我试图了解如何结合隐式全局 ACL 女巫安全级别。
1) 在文档中有: 从较高安全级别到较低安全级别的流量:允许源自较高安全级别的所有流量,除非受到访问控制列表 (ACL) 的特别限制。
2) 但在 Cisco ASA 中,存在隐含的默认全局访问规则。拒绝所有接口上的任何任何传入流量。
第 1) 点和第 2) 点是矛盾的。
谁能解释一下?谢谢你。
Cisco ASA - 安全级别与隐式全局访问规则
网络工程
思科-ASA
acl
2022-03-03 04:02:50
1个回答
1和2并不矛盾。1 声明这是行为,除非您有一个 EXPLICIT ACL 条目,而 2 声明有一个 IMPLICIT 拒绝(这将捕获所有其他未被您的显式语句过滤的内容)。
显式意味着它是手动添加的(由您);隐式意味着它是默认操作(本质上)。
当您最初定义接口时,外部接口的安全级别自动为 0,而内部接口的安全级别自动为 100。这说明了您看到的从高到低的行为。默认情况下,反向(从低到高)将被阻止,并且需要具有 NAT 或 PAT 以及允许流量进入的规则。
其它你可能感兴趣的问题