标签：CONTROL anyconnect Cisco 黑名单 防火墙 流量 PLANE 平面

控制平面的ACL管理到达防火墙本身的流量

数据平面的ACL管理穿过防火的流量

有时候我们会遇到***，就是用户尝试登陆***，这个时候你可以在防火墙或者aaa服务器上看到，我们就要把这些尝试登陆的Ip地址加入黑名单

一般情况下，我们防火墙outside 列表是方向管理穿过防火墙流量的也就是数据平面的流量，但是直接去往防火墙本身的流量也就是控制平面的流量我们默认是放行的，因为客户需要***连接到***网关，防火墙需要和别的防火墙建立ipsec *** 隧道，但如果有恶意用户尝试登陆***，我们就可以用一下方法把这些IP地址加入黑名单

object-group network CONTROL-PLANE-BLOCK

#这个地址就是黑名单

network-object  193.*.*.0 255.255.255.0

access-list  CONTROL_PLANE  remark **ACL to block offending IP **

access-list  CONTROL_PLANE extended deny ip object-group CONTROL-PLANE-BLOCK any

access-list CONTROL_PLANE extended permit ip any any

#把这个列表加载outside 接口，这个接口默认是带外访问的接口

access-group  CONTROL_PLANE in interface outside control-plane

标签：CONTROL,anyconnect,Cisco,黑名单,防火墙,流量,PLANE,平面
来源： https://blog.51cto.com/bobo5620301/2848784

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。