我想允许主机从 *.xyz.com(在互联网上)下载一些更新。
我应该如何仅允许我的内部网络中的此主机访问 ASA 上的 *.xyz.com,可以通过 http 访问?
目前我没有任何 NAT,我想通过 ASDM 实现它。
答案1
假设此时所有内部主机都有权访问任意端口上的所有外部主机,则需要添加两条规则:
- 允许从内部主机通过端口 80 访问外部主机(不是域)。
- 拒绝从内部访问该外部主机。
如果该假设不正确,您需要提供更多有用的信息。
编辑:我看到您添加了没有全局 NAT 池的事实,几乎是事后才想到的 - 那么这是否意味着对于这个内部主机,目前没有从内部到外部配置 NAT?
如果是这种情况,您需要进行配置;最简单的方法是在端口 80 上添加从内部主机到外部主机的静态策略 NAT;您可以使用 ASA 接口作为转换后的源地址。
这将消除上述访问规则的需要。