好吧,假设我有一个入口访问列表,如下所示:
access-list outside_in extended ip permit any XYZ1 eq 25 access-group outside_in in interface outside 我想做出口过滤。 我想允许内部计算机响应端口80,我想允许端口超过1024.鉴于防火墙是有状态的,我需要有规则
access-list inside_in extended ip permit XYZ1 any eq 25
在我的inside_in ACL中,还是我可以逃脱只是
access-list inside_in extended ip permit any any gt 1024 access-group inside_in in interface inside
换句话说,如果我应用出口访问列表,是否必须明确允许机器响应入口访问列表允许的请求,或者防火墙的状态满足我的要求?
谢谢!
一旦TCP连接build立,stream量已经被评估和允许,这个stream量的生命周期被计算在内; 出口规则将不需要。
简单地说:在build立TCP连接的规则时,你只需要考虑第一个SYN将要采用的path。 构build允许这些和那些您认为可接受的SYN的ACL,防火墙将负责其余部分。
我build议只使用入口规则,除非有充分的理由不这样做。 这个例子看起来不像一个。