Здравствуйте, У нас есть Cisco ASA 5516 с версией 9.16(1). В связи с уязвимостью, обнаруженной на прошлой неделе (
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB#vp
), мы хотим ограничить доступ Anyconnect к брандмауэру на основе IP-адресов. Есть несколько причин, по которым мы не обновляем прошивку до последней версии. Я провел небольшое исследование и обнаружил, что можно добавить ACL на контрольной плоскости. Это должно повлиять на доступ к самому ASA. Я не уверен, как настроить сам ACL, должно ли это быть что-то вроде этого: хосты, которым необходимо разрешить доступ: x.x.x.x и y.y.y.y
access-list OUTSIDE_MGMT_IN extended permit tcp host x.x.x.x interface outside eq 443
access-list OUTSIDE_MGMT_IN extended permit tcp host y.y.y.y interface outside eq 443
access-list OUTSIDE_MGMT_IN extended deny tcp any interface outside eq 443
access-list OUTSIDE_MGMT_IN extended permit ip any any И не влияет ли это на правила доступа к управлению, которые настроены в ASDM, показанные ниже: ![JeffreyyM_0-1760350447363.png]

]]>https://sla247.ru/forum/topic/2393/ограничение-ssl-vpn-для-asa-на-основе-ipRSS for NodeFri, 15 May 2026 12:13:24 GMTMon, 02 Mar 2026 12:42:11 GMT60Спасибо,
@balaji.bandi
. Я протестировал это на запасном ASA, который у нас был, и все работало отлично.

]]>https://sla247.ru/forum/post/16796https://sla247.ru/forum/post/16796Mon, 02 Mar 2026 12:42:13 GMTДа, вы можете разрешить требуемому IP-адресу подключаться к удаленному VPN. Пример и руководство ниже: https://www.cisco.com/c/en/us/support/docs/security/secure-firewall-threat-defense/221457-configure-control-plane-access-control-p.html BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью к сообществу Cisco

]]>https://sla247.ru/forum/post/16795https://sla247.ru/forum/post/16795Mon, 02 Mar 2026 12:42:12 GMT