NAT 规则是否不受 ASA 上的防火墙/策略组规则的约束?

网络工程 思科-ASA
2022-02-23 14:37:49

现有的 ASA 具有我继承的配置。查看防火墙,我看不到允许某种模式的流量穿过防火墙的规则。我确实看到了出于 NAT 的原因而应用的模式,我很好奇,如果您定义了 NAT 策略,该流量是否能够绕过防火墙?

例如,我有一个访问列表定义为:

access-list policy-nat extended permit udp object-group MY_OBJ any eq snmp

另一个作为

access-list firewall-list extended permit udp host 1.2.3.4 host 6.7.8.9 eq snmp

两个 ACL 都应用于相同的接口,如下所示:

nat (my-int) 22 access-list policy-nat access-group firewall-list in interface my-int

符合 NAT 规则的任何流量模式是否会绕过访问组条目?

1个回答

不,匹配 NAT 规则的流量不会绕过防火墙规则。

规则按以下顺序应用:

  • 传入接口上的传入 ACL
  • NAT 规则
  • 出接口上的传出 ACL

您可以在此处找到该过程的图形表示: http ://www.tunnelsup.com/cisco-asa-order-of-operation

希望有帮助!

其它你可能感兴趣的问题
上一篇数据链路层如何实现使用滑动窗口的流量/错误控制? 下一篇Cisco ASA5505 无客户端 VPN/CIFS 配置问题