我们有一个ASA 5505,每个外部,内部和两个dmz接口都有一个VLAN设置。 外部接口设置为安全级别0,内部设置为100,两个dmz接口都设置为50。
不幸的是,这个设备并没有按照我所期望的那样从其中一个dmz接口(其他接口被禁用)向外部接口传输stream量。 我期望从更高的安全性到更低的安全性,stream量不应该被隐式ACL所捕获。 但是,数据包跟踪器工具显示这种情况 – 它在步骤2中被隐式ACL阻止。 我添加了一个ACE来允许到外部IP的stream量,并且stream量现在确实stream动。 但是,这不应该被做。 这会造成pipe理负担,定义IP,端口,协议等所有允许的范围。
ASA上的许可证有Security Plus。 显示版本列表:
思科自适应安全设备软件版本8.4(4)设备pipe理器版本6.4(9)
此平台的许可function:
最大物理接口:8永久
VLAN:20个DMZ无限制
那么,首先
我添加了一个ACE来允许到外部IP的stream量,并且stream量现在确实stream动。 但是,这不应该被做。 这会造成pipe理负担,定义IP,端口,协议等所有允许的范围。
这实际上是通过使用适当的IP和端口进行筛选来正确configuration安全设备的最佳实践。 在我看来,仅仅使用安全级别来过滤stream量是不好的做法。
也就是说,如果在两个接口之间使用NAT,则从较高安全接口到较低安全接口的stream量将不经过ACL。
编辑回答评论中的问题
为了让您的DMZ在互联网上,而不是在您的局域网,最简单的方法是使用两个ACL。
假设你的内部networking使用的是192.168.1.0/24,你的DMZ是10.0.0.0/27
access-list [your access-group] extended deny ip 10.0.0.0 255.255.255.0 192.168.1.0 255.255.255.0 access-list [your access-group] extended permit ip any any 规则从上到下读取,防火墙将使用第一个匹配的规则。
另一种方法是在你的Inside界面上有一个ACL,但是有一个访问组分配给出站stream量。
access-group [acl-traffic-out] out inside
并过滤您允许离开内部界面的stream量。
access-list acl-traffic-out extended deny ip 10.0.0.0 255.255.255.0 192.168.1.0 255.255.255.0
虽然你可以过滤接口的stream量,而不是进入界面,但我很less使用它。 当你的规则基础变大时,它会变得混乱。
请注意,您应该尽可能地限制stream量。 这只是一个例子。