我们有一台 ASA 5505,为外部、内部和两个 dmz 接口分别设置了一个 VLAN。外部接口的安全级别设置为 0,内部设置为 100,两个 dmz 接口的安全级别设置为 50。
不幸的是,正如我所料,默认情况下,设备不会将流量从其中一个 dmz 接口(其他接口目前已禁用)传递到外部接口。我期望从较高安全性到较低安全性,流量不应被隐式 ACL 捕获。但是,数据包跟踪器工具显示情况确实如此 - 它在步骤 2 被隐式 ACL 阻止。我添加了一个 ACE 以允许流量流向外部 IP,现在流量确实流动了。但是,这不应该需要完成。它将在未来产生管理负担,定义所有允许的 IP、端口、协议等范围。
ASA 上的许可证具有 Security Plus。显示版本列表:
Cisco 自适应安全设备软件版本 8.4(4) 设备管理器版本 6.4(9)
该平台的许可功能:
最大物理接口数:8 个永久接口
VLAN :20 DMZ 无限制
答案1
首先
我添加了一个 ACE 以允许流量流向外部 IP,现在流量确实可以流动了。但是,这不应该需要这样做。这将带来管理负担,定义所有允许的 IP、端口、协议等范围。
通过使用适当的 IP 和端口进行过滤来正确配置安全设备实际上是最佳做法。我认为,仅使用安全级别来过滤流量是一种不好的做法。
也就是说,仅当您在两个接口之间使用 NAT 时,从较高安全性接口到较低安全性接口的流量才会无需 ACL 即可通过。
编辑以回答评论中的问题
为了允许您的 DMZ 进入互联网但不进入您的 LAN,最简单的方法是使用两个 ACL。
假设您的内部网络使用 192.168.1.0/24,而您的 DMZ 是 10.0.0.0/27
access-list [your access-group] extended deny ip 10.0.0.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list [your access-group] extended permit ip any any
规则从上到下读取,防火墙将使用第一个匹配的规则。
另一种方法是在内部接口上设置 ACL,但为出站流量分配访问组。
access-group [acl-traffic-out] out inside
并过滤您允许的流量离开内部接口。
access-list acl-traffic-out extended deny ip 10.0.0.0 255.255.255.0 192.168.1.0 255.255.255.0
虽然你可以过滤去往出去接口,而不是在界面,我很少使用它。当你的规则库变大时,它会变得令人困惑。
请注意,您应该尽可能限制流量。这实际上只是一个例子。