控制平面的ACL管理到达防火墙本身的流量

数据平面的ACL管理穿过防火的流量

有时候我们会遇到***，就是用户尝试登陆***，这个时候你可以在防火墙或者aaa服务器上看到，我们就要把这些尝试登陆的Ip地址加入黑名单

一般情况下，我们防火墙outside 列表是方向管理穿过防火墙流量的也就是数据平面的流量，但是直接去往防火墙本身的流量也就是控制平面的流量我们默认是放行的，因为客户需要***连接到***网关，防火墙需要和别的防火墙建立ipsec *** 隧道，但如果有恶意用户尝试登陆***，我们就可以用一下方法把这些IP地址加入黑名单

object-group network CONTROL-PLANE-BLOCK

#这个地址就是黑名单

network-object  193.*.*.0 255.255.255.0

access-list  CONTROL_PLANE  remark **ACL to block offending IP **

access-list  CONTROL_PLANE extended deny ip object-group CONTROL-PLANE-BLOCK any

access-list CONTROL_PLANE extended permit ip any any

#把这个列表加载outside 接口，这个接口默认是带外访问的接口

access-group  CONTROL_PLANE in interface outside control-plane