我正在查看 Cisco ASA 配置之一,但无法理解带有 ACL 的第二行:
access-list ABC extended permit tcp any host P.Q.R.S eq www //
access-list DEF extended permit tcp host P.Q.R.S eq www any
我的问题是:
我在这里没有将 NAT 用于 IP PQRS,也不需要服务 www 的反向路由,因为它会保持状态,然后他们是否允许来自源端口 www 的流量?
这是错误的,或者如果它是正确的,为什么需要它?
这取决于接口的安全级别。ASA 会跟踪连接。不需要第二个 ACL。
由于第一个 ACL 名为 ABC,第二个 ACL 名为 DEF,因此它们在配置中的使用方式显然不同。由于您没有指定如何应用这两个 ACL,我们只能猜测。
考虑以下场景:第一个访问列表应用于内部接口的入站。外部有一个 VPN 隧道,可对流量进行加密并将其发送给业务合作伙伴。业务合作伙伴并不完全值得信赖,因此您想保护自己免受他们的伤害。因此,您将第二个 ACL 应用于入站方向(您可以过滤 VPN 隧道的唯一方向)的 VPN 隧道。因此,这可确保业务合作伙伴无法向您的网络发起任何并非来自您的网络内部的流量。(这个额外步骤是必要的,因为 ASA 防火墙的默认行为是任何成功解密的流量都被视为安全级别 100。)