Ограничение SSL-VPN для ASA на основе IP

JeffreyyM

Здравствуйте, У нас есть Cisco ASA 5516 с версией 9.16(1). В связи с уязвимостью, обнаруженной на прошлой неделе (
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB#vp
), мы хотим ограничить доступ Anyconnect к брандмауэру на основе IP-адресов. Есть несколько причин, по которым мы не обновляем прошивку до последней версии. Я провел небольшое исследование и обнаружил, что можно добавить ACL на контрольной плоскости. Это должно повлиять на доступ к самому ASA. Я не уверен, как настроить сам ACL, должно ли это быть что-то вроде этого: хосты, которым необходимо разрешить доступ: x.x.x.x и y.y.y.y
access-list OUTSIDE_MGMT_IN extended permit tcp host x.x.x.x interface outside eq 443
access-list OUTSIDE_MGMT_IN extended permit tcp host y.y.y.y interface outside eq 443
access-list OUTSIDE_MGMT_IN extended deny tcp any interface outside eq 443
access-list OUTSIDE_MGMT_IN extended permit ip any any И не влияет ли это на правила доступа к управлению, которые настроены в ASDM, показанные ниже: ![JeffreyyM_0-1760350447363.png]

balaji.bandi

Да, вы можете разрешить требуемому IP-адресу подключаться к удаленному VPN. Пример и руководство ниже: https://www.cisco.com/c/en/us/support/docs/security/secure-firewall-threat-defense/221457-configure-control-plane-access-control-p.html BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью к сообществу Cisco

JeffreyyM

Спасибо,
@balaji.bandi
. Я протестировал это на запасном ASA, который у нас был, и все работало отлично.