ASA 阻止来自已建立连接的传入 TCP 流量

网络工程 路由 思科 防火墙
2021-07-11 12:40:15

我已经设置了以下网络: 在此处输入图片说明

我的目标是允许从右侧的计算机(主机 2)到左侧的计算机(主机 1)发起连接。我还希望主机 1 无法启动连接。最后,我希望主机 1 无法发送入站流量。

非常简单的 ACL:

access-list 101 line 1 extended permit tcp any any
access-list 101 line 2 extended deny ip any any
access-list 102 line 1 extended deny ip any any
  • ACL 101 - 应用于 ASA 右侧的入站流量
  • ACL 102 - 应用于 ASA 左侧的入站流量

使用 NetCat,我能够毫无问题地建立从主机 2 到主机 1 的连接,但被拒绝按预期启动从主机 1 到主机 2 的连接: 在此处输入图片说明

如您所见,将其从主机 2(白屏)发送到主机 1(黑屏)会创建 FW 标志 UO(TCP 握手完成和出站流量)。现在,当我将流量从黑色终端发送到白色终端时,它将 FW 标志更改为“UIO”(出站和入站流量)。

在此处输入图片说明

我想要的是阻止来自主机 1 的传入流量,同时保持连接建立并允许出站流量。我怎样才能做到这一点?

谢谢

2个回答

您必须以明确的方式构建您的访问列表,该列表明确针对您希望允许或拒绝的流量和/或主机,在本例中为主机 1 和主机 2。

例子: 

(config)# access-list 101 extended permit ip [host2] [host1] any
(config)# access-list 101 extended deny ip [host1] any log
(config)# access-list 101 extended permit ip any any

注意:如果您希望在防火墙之外允许来自与主机 2 相同网络的任何其他流量,则需要最后一行:每个 Cisco ACL 的末尾都存在一个静默的隐式拒绝。

然后,在首先接收由主机 2(内部)发起的此流量的接口上: 

(config-if): ip access-group 101 in

关于您的要求,除非主机 2 已经开始与主机 1 的会话,否则主机 1 不得与主机 2 通信,这是 Cisco ASA 的默认性质:它是有状态的数据包过滤器:不是从内部区域发起的连接将来自外部时不被接受,除非管理员配置的规则明确允许他们。

有关更多详细信息,请参阅以下指南:

http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/acl_overview.html

将 ASA 配置为左侧是“外部”接口(低安全级别),右侧是内部接口(高安全级别)。您不需要任何访问列表,因为 ASA 的安全区域机制完全符合您的要求,并且流量将以您希望的方式进行过滤。

您还必须解决翻译(或指定不翻译)问题。

其它你可能感兴趣的问题
上一篇为什么cisco交换机有很多mac地址? 下一篇允许 NTP 响应的访问规则