documentación acl - firewall asa

1. Configuracin y Documentacin de ACL y Firewall ASAGESTIN DE REDES DE DATOSSERVICIO NACIONAL DE APRENDIZAJEDIEGO LEON GIL BARRIENTOSGELIER ESTEBAN MORENO GMEZFicha: 464327

2. 1Una Lista de Control de Acceso o ACL (del ingls, Access Control List) es un concepto de seguridad informtica usado para fomentar la separacin de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.Las ACLs permiten controlar el flujo del trfico en equipos de redes, tales como routers y switches. Su principal objetivo es filtrar trfico, permitiendo o denegando el trfico de red de acuerdo a alguna condicin. Sin embargo, tambin tienen usos adicionales, como por ejemplo, distinguir trfico interesante (trfico suficientemente importante como para activar o mantener una conexin) en ISDN.Las listas de acceso funcionan de acuerdo a sentencias que son configuradas en el router. 3. 2 En redes de computadoras, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que estn disponibles en una terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tantos servidores individuales como routers pueden tener ACLs de redes.Las listas de acceso de control pueden configurarse generalmente para controlar trfico entrante y saliente y en este contexto son similares a unos cortafuegos.Existen dos tipos de ACL: ACL estndar, donde solo tenemos que especificar una direccin de origen; ACL extendida, en cuya sintaxis aparece el protocolo y una direccin de origen y de destino. Las Acl por defecto bloquean todo el trfico con una linea que se conoce como linea implcita. Las sentencias se ejecutan lnea a lnea hasta que se encuentra una coincidencia. Cuando una linea hace match el resto de las sentencias no se revisan. Solo se puede aplicar 1 acl por interfaz y por protocolo. Hay que considerar el flujo del trfico para aplicar la acl en la interfaz correspondiente. 4. 3ACTIVIDAD ACLTenemos la siguiente topologa:Debemos cumplir los siguientes propsitos: Las redes inalmbricas solo deben tener acceso a internet, no a las dems redes. Las redes cableadas solo deben tener acceso al servidor 172.16.9.2, no a las dems mquinas de ese segmento.Lo primero que hicimos en la topologa fue realizar un correcto enrutamiento en general de los dispositivos para probar conectividad y eficacia de la topologa.NOTA: Primero hacer el debido enrutamiento sin aplicar ACLs, por que podramos tener problemas de conectividad y nos podramos confundir si es la ACL que se est aplicando o problemas generales de la topologa.La lista que aplicamos para que las redes inalmbricas del lado izquierdo no tengan acceso a las dems redes, pero s a internet fue: 5. 4En el siguiente requerimiento de este lado: Las redes inalmbricas solo deben tener acceso a internet, no a las dems redes. Las redes cableadas solo deben tener acceso al servidor 172.16.9.2, no a las dems mquinas de ese segmento. 6. 5En la lista de acceso la diseamos desconociendo que podamos tener dos listas de acceso, por lo tanto diseamos una sola para que cumpliramos los parmetros aplicando la ACL en una sola interfaz de trafico INSIDE.Cumplimos con los parmetros pero si notamos bien la ACL estamos permitiendo el trfico origen desde el servidor en especfico, hacia las dems redes por lo tanto analizando; el trfico desde las redes remotas si permite entrar al servidor pero la ACL no permite que vaya a algunas redes, inalmbricas por ejemplo.Las running-config de los routers son las siguientes: 7. 6Router 0version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname Router0!boot-start-markerboot-end-marker!logging message-counter syslogenable secret 5 $1$boin$EYAhWq60EmH/0IdqmmFN9.!no aaa new-modelmemory-size iomem 5!dot11 syslogip source-route!!ip cef!!no ipv6 cef!multilink bundle-name authenticated!voice-card 0!archivelog confighidekeys!!interface FastEthernet0/0ip address 172.16.0.1 255.255.255.0ip access-group 101 induplex autospeed auto!interface FastEthernet0/1ip address 172.16.1.129 255.255.255.128duplex autospeed auto 8. 7!interface Serial0/0/0ip address 172.16.2.1 255.255.255.0clock rate 64000!interface Serial0/0/1no ip addressshutdownclock rate 125000!interface Serial0/2/0no ip addressshutdownclock rate 2000000!interface Serial0/2/1no ip addressshutdownclock rate 2000000!ip forward-protocol ndip route 0.0.0.0 0.0.0.0 172.16.2.2ip route 172.16.8.0 255.255.255.0 172.16.2.2ip route 192.168.10.0 255.255.255.0 172.16.2.2no ip http serverno ip http secure-server!access-list 101 deny ip host 172.16.0.5 172.16.4.0 0.0.1.255access-list 101 deny ip host 172.16.0.5 172.16.8.0 0.0.0.255access-list 101 deny ip host 172.16.0.5 172.16.9.0 0.0.0.255access-list 101 deny ip host 172.16.0.5 172.16.1.128 0.0.0.127access-list 101 deny ip host 172.16.0.5 172.16.0.0 0.0.0.255access-list 101 permit ip 172.16.0.0 0.0.0.255 any!control-plane!!line con 0line aux 0line vty 0 4login!scheduler allocate 20000 1000end 9. 8Router 4version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname router4!boot-start-markerboot-end-marker!logging message-counter syslogenable secret 5 $1$zisT$0aGPV.UGpI7.aMt2F8Y3T0!no aaa new-model!dot11 syslogip source-route!!ip cef!!no ipv6 cef!multilink bundle-name authenticated!!voice-card 0!archivelog confighidekeys!interface Loopback1ip address 200.200.200.200 255.255.255.0!interface FastEthernet0/0no ip addressduplex autospeed auto!interface FastEthernet0/0.4encapsulation dot1Q 4ip address 172.16.4.1 255.255.254.0! 10. 9interface FastEthernet0/0.8encapsulation dot1Q 8ip address 172.16.8.1 255.255.255.0!interface FastEthernet0/1ip address 172.16.9.1 255.255.255.0ip access-group 101 induplex autospeed auto!interface Serial0/0/0ip address 172.16.2.2 255.255.255.0!interface Serial0/0/1no ip addressshutdownclock rate 125000!ip forward-protocol ndip route 172.16.0.0 255.255.255.0 172.16.2.1ip route 172.16.1.128 255.255.255.128 172.16.2.1no ip http serverno ip http secure-server!access-list 101 permit ip host 172.16.9.2 172.16.4.0 0.0.1.255access-list 101 permit ip host 172.16.9.2 172.16.8.0 0.0.0.255access-list 101 permit ip host 172.16.9.2 172.16.1.128 0.0.0.127access-list 101 permit ip host 172.16.9.2 172.16.0.0 0.0.0.255access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.4.0 0.0.1.255access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.8.0 0.0.0.255access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.1.128 0.0.0.127access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.0.0 0.0.0.255access-list 101 permit ip 172.16.9.0 0.0.0.255 any!!control-plane!line con 0line aux 0line vty 0 4login!scheduler allocate 20000 1000end 11. 10Para la lista de acceso correcta para el Router 4 es as, aplicando 2 listas de acceso.Router 4 # ethernet 101 outaccess-list 101 permit ip 172.16.4.0 0.0.3.255 host 172.16.9.2access-list 101 permit ip 172.16.8.0 0.0.0.255 host 172.16.9.2access-list 101 permit ip 172.16.1.128 0.0.0.127 host 172.16.9.2access-list 101 permit ip 172.16.0.0 0.0.0.255 host 172.16.9.2Router 4 # ethernet 102 inaccess-list 102 permit ip host 172.16.9.2 anyaccess-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.4.0 0.0.3.255access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.8.0 0.0.0.255access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.1.128 0.0.0.127access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.0.0 0.0.0.255access-list 102 permit ip 172.16.9.0 0.0.0.255 anyConfiguracin y Documentacin Firewall ASALa topologa planteada es la siguiente: 12. 11Segn los requerimientos pedidos por nuestra instructora correspondiente al 6 trimestre, nos vale como actividad de Firewall ASA la actividad planteada para el concurso SENASOFT, los requerimientos son los siguientes: 13. 12Las configuraciones fueron las siguientes, en el caso de los routers:Router PROMETEO! Last configuration change at 16:01:05 UTC Wed Aug 20 2014version 15.3service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname PROMETEO!boot-start-markerboot-end-marker!aqm-register-fnf!!no aaa new-model!ip cefno ipv6 cef!multilink bundle-name authenticated!voice-card 0!license udi pid CISCO2901/K9 sn FTX155183CSlicense accept end user agreementlicense boot module c2900 technology-package securityk9license boot module c2900 technology-package uck9license boot module c2900 technology-package datak9redundancy! 14. 13interface Embedded-Service-Engine0/0no ip addressshutdown!interface GigabitEthernet0/0ip address 10.0.0.2 255.0.0.0duplex autospeed auto!interface GigabitEthernet0/1no ip addressduplex autospeed auto!interface GigabitEthernet0/1.1encapsulation dot1Q 2ip address 192.168.10.1 255.255.255.248ip helper-address 192.168.10.26!interface GigabitEthernet0/1.2encapsulation dot1Q 8ip address 192.168.10.9 255.255.255.248ip helper-address 192.168.10.26!interface GigabitEthernet0/1.3encapsulation dot1Q 16ip address 192.168.10.17 255.255.255.248ip helper-address 192.168.10.26!interface GigabitEthernet0/1.4encapsulation dot1Q 24ip address 192.168.10.25 255.255.255.248ip helper-address 192.168.10.26!interface GigabitEthernet0/1.5encapsulation dot1Q 5ip address 192.168.20.1 255.255.255.248ip helper-address 192.168.10.26!interface GigabitEthernet0/1.6encapsulation dot1Q 6ip address 192.168.20.9 255.255.255.248ip helper-address 192.168.10.26! 15. 14interface GigabitEthernet0/1.7encapsulation dot1Q 7ip address 192.168.20.17 255.255.255.248ip helper-address 192.168.10.26!interface Serial0/0/0no ip addressshutdownclock rate 2000000!interface Serial0/0/1no ip addressshutdownclock rate 2000000!!ip forward-protocol nd!no ip http serverno ip http secure-server!ip route 0.0.0.0 0.0.0.0 10.0.0.1!control-plane!!mgcp behavior rsip-range tgcp-onlymgcp behavior comedia-role nonemgcp behavior comedia-check-media-src disablemgcp behavior comedia-sdp-force disable!mgcp profile default!gatekeepershutdown!line con 0line aux 0line 2no activation-characterno exectransport preferred nonetransport input alltransport output pad telnet rlogin lapb-ta mop udptn v120 sshstopbits 1 16. 15line vty 0 4logintransport input all!scheduler allocate 20000 1000!endRouter ATLASBuilding configuration...Current configuration : 1630 bytes!! Last configuration change at 15:32:27 UTC Wed Aug 20 2014version 15.1service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname ATLAS!boot-start-markerboot-end-marker!no aaa new-model!no ipv6 cefip source-routeip cef!multilink bundle-name authenticated!crypto pki token default removal timeout 0!!voice-card 0!license udi pid CISCO2901/K9 sn FTX155183DRlicense accept end user agreementlicense boot module c2900 technology-package securityk9license boot module c2900 technology-package uck9license boot module c2900 technology-package datak9!! 17. 16username cisco privilege 15 secret 5 $1$uEPV$m2c2Y6nAfqpn5QWx2BgMJ.!redundancy!interface Embedded-Service-Engine0/0no ip addressshutdown!interface GigabitEthernet0/0ip address 30.0.0.2 255.0.0.0duplex autospeed auto!interface GigabitEthernet0/1ip address 40.0.0.1 255.0.0.0duplex autospeed auto!interface Serial0/0/0no ip addressshutdownclock rate 2000000!interface Serial0/0/1no ip addressshutdownclock rate 2000000!!ip forward-protocol nd!no ip http serverno ip http secure-server!ip route 0.0.0.0 0.0.0.0 30.0.0.1!control-plane!!mgcp profile default!gatekeepershutdown 18. 17line con 0line aux 0line 2no activation-characterno exectransport preferred nonetransport input alltransport output pad telnet rlogin lapb-ta mop udptn v120 sshstopbits 1line vty 0 4exec-timeout 5 0logintransport input ssh!scheduler allocate 20000 1000endSWITCH DE LAS VLANs LOCALESCurrent configuration : 4102 bytes!version 12.2no service padservice timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname SWITCH_SENASOFT!boot-start-markerboot-end-marker!!no aaa new-modelsystem mtu routing 1500ip subnet-zero!crypto pki trustpoint TP-self-signed-2674122752enrollment selfsignedsubject-name cn=IOS-Self-Signed-Certificate-2674122752revocation-check nonersakeypair TP-self-signed-2674122752!spanning-tree mode pvstspanning-tree extend system-id! 19. 18vlan internal allocation policy ascending!interface FastEthernet0/1switchport mode trunk!interface FastEthernet0/2!interface FastEthernet0/3switchport access vlan 2switchport mode access!interface FastEthernet0/4switchport access vlan 2switchport mode access!interface FastEthernet0/5switchport access vlan 2switchport mode access!interface FastEthernet0/6switchport access vlan 2switchport mode access!interface FastEthernet0/7switchport access vlan 8switchport mode access!interface FastEthernet0/8switchport access vlan 8switchport mode access!interface FastEthernet0/9switchport access vlan 8switchport mode access!interface FastEthernet0/10switchport access vlan 8switchport mode access!interface FastEthernet0/11switchport access vlan 16switchport mode access!interface FastEthernet0/12switchport access vlan 16switchport mode access! 20. 19interface FastEthernet0/13switchport access vlan 16switchport mode access!interface FastEthernet0/14switchport access vlan 16switchport mode access!interface FastEthernet0/15switchport access vlan 24switchport mode access!interface FastEthernet0/16switchport access vlan 24switchport mode access!interface FastEthernet0/17switchport access vlan 24switchport mode access!interface FastEthernet0/18switchport access vlan 24switchport mode access!interface FastEthernet0/19switchport access vlan 5switchport mode access!interface FastEthernet0/20switchport access vlan 5switchport mode access!interface FastEthernet0/21switchport access vlan 6switchport mode access!interface FastEthernet0/22switchport access vlan 6switchport mode access!interface FastEthernet0/23switchport access vlan 7switchport mode access!interface FastEthernet0/24switchport access vlan 7switchport mode access 21. 20!interface GigabitEthernet0/1!interface GigabitEthernet0/2!interface Vlan1no ip addressno ip route-cacheshutdown!ip http serverip http secure-server!control-plane!!line con 0line vty 0 4loginline vty 5 15login!EndFIREWALL ASAASA Version 9.1(3)!hostname FIREWALLenable password 8Ry2YjIyt7RRXU24 encryptedxlate per-session deny tcp any4 any4xlate per-session deny tcp any4 any6xlate per-session deny tcp any6 any4xlate per-session deny tcp any6 any6xlate per-session deny udp any4 any4 eq domainxlate per-session deny udp any4 any6 eq domainxlate per-session deny udp any6 any4 eq domainxlate per-session deny udp any6 any6 eq domainnames!interface Ethernet0/0nameif insidesecurity-level 100ip address 10.0.0.1 255.0.0.0! 22. 21interface Ethernet0/1nameif DMZsecurity-level 50ip address 20.0.0.1 255.0.0.0!interface Ethernet0/2nameif outsidesecurity-level 0ip address 30.0.0.1 255.0.0.0!interface Ethernet0/3shutdownno nameifno security-levelno ip address!interface Management0/0shutdownno nameifno security-levelno ip address!ftp mode passiveobject network dmz-internetsubnet 20.0.0.0 255.0.0.0object network inside-internetsubnet 0.0.0.0 0.0.0.0object network webserver-external-iphost 30.0.0.4object network webserverhost 20.0.0.2access-list outside_acl extended permit tcp any object webserver eq wwwpager lines 24mtu inside 1500mtu DMZ 1500mtu outside 1500icmp unreachable rate-limit 1 burst-size 1no asdm history enablearp timeout 14400no arp permit-nonconnectednat (inside,outside) source dynamic inside-internet interfacenat (DMZ,outside) source dynamic dmz-internet interface!object network webservernat (DMZ,outside) static webserver-external-ip service tcp www wwwaccess-group outside_acl in interface outside 23. 22route outside 0.0.0.0 0.0.0.0 30.0.0.2 1route inside 192.168.10.0 255.255.255.248 10.0.0.2 1route inside 192.168.10.8 255.255.255.248 10.0.0.2 1route inside 192.168.10.16 255.255.255.248 10.0.0.2 1route inside 192.168.10.24 255.255.255.248 10.0.0.2 1route inside 192.168.20.0 255.255.255.248 10.0.0.2 1route inside 192.168.20.8 255.255.255.248 10.0.0.2 1route inside 192.168.20.16 255.255.255.248 10.0.0.2 1timeout xlate 3:00:00timeout pat-xlate 0:00:30timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolutetimeout tcp-proxy-reassembly 0:01:00timeout floating-conn 0:00:00dynamic-access-policy-record DfltAccessPolicyuser-identity default-domain LOCALno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstart warmstartcrypto ipsec security-association pmtu-aging infinitecrypto ca trustpool policytelnet timeout 5ssh timeout 5ssh key-exchange group dh-group1-sha1console timeout 0threat-detection basic-threatthreat-detection statistics access-listno threat-detection statistics tcp-intercept!class-map inspection_defaultmatch default-inspection-traffic!policy-map type inspect dns preset_dns_mapparametersmessage-length maximum client automessage-length maximum 512 24. 23policy-map global_policyclass inspection_defaultinspect dns preset_dns_mapinspect ftpinspect h323 h225inspect h323 rasinspect ip-optionsinspect netbiosinspect rshinspect rtspinspect skinnyinspect esmtpinspect sqlnetinspect sunrpcinspect tftpinspect sipinspect xdmcpinspect icmpinspect icmp error!service-policy global_policy globalprompt hostname contextno call-home reporting anonymouscall-homeprofile CiscoTAC-1no activedestination address http https://tools.cisco.com/its/service/oddce/services/Dedestination address email [email protected] address http https://tools.cisco.com/its/service/oddce/servicesedestination transport-method httpsubscribe-to-alert-group diagnosticsubscribe-to-alert-group environmentsubscribe-to-alert-group inventory periodic monthlysubscribe-to-alert-group configuration periodic monthlysubscribe-to-alert-group telemetry periodic dailyCryptochecksum:00fa3483af8f26e1d526ed07e09d2127: end 25. 24Resumen Configuracin Firewall ASAInterfaces INSIDE, DMZ Y OUTSIDEinterface Ethernet0/0nameif insidesecurity-level 100ip address 10.0.0.1 255.0.0.0!interface Ethernet0/1nameif DMZsecurity-level 50ip address 20.0.0.1 255.0.0.0!interface Ethernet0/2nameif outsidesecurity-level 0ip address 30.0.0.1 255.0.0.0Creacin de Objetosobject network dmz-internetsubnet 20.0.0.0 255.0.0.0object network inside-internetsubnet 0.0.0.0 0.0.0.0object network webserver-external-iphost 30.0.0.4object network webserverhost 20.0.0.2Lista de acceso permitiendo trafico webaccess-list outside_acl extended permit tcp any object webserver eq wwwConfiguracin de NAT en Firewallnat (inside,outside) source dynamic inside-internet interfacenat (DMZ,outside) source dynamic dmz-internet interfaceobject network webservernat (DMZ,outside) static webserver-external-ip service tcp www www 26. 25Aplicacin de ACLaccess-group outside_acl in interface outsideEnrutamiento en el Firewallroute outside 0.0.0.0 0.0.0.0 30.0.0.2 1route inside 192.168.10.0 255.255.255.248 10.0.0.2 1route inside 192.168.10.8 255.255.255.248 10.0.0.2 1route inside 192.168.10.16 255.255.255.248 10.0.0.2 1route inside 192.168.10.24 255.255.255.248 10.0.0.2 1route inside 192.168.20.0 255.255.255.248 10.0.0.2 1route inside 192.168.20.8 255.255.255.248 10.0.0.2 1route inside 192.168.20.16 255.255.255.248 10.0.0.2 1Polticas de Accesopolicy-map global_policyclass inspection_defaultinspect dns preset_dns_mapinspect ftpinspect h323 h225inspect h323 rasinspect ip-optionsinspect netbiosinspect rshinspect rtspinspect skinnyinspect esmtpinspect sqlnetinspect sunrpcinspect tftpinspect sipinspect xdmcpinspect icmpinspect icmp error 27. 26Permitir Trficos mediante ACL en la VlANsaccess-list 101 permit udp any any eq bootpsaccess-list 101 permit udp 192.168.10.0 0.0.0.7 192.168.10.24 0.0.0.7 eq domainaccess-list 101 permit ip 192.168.10.0 0.0.0.7 192.168.10.24 0.0.0.7access-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq wwwaccess-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq smtpaccess-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq 143access-list 102 permit udp any any eq bootpsaccess-list 102 permit udp 192.168.20.8 0.0.0.7 192.168.10.24 0.0.0.7 eq domainaccess-list 102 permit ip 192.168.20.8 0.0.0.7 192.168.10.24 0.0.0.7access-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq wwwaccess-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq smtpaccess-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq 143Asignacin de listas de accesoint g0/1.1ip access-group 101 inexitint g0/1.4ip access-group 101 outexitint g0/1.6ip access-group 101 inexitMediante la lista de acceso mostrada y planteada anteriormente se est diciendo que cualquier red puede solicitar mediante trafico UDP una direccin por DHCP.Tambin permitimos desde las diversas subredes el trafico al servidor local que provee DNS y DHCP pueda resolver nombres de dominio localmente.Por ultimo les permitimos a nuestras a subredes el acceso al servidor de la DMZ, el trfico WEB y el trfico necesario para que el servicio de correo sea funcional n este caso el protocolo SMTP y el puerto 143 correspondiente al IMAP, que es el protocolo entrante a los diversos clientes.Esta lista de acceso con el fin de cumplir el requerimiento de que la S1 y S6 (Subred) solo tengan acceso a los servicios locales y la DMZ sin tener acceso a internet. 28. 27WEBGRAFIAhttp://www.redescisco.net/v2/art/como-configurar-un-firewall-asa-8-4-en-gns3/http://es.slideshare.net/websyo/practica-con-firewall-asa-14114092http://aprenderedes.com/2012/12/configuracion-de-asdm-en-cisco-asa-con-gns3/http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next- generation-firewalls/115904-asa-config-dmz-00.htmlhttp://www.cisco.com/cisco/web/support/LA/111/1118/1118174_asa-config-dmz- 00.html

documentación acl - firewall asa

Technology

en redes

acl en una

las listas

ip host

dems redes por

acceso o acl

lista que aplicamos

una lista