网络工程 - NAT 和 ACL 顺序 - Cisco ASA、Palo Alto、Checkpoint - 吾爱随笔录 - 问答

NAT 和 ACL 顺序 - Cisco ASA、Palo Alto、Checkpoint

网络工程思科思科帕洛阿尔托检查站

2021-07-31 12:54:07

我最近开始使用防火墙（不同品牌），真正让我感到困惑的是不同防火墙检查 ACL 和 NAT 规则的顺序。

例如，允许从 Internet 到 LAN 上的网络服务器的 HTTP 流量：

公网IP：1.1.2.2
私有IP：192.168.1.2
目的端口：80
将公共 IP 地址 1.1.2.2 NAT 为 192.168.1.2

在某些防火墙上，ACL 允许从 Internet 到 Web 服务器的流量将 LAN IP 地址定义为目的地：

ACL：由外向内
允许
接口：外部
来源：任何
目的地：192.168.1.2
端口：80

但我有时会看到公共 IP 地址：

ACL：由外向内
允许
接口：外部
来源：任何
目的地：1.1.2.2
端口：80

不同品牌的防火墙检查 NAT 规则和 ACL 的顺序是什么？同类型防火墙上的版本有区别吗？

1个回答

我无法与其他具有权威性的平台交谈，但 Cisco ASA 平台根据代码版本进行双向操作。

在 8.3 之前，NAT 是在 ACL 之后完成的（因此您可以在 ACL 中使用全局或外部 IP 地址）。8.3 或更高版本的 NAT 在 ACL 之前完成（因此您将使用 ACL 中实际配置的或内部 IP）。

在此版本中，NAT 的配置方式也发生了变化。您可以查看此 Cisco 支持社区帖子或其他资源以了解详细信息。

其它你可能感兴趣的问题

上一篇RFC4821 PLPMTUD 探测请求下一篇4503-E 和 4507+E 之间的 VSS