我有麻烦实施访问列表在我的ASA 5510(8.2)以一种合理的方式对我来说。
我有设备上的每个接口的访问列表。 访问列表通过access-group命令添加到接口。
假设我有这些访问列表
access-group WAN_access_in in interface WAN access-group INTERNAL_access_in in interface INTERNAL access-group Production_access_in in interface PRODUCTION WAN具有安全级别0,内部安全级别100,生产具有安全级别50。
我想要做的是有一个简单的方法来从生产到内部打孔。 这接近是相当容易的,但是那时安全水平的整体概念并不再重要。 然后我不能退出WAN接口。 我需要添加一个任何访问列表,这反过来打开访问完全内部网。 我可以通过为我的内部网发布明确的DENY ACE来解决这个问题,但这听起来很麻烦。
这在实践中是如何完成的? 在iptables中,我会使用这样的逻辑。 如果源代码等于生产子网,则输出接口等于WAN。 接受。
对于ACL的评估,安全级别不再重要 – 当接口access-group分配给接口时,隐式的“接受更低安全网的stream量”被覆盖。
你会想要这样的东西:
access-list WAN_access_in extended permit tcp host wan_allowed_host any host inside_dest_host http access-list WAN_access_in extended deny ip wan_net 255.255.255.0 inside_net 255.255.255.0 access-list WAN_access_in extended permit ip any any