Cisco Cisco ASA 5555-X Adaptive Security Appliance 빠른 설정 가이드
3-4
思科 ASA 系列防火墙 CLI 配置指南
第 3 章 访问规则
控制网络访问
•
两个方向上的 BPDU 流量。
对于其他流量,需要使用扩展访问规则(IPv4 和 IPv6)或以太网类型规则(非 IP)。
隐式拒绝
ACL 列表的末尾有隐式拒绝,因此,除非您显式允许流量,否则流量无法通过。例如,如果除特
定地址外,您想要允许所有用户通过 ASA 访问某个网络,则需要拒绝这些特定地址,然后允许
所有其他地址。
定地址外,您想要允许所有用户通过 ASA 访问某个网络,则需要拒绝这些特定地址,然后允许
所有其他地址。
对于以太网类型 ACL,ACL 末尾处的隐式拒绝不会影响 IP 流量或 ARP 流量;例如,如果您允许
以太网类型 8037,则 ACL 末尾处的隐式拒绝此时将不阻止您先前使用扩展 ACL 允许的任何 IP 流
量(或者隐式允许的从较高安全性接口流向较低安全性接口的 IP 流量)。然而,如果您使用以太
网类型规则显式拒绝所有流量,则将拒绝 IP 和 ARP 流量,仅物理协议流量(如自动协商流量)
仍得以允许。
以太网类型 8037,则 ACL 末尾处的隐式拒绝此时将不阻止您先前使用扩展 ACL 允许的任何 IP 流
量(或者隐式允许的从较高安全性接口流向较低安全性接口的 IP 流量)。然而,如果您使用以太
网类型规则显式拒绝所有流量,则将拒绝 IP 和 ARP 流量,仅物理协议流量(如自动协商流量)
仍得以允许。
如果配置全局访问规则,则全局规则
之后的隐式拒绝得以处理。请参阅以下操作顺序:
1.
接口访问规则。
2.
全局访问规则。
3.
隐式拒绝。
NAT 和访问规则
在确定访问规则匹配时,访问规则始终将使用真实 IP 地址,即使您已配置 NAT。例如,如果已为
内部服务器 (10.1.1.5) 配置 NAT,以使该服务器在外部拥有公共可路由的 IP 地址 209.165.201.5,则
用于允许外部流量访问内部服务器的访问规则需要引用该服务器的真实 IP 地址 (10.1.1.5),而非映
射地址 (209.165.201.5)。
内部服务器 (10.1.1.5) 配置 NAT,以使该服务器在外部拥有公共可路由的 IP 地址 209.165.201.5,则
用于允许外部流量访问内部服务器的访问规则需要引用该服务器的真实 IP 地址 (10.1.1.5),而非映
射地址 (209.165.201.5)。
扩展访问规则
本节介绍有关扩展访问规则的信息。
•
•
•
用于返回流量的扩展访问规则
对于路由和透明模式的 TCP 和 UDP 连接,不需要访问规则即可允许返回流量,因为 ASA 允许已
建立的双向连接的所有返回流量。
建立的双向连接的所有返回流量。
然而,对于诸如 ICMP 的无连接协议,ASA 将建立单向会话,因此,您需要在两个方向访问规则
以允许 ICMP(通过将 ACL 应用于源和目标接口),或需要启用 ICMP 检测引擎。ICMP 检测引
擎将 ICMP 会话视为双向连接。要控制 ping,可指定回显回复 (0)(ASA 至主机)或回显 (8)(主
机至 ASA)。
以允许 ICMP(通过将 ACL 应用于源和目标接口),或需要启用 ICMP 检测引擎。ICMP 检测引
擎将 ICMP 会话视为双向连接。要控制 ping,可指定回显回复 (0)(ASA 至主机)或回显 (8)(主
机至 ASA)。