您可以允许传出数据包,但是您需要允许这些响应。 一种方法是允许任何数据包是build立连接的后续数据。
access-list ??? permit tcp any any established 但是这是如何工作的? 在NATconfiguration上检查是否足够了? 我想知道是否应该为每个响应数据包组创build一个特定的locking规则,例如,我可能会将其用于传出。 (Vlan1 IN的访问列表)
access-list ??? permit tcp 192.168.1.0 0.0.0.255 gt 1023 any eq www
这是为了回应。 (FastEthernet4 IN的访问列表)
access-list ??? permit tcp any eq www --WAN IP-- gt 1023 established
为每个permit传出规则添加一个permit established规则是否有更好的安全性? 或者当我这样做时,我只是在降低性能?
鉴于内部的Vlan1和外部的Fa4我收集你正在一个8xx系列?
而不是通过established使用IOS防火墙的基于上下文的访问控制function,或CBAC。
deny ip any any ,在外部接口上使用deny ip any any或类似的deny ip any any ,就必须存在某种方式,允许从内部 – 外部发起的合法stream量不需要使用粗俗的语言或permit ip any any 。 established是一种方法,但相当神秘的一个,它只能与TCP一起使用,导致UDP头痛。 相反,与CBAC,涉及ip inspect你可以实现目标没有 ACE涉及到established关键字。 ACL仍然可以在外部接口上使用,但是对于这个特定的目标它们不是必需的。
请注意,CBAC还能够对突破防火墙和NAT边界的协议执行应用层网关(ALG)/修正。 在下面的例子中,我将包括一些例子。
最简单的方法是定义一个CBAC检查集,然后将其应用于外部界面的out方向。
首先定义的是通用的tcp和udp ,使普通的tcp和udpstream量起作用。 之后是一些ALG的
! Define CBAC inspection group in global configuration mode ip inspect name outside_inspection tcp ip inspect name outside_inspection udp ip inspect name outside_inspection ftp ip inspect name outside_inspection tftp ip inspect name outside_inspection h323 ip inspect name outside_inspection icmp ip inspect name outside_inspection pptp ! Enable CBAC on outside interface interface FastEthernet4 description outside interface ip inspect name outside_inspection in ip inspect name outside_inspection out ! ip access-group, ip nat, and others possible as well on FastEthernet4