ASA5500系列防火墙能够修改设备本身的SSH端口号么？

YilinChen · ‎09-22-2021

不懂就问，配置过不少ASA防火墙，一直有个疑问，ASA系列防火墙能够修改本身SSH登陆的端口号么？

要实现的目标很简单，通过SSH能管理到防火墙，但不希望是通过默认的22号端口来访问，似乎找不到相关的命令。

ilay · ‎09-23-2021

貌似不能，9.1.x没这个命令，升级到9.12.x同样没有，大概率是不支持。15年英文社区的回复也是不可以。

ASA(config)# ssh ver
Usage: [no] ssh {<local_ip>|<hostname>} <mask> <if_name> 
        [no] ssh cipher encryption { <level> | custom <encryption-alg> } 
        [no] ssh cipher integrity { <level> | custom <integrity-alg> } 
        [no] ssh key-exchange group {dh-group1-sha1 | dh-group14-sha1} 
        [no] ssh pubkey-chain 
        [no] ssh scopy enable 
        [no] ssh strickhostkeycheck 
        [no] ssh timeout <number> 
        [no] ssh version [1|2] 
        show ssh [sessions [<client_ip>]] 
        show ssh ciphers 
        ssh disconnect <session_id> 
        show running-config [all] ssh 
        clear configure ssh
ASA(config)# 
ASA(config)# sh ver |  in Version
Cisco Adaptive Security Appliance Software Version 9.12(4)10 
SSP Operating System Version 2.6(1.214)
Device Manager Version 7.15(1)
Baseboard Management Controller (revision 0x1) Firmware Version: 2.4
ASA(config)#

YilinChen · ‎09-23-2021

9.12.x我也试过了，没有相关命令，看来是没办法了？

ilay · ‎09-23-2021

基本没戏，要想不让人直接访问22，只能想别的辙搞一下，将允许ssh的ip写的更精确一些，或者通过其他的设备来跳转登录，用前置设备搞个端口映射，变着花样访问的情况还是有很多的。我们都没敢对互联网上开22端口，即便是开了也是限制特定的ip地址。