发夹仍然是多上下文 ASA 的问题吗?

网络工程 思科 思科
2021-07-18 04:46:33

我从以前的经验中知道,让 DMZ 1 中的服务器访问同一 ASA 上 DMZ 2 中服务器的公共 NATed IP(又名“发夹”)在单上下文 ASA 中是一件棘手的事情。但这仍然是多上下文防火墙的问题吗?

我们目前有一个物理 Web 服务器,它将与它的一些(但不是全部)用户在不同的 DMZ 中虚拟化到同一防火墙上。这通常会导致问题,如上所述,并且 DNS 重写不是一种选择,因为并非所有 Web 服务都有 DNS 名称。使用多上下文,并且 Web 服务器在其自己的上下文中具有共享的 Internet 接口,这是否足以让我的请求数据包在到达外部 NAT 地址之前将其全部发送出去?

这是 8.3.x 软件。

1个回答

答案是,是的,这是足够的分离。从 DMZ 1 的角度来看,DMZ 2 设备在外面。

其它你可能感兴趣的问题
上一篇6807XL CPU 进程卡在 25 / 30 % 下一篇实现 TCP 身份验证选项 (TCP-AO)