網絡拓撲圖如下:
151e607b390f1d3cb825f90b6b0a6492.jpg-wh_
思科的ASA防火牆屬於狀態化防火牆(對於ICMP協議沒有實現狀態化的連接)
配置訪問策略時,只需要配置源主機訪問目的主機TCP/UDP某些端口,策略應用在源主機所在區域的IN方向上
例如:
如圖中拓撲圖結構:
防火牆上有四個區域:
OUTSIDE ZONE 1.1.1.1/24
DMZ ZONE 192.168.10.254/24
INSIDE ZONE 192.168.20.254/24
INSIDEDB ZONE 192.168.30.254/24
針對狀態化防火牆配置策略要求:配置的策略名稱具有代表性
從OUTSIDE區域進入的流量,配置策略名:outside-inbound 策略應用在outside接口 in方向
例如:
Internet上主機需要訪問DMZ區域的主機192.168.10.100 IP地址的80端口服務
access-list outside-inbound extended permit tcp any 192.168.10.100 eq www
access-group outside-inbound in interface outside
從DMZ區域進入的流量, 配置策略名:dmz-inbound 策略應用在dmz接口 in方向
例如:
DMZ區域主機192.168.10.100IP地址需要訪問INSIDE區域192.168.20.100的4000端口服務
access-list dmz-inbound extended permit tcp host 192.168.10.100 host 192.168.20.100 eq 4000
DMZ區域主機192.168.10.100IP地址可以訪問INTERNET上的DNS服務
access-list dmz-inbound extended permit tcp host 192.168.10.100 any eq domain
access-list dmz-inbound extended permit udp host 192.168.10.100 any eq domain
access-group outside-inbound in interface dmz
從INSIDE區域出去的流量,配置策略名: inside-outbound(INSIDE區優先級別高)策略應用在inside接口 in方向
access-group inside-outbound in interface inside
從INSIDEDB區域出去的流量,配置策略名: insidedb-outbound(INSIDEDB區優先級別高)策略應用在insidedb接口 in方向
access-group insidedb-outbound in interface insidedb