这可能是一个愚蠢的问题,但是我对如何配置我们的 ASA 5510 非常不熟悉 - 但是使用 ASDM 工具似乎比旧的 IOS CLI 更容易。
我想要做的是阻止所有 SMTP 流量通过防火墙离开我们的内部网络,除了一些指定的服务器(邮件服务器、Web 服务器)。以下是我所做的:
1)使用应发送电子邮件的服务器的内部 IP 地址创建一个网络组(WEB_EMAIL)
现在,我认为我需要做的事情如下。
2)设置内部访问规则如下:源:WEB_EMAIL 目标:任意服务:tcp:smtp 操作:允许
3)在最后一条规则下方设置内部访问规则,如下所示:来源:任何目标:任何服务:tcp:smtp操作:拒绝
我理解得对吗?还是这两条规则中的目标都应该是外部 IP 地址?有什么我应该注意的不良副作用吗?
谢谢
答案1
你说的对;SMTP 流量的目的地是它试图发送到的服务器,该服务器可能在任何地方。
在内部接口上建立规则是正确的做法,因为它控制从内部网络进入内部接口的流量。
應該很好走!