我接手了 2811 路由器的管理工作,除了其他东西(它是我们的核心路由器和 VPN 端点……我讨厌它们都是一个盒子,但现在无法将其拆分)之外,它还使用 IOS 防火墙在我们和互联网之间设置防火墙。我熟悉防火墙概念和管理,但对任何类型的思科防火墙都没有太多经验,因此我一直在网上阅读资料并将其与 2811 的配置进行比较,以了解它。最近,我发现了这篇文章:
这很简单,除了我们的 2811 在互联网接口上有 ACL,允许我们想要使用 IOS 防火墙允许的流量。它以这种方式设置传入和传出流量(一个 ACL 传入,一个 ACL 传出)。我们有与文章中一样的“ip inspect”语句,但我们的相关 ACL 似乎与文章中所说的相反。
但它确实有效...那么为什么文章说拒绝而不是允许?
答案1
文章的措辞具有误导性;您认为它应该工作的方式是正确的。 permit允许流量,deny阻止它,并且对于与 ACL 中的任何行不匹配的任何内容,都隐式拒绝。
答案2
关于 IOS 防火墙,有一件事要记住,那就是流量方向,你的互联网出站流量是从内部接口传入的。对于互联网类型的流量,通常将访问组传入接口,并在外部接口上检查传入/传出。