Cisco ASA - Permit/Deny Traffic Domain name FQDN

refer to:
https://www.fir3net.com/Firewalls/Cisco/cisco-asa-domain-fqdn-based-acls.html

dns domain-lookup outside
DNS server-group China_Telecom_SH_DNS
  name-server 202.96.209.133 202.96.209.5
  domain-name Oneitc.local

object network obj-i1.mallcoo.cn
 fqdn i1.mallcoo.cn

no access-list 200 extended permit ip object-group Reception-Desktop-with-liminatioin object-group Mallcoo-Server log
no access-list 200 extended deny ip object-group Reception-Desktop-with-liminatioin any log
no access-list 200 extended permit ip any any log 

access-list 200 extended permit ip object-group Reception-Desktop-with-liminatioin object obj-i1.mallcoo.cn
access-list 200 extended permit ip object-group Reception-Desktop-with-liminatioin object-group Mallcoo-Server log
access-list 200 extended deny ip object-group Reception-Desktop-with-liminatioin any log

sh access-list acl-inside
sh dns
dns expire-entry-timer minutes <minute>

原文地址：https://blog.51cto.com/zhangfang526/2486145

时间： 2024-10-10 08:56:38

Cisco ASA - Permit/Deny Traffic Domain name FQDN的相关文章

Cisco ASA SSLVPN NPS Radius Domain

在远程建立sslvpn通过Cisco的5512 防火墙,同时用 windows 2012 作为NPS服务器,另外一台2012为AD服务器要求实现: 外部用户可以通过 SSL VPN登陆内网,不过验证是用 Windows 域账户,并通过Radius服务让的 NPS服务器验证. 具体的实现参看下面的文档,这里我对我的环境截图: 首先是ASA的配置: aaa-server NPS protocol radiusaaa-server NPS (inside) host 172.16.20.29 ke

在Cisco ASA上实验使用RRI的全互连Site to Site IPSec VPN

拓扑图如上. 说明:ASA1.2.3模拟分支边界网关,并启用PAT.R1.2.3模拟各内网设备. 要求:在ASA1.2.3上配置Site to Site VPN,实现全互联并配置反向路由注入(RRI),R1.2.3可以使用私有IP加密通信,不要求使用loopback IP通信:R1.2.3上有去往各私网的路由(通过RRI). 配置如下: ASA1: ciscoasa>en ciscoasa# conf t //基本配置部分 ciscoasa(config)# hostname ASA1 AS

多子网Cisco ASA to AWS IPSEC ××× 问题

最近遇到一个很妖的问题, Cisco ASA to AWS IPSEC CPN Asa 这边有多个子网,每次只能一个子网和AWS 通信,别的就是不通. 配置如下. ASA 10.10.55.0 255.255.255.010.10.66.0 255.255.255.010.10.77.0 255.255.255.0 To AWS 172.21.84.0 255.255.252.0 比如 10.10.55.0 to 172.21.84.0 通了,那别的肯定不通. CISCO ASA to AWS

CISCO ASA 如何选择出接口

CISCO路由器什么时候路由优先,什么时候NAT优先可能大家都知道,INSIDE进先路由,OUTSIDE进先NAT. 好了,那么对于CISCO ASA却不是这样的情况,大部分上还是先查找路由如果数据从inside进,在两种情况下NAT会优先路由去确认出接口. 做了目的NAT转换 static NAT session存在知道这个功能后,我们再来看下如下两个CASE CISCO ASA虽然没有PBR功能,但是依然能做到双线分流 ASA 8.3以上版本做了L2L VPN后无法通过隧道管理防火墙,即管

CISCO ASA NAT 回流解决方案

实际案例中也不少碰到此类问题,客户内网有台服务器映射在互联网上,外网用户访问Global-IP没问题,但是内网用户想要访问Global-IP就会不通,典型的就是用户将内网服务器做了公网DNS A记录,无论内外网均通过域名访问. JUNIPER系列设备包括Netscreen/ISG/SSG没有这类问题,直接通过普通的DIP即可实现,后续产品SRX防火墙也需通过双向NAT来解决,下面通过CISCO ASA来解决这个CASE,JUNIPER SRX解决原理类似. 假想拓扑如下: ASA内网网段192.

cisco ASA 8.4（5）服务端口转发配置及天融信，USG配置图示

cisco ASA 8.4(5)服务端口转发配置及天融信,USG配置图示北京最热的日子,被人邀请调试一个ASA5540.需求很简单,十来个人上网,另外就是VMware对外服务,也就是TCP443,TCP8443以及邪恶的4172. 因为运营商对WWW,https等服务进行了限制,需要另外申请,为了方便所以朋友希望将https转换为TCP8888(这是多想发财啊). 下面就是配置,因为版本不同找了一些资料,都不全,所以笔者将全过程记录方便大家提出批评. 第一步: 建立内网IP object ob

Cisco ASA基础（一）

今天介绍一下目前Cisco ASA 5500系统常见的六种型号: ASA首先是一个状态化防火墙,用于维护一个关于用户信息的连接表,称为Conn表.表的关键信息:状态化防火墙进行状态化处理的过程:①:pc向web服务器发送一个HTTP请求:②:HTTP请求到达防火墙,防火墙将连接信息添加到Conn表中:③:防火墙将HTTP请求转发给web服务器.流量返回时,状态化防火墙处理的过程如下所述:①:web服务器相应HTTP请求,返回相应的数据流量:②:防火墙拦截该流量,检查其连接信息:如果在Conn表中

Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚拟专用网（解决出差员工访问内网的问题）

在Cisco ASA防火墙上配置远程访问虚拟专用网(Easy 虚拟专用网)原理和路由器一样,对Easy 虚拟专用网原理不清楚的朋友可以参考博文Cisco路由器实现远程访问虚拟专用网--Easy虚拟专用网(解决出差员工访问内网的问题) 在路由器上配置和在防火墙上配置终归还是会区别的.这里就直接开始配置了,不再详细的介绍了! 在防火墙上实现IPSec 虚拟专用网技术可以参考博文Cisco ASA防火墙实现IPSec 虚拟专用网,可跟做!!! 一.案例环境由于模拟器的原因,导致防火墙不能和终端设备相

cisco ASA ios升级或恢复

cisco ASA ios升级或恢复一.升级前准备工作 1.准备好所要升级的IOS文件及对应的ASDM文件 2.在一台电脑上架设好tftp,设置好目录,与防火墙进行连接(假设电脑IP为192.168.1.2) 二.升级步骤 1.telnet上ASA ASA>en //进入特权模式 ASA#conft //进入配置模式 2.查看ASA上的文件.版本信息及启动文件 ASA(config)#dir //查看asa上