Cisco Cisco ASA 5555-X Adaptive Security Appliance Anleitung Für Quick Setup
3-5
思科 ASA 系列防火墙 CLI 配置指南
第 3 章 访问规则
控制网络访问
使用访问规则允许通过透明防火墙的广播和组播流量
在路由防火墙模式下,包括不受支持的动态路由协议和 DHCP 在内的广播和组播流量均将被阻
止,即使已在访问规则中允许该流量(除非配置 DHCP 中继)。透明防火墙模式可允许任何 IP
流量通过。
止,即使已在访问规则中允许该流量(除非配置 DHCP 中继)。透明防火墙模式可允许任何 IP
流量通过。
注
由于这些特定类型的流量是无连接的,因此,您需要将访问规则应用于两个接口,以便允许返回
流量通过。
流量通过。
下表列出了允许通过透明防火墙的常见流量类型。
管理访问规则
可配置控制以 ASA 为目标的管理流量的访问规则。入站管理流量(通过诸如 http、ssh 或 telnet
的命令定义)的访问控制规则拥有的优先级高于使用 control-plane 选项应用的管理访问规则。因
此,将允许此类管理流量进入,即使其被入站 ACL 显式拒绝。
的命令定义)的访问控制规则拥有的优先级高于使用 control-plane 选项应用的管理访问规则。因
此,将允许此类管理流量进入,即使其被入站 ACL 显式拒绝。
或者,可使用 ICMP 规则控制流向设备的 ICMP 流量。使用正则扩展访问规则可控制通过设备的
ICMP 流量。
ICMP 流量。
以太网类型规则
本节介绍以太网类型规则。
•
•
•
受支持的以太网类型流量和其他流量
以太网类型规则控制以下内容:
•
通过 16 位十六进制数标识的以太网类型,包括常见类型的 IPX 和 MPLS 单播或组播。
•
以太网 V2 帧。
•
默认允许的 BPDU。BPDU 为 SNAP 封装式,ASA 专用于处理 BPDU。
表
3-1
透明防火墙的特定流量
流量类型
协议或端口
备注
DHCP
UDP 端口 67 和 68
如果启用 DHCP 服务器,则 ASA 将不允许
DHCP 数据包通过。
DHCP 数据包通过。
EIGRP
协议 88
—
OSPF
协议 89
—
组播流
UDP 端口因应用而异。
组播流始终以 D 类地址为目标(224.0.0.0 至
239.x.x.x)。
239.x.x.x)。
RIP(v1 或 v2)
UDP 端口 520
—