Cisco IOS (ZBFW) 中非区域接口的返回流量

网络工程 思科 路由器 防火墙 思科-ios
2022-02-16 22:30:48

我发现 Cisco 文档对于在基于 Cisco IOS 的基于区域的防火墙 (ZBFW) 中配置访问策略的适当方式非常模糊和混乱。

假设我想允许从接口 A 到接口 B 的持续 TCP 连接。这些接口分别分配在不同的安全区域中。

我只想允许从接口 A 通过接口 B 发起的 TCP 会话,也就是说,A-to-B 区域对是必要的,它表明从区域 A 到区域 B 的流量将被允许/检查。

所以我关心的是返回流量(即来自 B 区的 SYN-ACK 数据包)。默认情况下,此流量是否允许 conn-table 样式?如果我的访问策略(策略映射操作)设置为检查,我会允许返回流量吗?还是我需要一个 B-to-A 区域对来允许该流量?

我很确定我不需要专门为返回流量创建额外的区域对,但到目前为止我还没有可用的 IOS 路由器来测试它。

1个回答

防火墙是有状态的。它知道您正在创建双向连接,并允许出站流量的返回流量。如果您尝试在防火墙允许的情况下创建从区域 A 到区域 B 的 TCP 连接,那么区域 B 中的主机将能够使用该连接发送到区域 A 中创建连接的主机,即使区域B 无法启动到区域 A 的 TCP 连接。

TCP 对防火墙来说很容易,因为 TCP 创建了双向连接。无连接协议(如 UDP)更难,但防火墙也会为此创建状态,并且有一些参数,例如超时,您可以调整这些参数。

其它你可能感兴趣的问题
上一篇Ruckus ZoneFlex 7352 的默认 WLAN 密码 下一篇VOIP VLAN 上的视频会议?