我在以对我来说合理的方式在 asa 5510 (8.2) 上实现访问列表时遇到了麻烦。
设备上的每个接口都有一个访问列表。访问列表通过 access-group 命令添加到接口。
假设我有这些访问列表
access-group WAN_access_in in interface WAN
access-group INTERNAL_access_in in interface INTERNAL
access-group Production_access_in in interface PRODUCTION
WAN 的安全级别为 0,内部安全级别为 100,生产的安全级别为 50。
我想要的是一种简单的方法,可以从生产到内部找出漏洞。这似乎很容易,但整个安全级别的概念似乎不再重要。然后我无法退出 WAN 接口。我需要添加一个 ANY ANY 访问列表,这反过来会完全打开内部网络的访问权限。我可以通过为我的内部网络发出明确的 DENY ACE 来解决这个问题,但这听起来很麻烦。
在实践中如何做到这一点?在 iptables 中,我将使用类似这样的逻辑。如果源等于生产子网,传出接口等于 WAN。接受。
答案1
没错,安全级别对于 ACL 的评估不再重要 - 当分配access-group给接口时,隐式的“接受绑定到较低安全网络的流量”将被覆盖。
你会想要类似这样的东西:
access-list WAN_access_in extended permit tcp host wan_allowed_host any host inside_dest_host http
access-list WAN_access_in extended deny ip wan_net 255.255.255.0 inside_net 255.255.255.0
access-list WAN_access_in extended permit ip any any