基于时间的访问控制列表及ASA 防火墙ACL 的添加技巧

基于时间的访问控制列表及ASA 防火墙ACL 的添加技巧

2010-08-10 15:28:55| 分类： ACL | 标签： |字号大中小 订阅 最近做项目正好碰到，就随便记录了一下

基于时间的访问控制列表

一 建立时间范围

基于时间的访问控制列表实际上是扩展ACL 的延伸，使用time-range 关键字来指定ACL 语句的有效时间和发生的周期，时间周期可以是重复的，例如每天10到12点，或者是绝对的只发生一次。

下面我就对基于时间访问控制列表的一些关键字做一个解释 time-range

使用time-range 建立时间的范围 如 time-range[ time-range-name] 必须给这个时间范围给一个唯一的名称。名称必须以字母开头，不可以用空格。我们后面会使用这个名称将这个时间范围关联的指定的ACL 上。

执行 time-range[ time-range-name] 进入子配置模式，可以使用两种类型的时间范围，

? Absolute (只执行一次) 指定单个时间周期，在此周期有效，Absolute 命令指定一个开始时间和一个结束时间，以24 小时制。

? Periodic (重复性，周期性) 命令指定一个重复发生的时间周期，在这个周期范围内的时间是有效的。可以使用一下的关键字 Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday、daily (每天)、weekdays （星期一到星期五）、weekend （星期六到星期天）以24 小时制。

二 激活时间范围

建立了时间范围之后，需要激活。这是通过将time-range 参数添加到ACL 语句中来激活它，命名和扩展的ACL 都支持时间范围。

例如 access-list 100 permit tcp any any time-range [ time-range-name] 三 实例

下面我举例说明 基于时间的ACL 使用方法 以 telnet 为列 拓扑图如下

要求：

内网有两台主机R2 R3 ，R1 为一台telnet 服务器，ASA3 为防火墙，现在要求R2任何时间都可以登录R1 而R3 只有每天的下午13:00到15:00可以登录

ASA3配置如下： ? 定义时间段

ASA(config)# time-range http（名字）

ASA(config-time-range)# periodic daily 13:00 to 18:00 ? 激活时间范围

ASA(config)# access-list 101 extended permit tcp host 192.168.1.2 host 200.1.1.2 eq telnet ASA(config)# access-list 101 extended permit tcp host 192.168.1.3 host 200.1.1.2 eq telnet time-range http （关联）

? 应用于接口

ASA(config)#access-group 101 in interface inside

u 注意：ACL 最后都有隐含deny语句，如果定义单个人或段的时间限制，可以放在考前的位置。

四 ASA 防火墙ACL 添加技巧

ASA 添加ACL 形式和路由器差不多但是有区别，就拿刚才的access-list 101 来说 首先查看access-list 101

ciscoasa(config)# show access-list 101

access-list 101 line 1 extended permit tcp host 192.168.1.2 host 200.1.1.2 eq telnet (hitcnt=0) 0x4e89766a

access-list 101 line 2 extended permit tcp host 192.168.1.3 host 200.1.1.2 eq telnet time-range http (hitcnt=0) 0x9f79748b

如果要将access-list 101 permit udp any any 添加在

access-list 101 line 1 extended permit tcp host 192.168.1.2 host 200.1.1.2 eq telnet 之前 在全局配置模式下输入

ciscoasa(config)# access-list 101 line 1 extended permit udp any any ? 产看ACL 101

ciscoasa(config)# show access-list 101

access-list 101 line 1 extended permit udp any any (hitcnt=0) 0xa5cf1266

access-list 101 line 2 extended permit tcp host 192.168.1.2 host 200.1.1.2 eq telnet (hitcnt=0) 0x4e89766a

access-list 101 line 3 extended permit tcp host 192.168.1.3 host 200.1.1.2 eq telnet time-range http (hitcnt=0) 0x9f79748b

你会看之前到access-list 101 line 1 extended permit tcp host 192.168.1.2 host 200.1.1.2 eq telnet 的line 1 ，改变为现在的line 2。序列号都会相应的往后退。

本文来源：https://www.bwwdw.com/article/yiv2.html