De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document wordt het proces beschreven voor het configureren van toegangsregels voor het controlevlak voor Secure Firewall Threat Defense en Adaptive Security Appliance (ASA).
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Het verkeer doorkruist meestal een firewall en wordt gerouteerd tussen data-interfaces; in sommige omstandigheden is het nuttig om verkeer te weigeren dat bestemd is 'voor' de beveiligde firewall. De beveiligde firewall van Cisco kan een toegangscontrolelijst voor het controlevlak (ACL) gebruiken om 'to-the-box'-verkeer te beperken. Een voorbeeld van wanneer een control plane ACL nuttig kan zijn, is om te bepalen welke peers een VPN-tunnel (Site-to-Site of Remote Access VPN) naar de beveiligde firewall kunnen maken.
Verkeer doorkruist normaal gesproken firewalls van de ene interface (inbound) naar een andere interface (outbound), dit staat bekend als doorgaand verkeer en wordt beheerd door zowel het toegangscontrolebeleid (ACP) als de pre-filterregels.
Afbeelding 1. Voorbeeld van doorgaand verkeer
Er zijn andere gevallen waarin het verkeer rechtstreeks is bestemd voor een FTD-interface (Site-to-Site of Remote Access VPN), dit staat bekend als to-the-box-verkeer en wordt beheerd door het besturingsvlak van die specifieke interface.
In het volgende voorbeeld probeert een set IP-adressen uit een bepaald land VPN bruut in het netwerk te dwingen door in te loggen op de FTD RAVPN. De beste optie om de FTD te beschermen tegen deze VPN brute force aanvallen is om een control plane ACL te configureren om deze verbindingen met de externe FTD-interface te blokkeren.
Dit is de procedure die u moet volgen in een FMC om een control plane ACL te configureren om inkomende VPN brute force-aanvallen naar de externe FTD-interface te blokkeren:
Stap 1. Open de FMC Graphic User Interface (GUI) via HTTPS en log in met uw referenties:
Afbeelding 3. Inlogpagina FMC
Stap 2. U moet een uitgebreide ACL maken. Navigeer hiervoor naar Objecten > Objectbeheer:
Afbeelding 4. Objectbeheer
Stap 2.1. Navigeer in het linkerdeelvenster naar Toegangslijst > Uitgebreid om een uitgebreide ACL te maken:
Afbeelding 5. Uitgebreid ACL-menu
Stap 2.2. Selecteer vervolgens Uitgebreide toegangslijst toevoegen:
Afbeelding 6. Uitgebreide ACL toevoegen
Stap 2.3. Typ een naam voor de uitgebreide ACL en klik vervolgens op de knop Toevoegen om een toegangscontrole-item (ACE) te maken:
Afbeelding 7. Uitgebreide ACL-vermeldingen
Stap 2.4. Wijzig de ACE-actie in Blokkeren, voeg vervolgens het bronnetwerk toe om overeen te komen met het verkeer dat moet worden geweigerd aan de FTD, houd het bestemmingsnetwerk als Any en klik op de knop Toevoegen om de ACE-vermelding te voltooien.
In dit voorbeeld blokkeert het ACE-item brute force-aanvallen van VPN afkomstig van het subnet 192.168.1.0/24:
Afbeelding 8. Netwerken geweigerd
Stap 2.5. Als u meer ACE-items wilt toevoegen, klikt u nogmaals op de knop Toevoegen en herhaalt u stap 2.4. Klik vervolgens op de knop Opslaan om de ACL-configuratie te voltooien:
Afbeelding 9. Voltooide uitgebreide ACL-vermeldingen
Stap 3. Vervolgens moet u een Flex-Config-object configureren om het ACL-controlevlak toe te passen op de externe FTD-interface. Navigeer hiervoor naar het linkerdeelvenster en selecteer de optie FlexConfig > Object FlexConfig.
Afbeelding 10. Menu Object FlexConfig
Stap 3.1. Klik op Object FlexConfig toevoegen:
Afbeelding 11. Object FlexConfig toevoegen
Stap 3.2. Voeg een naam toe voor het object FlexConfig en plaats vervolgens een ACL-beleidsobject. Selecteer hiervoor Invoegen > Beleidsobject invoegen > Uitgebreid ACL-object:
Afbeelding 12. variabele FlexConfig Object
Stap 3.3. Voeg een naam toe voor de ACL-objectvariabele en selecteer vervolgens de uitgebreide ACL die is gemaakt in stap 2.3, waarna u op de knop Opslaan klikt:
Afbeelding 13. FlexConfig Object variabele ACL-toewijzing
Stap 3.4. Configureer vervolgens het ACL-controlevlak als inbound voor de externe interface.
Opdrachtregelsyntaxis:
access-group "variable name starting with $ symbol" in interface "interface-name" control-plane
Dit vertaalt zich in het volgende opdrachtvoorbeeld, waarin de ACL-variabele wordt gebruikt die is gemaakt in stap 2.3 VAR-ACL-UNWANTED-COUNTRY:
access-group $VAR-ACL-UNWANTED-COUNTRY in interface outside control-plane
Zo moet het object in het venster FlexConfig worden geconfigureerd. Selecteer vervolgens de knop Opslaan om het object FlexConfig te voltooien:
Afbeelding 14. Volledige opdrachtregel van object Flexconfig
Opmerking: Het wordt ten zeerste aanbevolen om het ACL-besturingsvlak te configureren voor alleen de interfaces die binnenkomende VPN-sessies voor externe toegang ontvangen in de beveiligde firewall, zoals de Externe interface.
Stap 4. U moet de FlexConfig-objectconfiguratie toepassen op de FTD. Navigeer hiervoor naar Apparaten > FlexConfig:
Afbeelding 15. Het menu Beleid voor FlexConfig
Stap 4.1. Klik vervolgens op Nieuw beleid als er nog geen FlexConfig voor uw FTD is gemaakt of bewerk het bestaande FlexConfig-beleid:
Afbeelding 16. FlexConfig-beleid maken
Stap 4.2. Voeg een naam toe voor het nieuwe FlexConfig-beleid en selecteer de FTD die u wilt toepassen op het besturingsvlak dat ACL heeft gemaakt:
Afbeelding 17. Toewijzing van FlexConfig-beleidsapparaat
Stap 4.3. Zoek in het linkerdeelvenster naar het FlexConfig-object dat is gemaakt in stap 3.2 en voeg het vervolgens toe aan het FlexConfig-beleid door op de rechterpijl in het midden van het venster te klikken. Klik tot slot op de knop Opslaan:
Afbeelding 18. Toewijzing van object FlexConfig-beleid
Stap 5. Ga door met het implementeren van de configuratiewijziging in de FTD en navigeer hiervoor naar Implementeren > Geavanceerde implementatie:
Afbeelding 19. Geavanceerde FTD-implementatie
Stap 5.1. Selecteer vervolgens de FTD waarop u het FlexConfig-beleid wilt toepassen. Als alles correct is, klikt u op Implementeren:
Afbeelding 20. Validering FTD-implementatie
Stap 5.2. Hierna wordt een venster voor implementatiebevestiging weergegeven. Voeg een opmerking toe om de implementatie te volgen en ga verder met implementeren:
Afbeelding 21. Opmerkingen over FTD-implementatie
Stap 5.3. Er kan een waarschuwingsbericht verschijnen wanneer FlexConfig-wijzigingen worden geïmplementeerd. Klik alleen op Implementeren als u er volledig zeker van bent dat de beleidsconfiguratie correct is:
Afbeelding 22. Waarschuwing FTD Deployment Flexconfig
Stap 5.4. Bevestig dat de beleidsimplementatie succesvol is voor de FTD:
Afbeelding 23. Implementatie FTD geslaagd
Stap 6. Als u een nieuwe ACL-controlevlak maakt voor uw FTD of als u een bestaande ACL hebt bewerkt die actief in gebruik is, is het belangrijk om te benadrukken dat de wijzigingen in de configuratie niet van toepassing zijn op reeds bestaande verbindingen met de FTD, daarom moet u handmatig de actieve verbindingspogingen met de FTD wissen. Maak hiervoor verbinding met de CLI van de FTD en wis de actieve verbindingen.
De actieve verbinding voor een specifiek host-IP-adres wissen:
> clear conn address 192.168.1.10 all
De actieve verbindingen voor een heel subnetnetwerk wissen:
> clear conn address 192.168.1.0 netmask 255.255.255.0 all
De actieve verbindingen voor een reeks IP-adressen wissen:
> clear conn address 192.168.1.1-192.168.1.10 all
Opmerking: Het is sterk aanbevolen om het zoekwoord allemaal aan het einde van de duidelijke conn adres opdracht gebruiken om het wissen van de actieve VPN brute force verbinding pogingen om de firewall te beveiligen, vooral wanneer de aard van de VPN brute force aanval is het starten van een explosie van constante verbinding pogingen.
Dit is de procedure die u moet volgen in een FDM om een control plane ACL te configureren om inkomende VPN brute force-aanvallen naar de externe FTD-interface te blokkeren:
Stap 1. Open de FDM GUI via HTTPS en log in met uw inloggegevens:
Afbeelding 24. Inlogpagina FDM
Stap 2. U moet een objectnetwerk maken. Navigeer hiervoor naar Objecten:
Afbeelding 25. FDM-hoofddashboard
Stap 2.1. Selecteer Netwerken in het linkerdeelvenster en klik op de knop '+' om een nieuw netwerkobject te maken:
Afbeelding 26. Object maken
Stap 2.2. Voeg een naam toe voor het netwerkobject, selecteer het netwerktype voor het object, voeg het IP-adres, het netwerkadres of het bereik van IP's toe om overeen te komen met het verkeer dat moet worden geweigerd aan de FTD. Klik vervolgens op de knop OK om het objectnetwerk te voltooien.
- In dit voorbeeld is het geconfigureerde objectnetwerk bedoeld om VPN brute force-aanvallen afkomstig van het subnet 192.168.1.0/24 te blokkeren:
Afbeelding 27. Netwerkobject toevoegen
Stap 3. Vervolgens moet u een uitgebreide ACL maken, hiervoor navigeert u naar het tabblad Apparaat in het hoofdmenu:
Afbeelding 28. Pagina Apparaatinstellingen
Stap 3.1. Scroll naar beneden en selecteer Configuratie weergeven in het vak Geavanceerde configuratie zoals weergegeven in de afbeelding:
Afbeelding 29. Geavanceerde FDM-configuratie
Stap 3.2. Navigeer vervolgens in het linkerdeelvenster naar Slimme CLI > Objecten en klik op SMART CLI-OBJECT MAKEN.
Afbeelding 30. Smart CLI-objecten
Stap 3.3. Voeg een naam toe voor de uitgebreide ACL die u wilt maken, selecteer Uitgebreide toegangslijst in het vervolgkeuzemenu CLI-sjabloon en configureer de vereiste ACE's met behulp van het netwerkobject dat is gemaakt in stap 2.2, en klik vervolgens op de knop OK om de ACL te voltooien:
Afbeelding 31. Uitgebreide ACL-creatie
Opmerking: Als u meer ACE's voor de ACL wilt toevoegen, kunt u dit doen door de muis links van de huidige ACE te bewegen; dan verschijnen er geen drie klikbare punten. Klik erop en selecteer Dupliceren om meer ACE's toe te voegen.
Stap 4. Vervolgens moet u een FlexConfig-object maken. Navigeer hiervoor naar het linkerdeelvenster en selecteer FlexConfig > FlexConfig-objecten en klik vervolgens op OBJECT MAKEN:
Afbeelding 32. FlexConfig-objecten
Stap 4.1. Voeg een naam toe voor het object FlexConfig om het ACL-controlevlak te maken en te configureren als inbound voor de externe interface, zoals weergegeven in de afbeelding.
Opdrachtregelsyntaxis:
access-group "ACL-name" in interface "interface-name" control-plane
Dit vertaalt zich in het volgende opdrachtvoorbeeld, dat de uitgebreide ACL gebruikt die is gemaakt in stap 3.3 ACL-UNWANTED-COUNTRY:
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Zo kan het object in het venster FlexConfig worden geconfigureerd. Selecteer vervolgens de knop OK om het object FlexConfig te voltooien:
Afbeelding 33. FlexConfig-object maken
Opmerking: Het wordt ten zeerste aanbevolen om het ACL-besturingsvlak te configureren voor alleen de interfaces die binnenkomende VPN-sessies voor externe toegang ontvangen in de beveiligde firewall, zoals de Externe interface.
Stap 5. Ga verder met het maken van een FlexConfig-beleid. Navigeer hiervoor naar Flexconfig > FlexConfig-beleid, klik op de knop + en selecteer het object FlexConfig dat is gemaakt in stap 4.1:
Afbeelding 34. FlexConfig-beleid
Stap 5.1. Controleer of de voorvertoning van FlexConfig de juiste configuratie voor het aangemaakte ACL-controlevlak weergeeft en klik op de knop Opslaan:
Afbeelding 35. Voorbeeld van FlexConfig-beleid
Stap 6. Implementeer de configuratiewijzigingen in de FTD die u wilt beschermen tegen de brute force-aanvallen van VPN, klik hiervoor op de knop Implementatie in het bovenste menu, valideer dat de configuratiewijzigingen die moeten worden geïmplementeerd correct zijn en klik tot slot op NU IMPLEMENTEREN:
Afbeelding 36. Implementatie in behandeling
Stap 6.1. Controleren of de beleidsimplementatie succesvol is:
Afbeelding 37. Implementatie geslaagd
Stap 7. Als u een nieuwe ACL-controlevlak maakt voor uw FTD of als u een bestaande ACL hebt bewerkt die actief in gebruik is, is het belangrijk om te benadrukken dat de wijzigingen in de configuratie niet van toepassing zijn op reeds bestaande verbindingen met de FTD, daarom moet u handmatig de actieve verbindingspogingen met de FTD wissen. Maak hiervoor verbinding met de CLI van de FTD en wis de actieve verbindingen.
De actieve verbinding voor een specifiek host-IP-adres wissen:
> clear conn address 192.168.1.10 all
De actieve verbindingen voor een heel subnetnetwerk wissen:
> clear conn address 192.168.1.0 netmask 255.255.255.0 all
De actieve verbindingen voor een reeks IP-adressen wissen:
> clear conn address 192.168.1.1-192.168.1.10 all
Opmerking: Het is sterk aanbevolen om het zoekwoord allemaal aan het einde van de duidelijke conn adres opdracht gebruiken om het wissen van de actieve VPN brute force verbinding pogingen om de firewall te beveiligen, vooral wanneer de aard van de VPN brute force aanval is het starten van een explosie van constante verbinding pogingen.
Dit is de procedure die u moet volgen in een ASA CLI om een control plane ACL te configureren om inkomende VPN brute force-aanvallen naar de externe interface te blokkeren:
Stap 1. Meld u aan bij de beveiligde firewall ASA via CLI en krijg toegang tot de opdracht terminal configureren.
asa# configure terminal
Stap 2. Gebruik de volgende opdracht om een uitgebreide ACL te configureren om een host-IP-adres of netwerkadres te blokkeren voor het verkeer dat naar de ASA moet worden geblokkeerd.
In dit voorbeeld maakt u een nieuwe ACL genaamd ACL-UNWANTED-COUNTRY en de ACE-invoer geconfigureerd blokkeert VPN brute force-aanvallen afkomstig van het subnet 192.168.1.0/24:
asa(config)# access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
Stap 3. Gebruik de volgende toegangsgroep opdracht om de ACL-ONGEWENSTE-LAND ACL te configureren als een control plane ACL voor de buiten ASA interface:
asa(config)# access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Opmerking: Het wordt ten zeerste aanbevolen om het ACL-besturingsvlak te configureren voor alleen de interfaces die binnenkomende VPN-sessies voor externe toegang ontvangen in de beveiligde firewall, zoals de Externe interface.
Stap 4. Als u een nieuw controlevlak ACL maakt of als u een bestaande ACL hebt bewerkt die actief in gebruik is, is het belangrijk om te benadrukken dat de wijzigingen in de configuratie niet van toepassing zijn op reeds bestaande verbindingen met de ASA, daarom moet u handmatig de actieve verbindingspogingen met de ASA wissen. Maak hiervoor de actieve verbindingen leeg.
De actieve verbinding voor een specifiek host-IP-adres wissen:
asa# clear conn address 192.168.1.10 all
De actieve verbindingen voor een heel subnetnetwerk wissen:
asa# clear conn address 192.168.1.0 netmask 255.255.255.0 all
De actieve verbindingen voor een reeks IP-adressen wissen:
asa# clear conn address 192.168.1.1-192.168.1.10 all
Opmerking: Het is sterk aanbevolen om het zoekwoord allemaal aan het einde van de duidelijke conn adres opdracht gebruiken om het wissen van de actieve VPN brute force verbinding pogingen om de firewall te beveiligen, vooral wanneer de aard van de VPN brute force aanval is het starten van een explosie van constante verbinding pogingen.
In het geval van een onmiddellijke optie om aanvallen voor de beveiligde firewall te blokkeren, kunt u de opdracht shun gebruiken. Met de opdracht Theshunn kunt u verbindingen blokkeren van een aanvallende host, hier heeft u meer details over dit schuwe commando:
shun source_ip [ dest_ip source_port dest_port [ protocol]] [ vlan vlan_id]
no shun source_ip [ vlan vlan_id]
Als u een host-IP-adres wilt mijden, gaat u verder met dit voorbeeld voor de beveiligde firewall. In dit voorbeeld wordt de shun-opdracht gebruikt om brute force-aanvallen van VPN te blokkeren die afkomstig zijn van het IP-adres van de bron 192.168.1.10.
Stap 1. Meld u aan bij de FTD via CLI en pas de opdracht shun toe:
> shun 192.168.1.10
Shun 192.168.1.10 added in context: single_vf
Shun 192.168.1.10 successful
Stap 2. U kunt de opdracht show gebruiken om de afgesneden IP-adressen in de FTD te bevestigen en om het aantal afgesneden treffers per IP-adres te controleren:
> show shun shun (outside) 192.168.1.10 0.0.0.0 0 0 0
> show shun statistics diagnostic=OFF, cnt=0 outside=ON, cnt=0 Shun 192.168.1.10 cnt=0, time=(0:00:28)
Stap 1. Meld u aan bij de ASA via CLI en pas de opdracht shun toe:
asa# shun 192.168.1.10
Shun 192.168.1.10 added in context: single_vf
Shun 192.168.1.10 successful
Stap 2. U kunt de show commando's gebruiken om de shun IP-adressen in de ASA te bevestigen en om de shun hit tellingen per IP-adres te controleren:
asa# show shun shun (outside) 192.168.1.10 0.0.0.0 0 0 0
asa# show shun statistics outside=ON, cnt=0 inside=OFF, cnt=0 dmz=OFF, cnt=0 outside1=OFF, cnt=0 mgmt=OFF, cnt=0 Shun 192.168.1.10 cnt=0, time=(0:01:39)
Opmerking: Raadpleeg de referentie van het Cisco Secure Firewall Threat Defence Command voor meer informatie over de opdracht Beveiligde firewallbeveiliging vermijden
Ga als volgt te werk om te bevestigen dat de ACL-configuratie van het controlevlak aanwezig is voor de beveiligde firewall:
Stap 1. Meld u aan bij de beveiligde firewall via CLI en voer de volgende opdrachten uit om te bevestigen dat de ACL-configuratie van het controlevlak is toegepast.
Voorbeeld van de output voor de door het FMC beheerde FTD:
> show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
> show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Outputvoorbeeld voor de door de FDM beheerde FTD:
> show running-config object id OBJ-NET-UNWANTED-COUNTRY
object network OBJ-NET-UNWANTED-COUNTRY
subnet 192.168.1.0 255.255.255.0
> show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any4 log default
> show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Output voorbeeld voor ASA:
asa# show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
asa# show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Stap 2. Om te bevestigen dat het control plane ACL het vereiste verkeer blokkeert, gebruikt u de packet-tracer-opdracht om een inkomende TCP 443-verbinding met de buiteninterface van de beveiligde firewall te simuleren en gebruikt u vervolgens de show access-list <acl-name>-opdracht. De ACL hit count kan worden verhoogd telkens wanneer een VPN brute force-verbinding met de beveiligde firewall wordt geblokkeerd door het control plane ACL.
In dit voorbeeld simuleert de opdracht packet-tracer een inkomende TCP 443-verbinding afkomstig van host 192.168.1.10 en bestemd voor het externe IP-adres van onze beveiligde firewall. De packet-tracer uitgang bevestigt dat het verkeer wordt weggelaten en de show access-list uitgang geeft de hit count stappen voor onze control plane ACL op zijn plaats:
Output voorbeeld voor FTD
> packet-tracer input outside tcp 192.168.1.10 1234 10.3.3.251 443 Phase: 1 Type: ACCESS-LIST Subtype: log Result: DROP Elapsed time: 21700 ns Config: Additional Information: Result: input-interface: outside(vrfid:0) input-status: up input-line-status: up Action: drop Time Taken: 21700 ns Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame 0x00005623c7f324e7 flow (NA)/NA
> show access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY; 1 elements; name hash: 0x42732b1f
access-list ACL-UNWANTED-COUNTRY line 1 extended deny ip 192.168.1.0 255.255.255.0 any (hitcnt=1) 0x142f69bf
asa# packet-tracer input outside tcp 192.168.1.10 1234 10.3.3.5 443 Phase: 1 Type: ACCESS-LIST Subtype: Result: ALLOW Elapsed time: 19688 ns Config: Implicit Rule Additional Information: MAC Access list Phase: 2 Type: ACCESS-LIST Subtype: log Result: DROP Elapsed time: 17833 ns Config: Additional Information: Result: input-interface: outside input-status: up input-line-status: up Action: drop Time Taken: 37521 ns Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame 0x0000556e6808cac8 flow (NA)/NA asa# show access-list ACL-UNWANTED-COUNTRY access-list ACL-UNWANTED-COUNTRY; 1 elements; name hash: 0x42732b1f access-list ACL-UNWANTED-COUNTRY line 1 extended deny ip 192.168.1.0 255.255.255.0 any (hitcnt=1) 0x9b4d26ac
Opmerking: Als een RAVPN-oplossing zoals de Cisco Secure Client VPN wordt geïmplementeerd in de beveiligde firewall, kan een echte verbindingspoging naar de beveiligde firewall worden uitgevoerd om te bevestigen dat de ACL van het besturingsvlak werkt zoals verwacht om het vereiste verkeer te blokkeren.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
2.0 |
10-Apr-2025
|
Opmaak, alt-tekst, vaste kopteksten, DEI-taal |
1.0 |
21-Dec-2023
|
Eerste vrijgave |