Netzwerkobjekt zu erstellen.

    acl-asdm-30.gif

  2. Füllen Sie die Felder Name, IP-Adresse und Netzmaske aus, und klicken Sie auf OK.

    acl-asdm-31.gif

  3. Das neu erstellte Netzwerkobjekt kann in der Liste der Objekte angezeigt werden. Klicken Sie auf OK.

    acl-asdm-32.gif

  4. Wählen Sie Konfiguration > Firewall > Objekte > Netzwerkobjekte/Gruppen > Hinzufügen, und klicken Sie auf Netzwerkobjektgruppe, um eine neue Netzwerkobjektgruppe zu erstellen.

    acl-asdm-33.gif

  5. Die verfügbare Liste aller Netzwerkobjekte befindet sich im linken Fensterbereich. Wählen Sie einzelne Netzwerkobjekte aus, und klicken Sie auf die Schaltfläche Hinzufügen, um sie zu Membern der neu erstellten Netzwerkobjektgruppe zu machen. Der Gruppenname muss in dem ihm zugewiesenen Feld angegeben werden.

    acl-asdm-34.gif

  6. Klicken Sie auf OK, nachdem Sie alle Mitglieder zur Gruppe hinzugefügt haben.

    acl-asdm-35.gif

    Sie können jetzt die Netzwerkobjektgruppe anzeigen.

    acl-asdm-36.gif

  7. Um ein Quell-/Zielfeld einer vorhandenen Zugriffsliste mit einem Netzwerkgruppenobjekt zu ändern, klicken Sie mit der rechten Maustaste auf die jeweilige Zugriffsregel, und wählen Sie Bearbeiten aus.

    acl-asdm-37.gif

  8. Das Fenster Zugriffsregel bearbeiten wird angezeigt. Klicken Sie auf die Schaltfläche Details im Feld Quelle, um das Feld zu ändern.

    acl-asdm-38.gif

  9. Wählen Sie die Netzwerkobjektgruppe All-Internal-Hosts aus, und klicken Sie auf OK.

    acl-asdm-39.gif

  10. Klicken Sie auf OK.

    acl-asdm-40.gif

  11. Bewegen Sie den Mauszeiger über das Feld Quelle der Zugriffsregel, um die Mitglieder der Gruppe anzuzeigen.

    acl-asdm-41.gif

Quellport bearbeiten:

Gehen Sie wie folgt vor, um den Quellport einer Zugriffsregel zu ändern.

  1. Um den Quellport einer bestehenden Zugriffsregel zu ändern, klicken Sie mit der rechten Maustaste darauf, und wählen Sie Bearbeiten aus.

    Das Fenster Zugriffsregel bearbeiten wird angezeigt.

    acl-asdm-42.gif

  2. Klicken Sie auf die Dropdown-Schaltfläche Weitere Optionen, um das Feld Quelldienst zu ändern, und klicken Sie auf OK.

    Sie können die geänderte Zugriffsregel anzeigen, wie dargestellt.

    acl-asdm-43.gif

Löschen einer Zugriffsliste

Gehen Sie wie folgt vor, um eine Zugriffsliste zu löschen:

  1. Bevor Sie eine vorhandene Zugriffsliste löschen, müssen Sie die Einträge in der Zugriffsliste (die Zugriffsregeln) löschen. Die Zugriffsliste kann nur gelöscht werden, wenn Sie zuerst alle Zugriffsregeln löschen.

    Klicken Sie mit der rechten Maustaste auf die zu löschende Zugriffsregel, und wählen Sie Löschen aus.

    acl-asdm-44.gif

  2. Führen Sie denselben Löschvorgang für alle vorhandenen Zugriffsregeln aus, wählen Sie dann die Zugriffsliste aus, und wählen Sie Löschen aus, um sie zu löschen.

Exportieren der Zugriffsregel

ASDM-Zugriffsregeln binden die Zugriffsliste an die entsprechende Schnittstelle, während der ACL Manager alle erweiterten Zugriffslisten verfolgt. Die mit dem ACL Manager erstellten Zugriffsregeln sind an keine Schnittstelle gebunden. Diese Zugriffslisten werden in der Regel für NAT-Exempt-, VPN-Filter- und ähnliche andere Funktionen verwendet, wenn keine Verknüpfung mit der Schnittstelle besteht. Der ACL Manager enthält alle Einträge im Abschnitt "Konfiguration > Firewall > Zugriffsregeln". Darüber hinaus enthält der ACL Manager auch die globalen Zugriffsregeln, die keiner Schnittstelle zugeordnet sind. ASDM ist so organisiert, dass Sie problemlos eine Zugriffsregel aus einer beliebigen Zugriffsliste in eine andere exportieren können.

Wenn Sie beispielsweise eine Zugriffsregel benötigen, die bereits Teil einer globalen Zugriffsregel ist, um einer Schnittstelle zugeordnet zu werden, müssen Sie diese nicht erneut konfigurieren. Stattdessen können Sie einen Cut & Paste-Vorgang ausführen, um dies zu erreichen.

  1. Klicken Sie mit der rechten Maustaste auf die angegebene Zugriffsregel, und wählen Sie Ausschneiden aus.

    acl-asdm-45.gif

  2. Wählen Sie die erforderliche Zugriffsliste aus, in die Sie diese Zugriffsregel einfügen möchten. Sie können Einfügen in die Symbolleiste verwenden, um die Zugriffsregel einzufügen.

Exportieren der Informationen zur Zugriffsliste

Sie können die Informationen der Zugriffsliste in eine andere Datei exportieren. Für den Export dieser Informationen werden zwei Formate unterstützt.

  1. CSV-Format (Comma Separated Value)

  2. HTML-Format

Klicken Sie mit der rechten Maustaste auf eine der Zugriffsregeln, und wählen Sie Exportieren aus, um die Zugriffslisteninformationen an eine Datei zu senden.

acl-asdm-46.gif

Hier sind die Zugriffslisteninformationen im HTML-Format.

acl-asdm-47.gif

Überprüfen

Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.

Fehlerbehebung

Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
07-Apr-2011
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.