У меня Cisco ASA5510 с версией прошивки 8.0 (5).
Я хотел бы ограничить исходные IP-адреса, которым разрешен доступ к маршрутизатору через WebVPN (порт 443). Вот соответствующая часть конфига.
access-list outside_access_in extended permit ip host 59.59.59.140 any
access-list outside_access_in extended deny ip any any
[...]
access-group outside_access_in in interface outside
[...]
webvpn
enable outside
svc image disk0:/anyconnect-win-2.3.0254-k9.pkg 1
svc enable
tunnel-group-list enable
Тем не менее, мой порт webvpn доступен со всего мира. Как я могу это исправить?
сначала определите расширенный ACL, который разрешает определенные адреса источника для VPN / WEBVPN, я использовал имя Интернет
ciscoasa(config)# access-list internet extended permit tcp host 59.59.59.140 any
ciscoasa(config)# access-list internet extended deny ip any any
затем свяжите расширенный ACL с командой access-group и опцией самолет управления все вместе
ciscoasa(config)# access-group internet in interface outside control-plane
это должно работать с вашей версией 8.x (в справочнике по командам ASA этот параметр указан в 8.x)
Вы можете применить правило доступа к управлению к плану управления asa и эффективно разрешить / запретить доступ к адресу webvpn определенным адресам источника. Пожалуйста, укажите следующее: http://www.cisco.com/c/en/us/td/docs/security/asa/asa83/asdm63/configuration_guide/config/access_management.html
А пока выяснил, что точного решения этой проблемы нет :(
В соответствии с Форумы поддержки Cisco, нет возможности заблокировать webvpn с помощью списков доступа.
Возможные решения проблемы: