我想知道这个访问列表在 ASA 5555-X 上意味着什么?
访问列表 TEST_INSIDE 扩展允许 udp 主机 192.168.1.99 eq 7600 主机 192.168.1.1
我对“eq 7600”部分感到困惑,因为我通常看到它位于 ACL 的末尾而不是中间。
先感谢您!
答案1
我读到 ACE 代表“从 192.168.1.99 到 192.168.1.1 的任何 UDP 流量,只要它来了从端口 7600“。
TCP 和 UDP 通信都有源地址/端口和目标地址/端口。客户端绑定到其自身网络适配器上的源端口,然后绑定到服务器适配器上的目标端口。服务器将回复发送到客户端自己的端口。
访问列表通过同时具有源地址/端口和目标地址/端口元组来反映这一点。但是,您可以从行中省略任一端口值access-list
。这种省略意味着“任何港口”。
在一个access-list
部分eq 7600
位于结尾的线,这意味着目的地端口必须是 7600。我同意这在允许流量通过防火墙时更常见,因为通常服务器监听一个显式端口(例如 TCP/80 上的 Web 服务器),并且客户通过绑定到其自身网络堆栈中的任何临时端口来发出请求。
然而,这条规则可能是为了允许服务器打开动态端口的服务协议而设计的,告诉客户它打开了哪个端口。主动模式 FTP 是此类协议的一个很好的例子(尽管它通常源自 TCP/20,而不是 UDP/7600)。使用此类协议,防火墙管理员无法预先知道服务器将打开哪个端口,因此必须打开所有端口。但是,许多更好的防火墙可以检查众所周知的协议,确定何时发生这种情况,并仅为服务器发送的端口动态打开端口。思科将此称为检查策略或修复(取决于型号/版本)。但是,并非所有协议(尤其是加密/TLS 流量)都可以检查。
当然,这access-list
实际上含义取决于它所绑定的内容。如果它通过语句绑定到接口access-group
,则意味着只有此流量才允许进入(或退出)该接口。但是,这个特定内容access-list
可能已用于描述数据包捕获过滤器,甚至是特定于连接的属性(例如保持活动或服务质量)的策略匹配。
您应该仔细检查配置,看看是否有任何其他行明确引用该TEST_INSIDE
名称。这样做可能会提供更多背景信息。
(如果让我猜的话,我会假设这条规则可能是为了实现流媒体视频或 VOiP 服务而编写的——这些服务可能非常动态,并且倾向于使用 UDP——但是只是猜测。