我想知道这个访问列表在ASA 5555-X上的含义是什么?
访问列表TEST_INSIDE扩展许可证udp主机192.168.1.99 eq 7600主机192.168.1.1
我对“eq 7600”部分感到困惑,因为我通常在ACL的末尾看到这一点,而不是在中间。
先谢谢你!
我把ACE读为表示“任何UDPstream量从192.168.1.99到192.168.1.1, 只要它来自端口7600 ”。
TCP和UDPstream量都有源地址/端口和目的地址/端口。 客户端绑定到它自己的networking适配器上的源端口,然后绑定到服务器适配器上的目标端口。 服务器将答复发送到客户端自己的端口。
访问列表通过同时具有源地址/端口和目的地址/端口元组来反映这一点。 但是,您可以省略access-list行中的任一端口值。 这个疏漏被认为是指“ 任何港口”。
在eq 7600部分位于行尾的access-list中,这意味着目标端口必须是7600.我同意在允许通过防火墙的stream量时这更为常见,因为通常服务器会侦听在一个显式端口上(例如TCP / 80上的Web服务器), 客户端通过绑定到自己networking堆栈中的任何临时端口来发出请求。
但是,这个规则可能被devise为允许一个服务协议,其中服务器打开一个dynamic端口并告诉客户端它打开了哪个端口。 主动模式FTP是这样的协议的一个很好的例子(虽然它通常来自TCP / 20,而不是UDP / 7600)。 使用这样的协议,防火墙pipe理员不能事先知道服务器将打开哪个端口,因此必须打开所有的端口。 但是,许多更好的防火墙可以检查众所周知的协议,确定何时发生,并只为服务器发送的端口dynamic打开端口。 思科将此称为检查策略或修正(取决于型号/版本)。 但是,并不是所有的协议(尤其是encryption/ TLSstream量)都可以被检查。
当然,这个access-list 实际上意味着什么取决于它所绑定的内容。 如果它与一个access-group声明的接口绑定,这意味着只有这个stream量被允许进入(或退出)该接口。 但是,这个特定的access-list可能已经被用来描述数据包捕获filter,甚至是连接特定属性的策略匹配,例如保活或服务质量。
您应该查看您的configuration,以查找是否有其他行明确引用了TEST_INSIDE名称。 这样做可能会提供更多的背景。
(如果被要求猜测,我会认为这个规则可能是为了实现stream媒体video或VOiP服务而写的 – 这些规则可能非常dynamic,并且倾向于使用UDP – 但这只是一个猜测。)