路由器状态ACL

网络工程 思科 防火墙 ACL
2021-07-15 11:23:42

这是一个很奇怪的问题,但我想给你一些建议。我们有ASR1000运行 BGP 和10G终止互联网连接的边缘路由器现在我想在路由器上配置 ACL 以将不良流量保持在外部并且只允许特定端口。以下场景。

[Internal Public IP]------------[ASR1000]-------------[INTERNET]

现在我如何允许我的内部公共 IP 子网访问互联网上的所有内容。在有状态防火墙中,您可以这样做,因为它保持连接状态,但路由器 ACL 不是有状态的。

我该如何解决这个问题?

  1. 内外一切都允许
  2. 外到内仅特定流量
1个回答

在 IOS/IOS-XE 上,您可以使用自反 ACL 或使用状态检查与 Cisco 基于上下文的访问控制 (CBAC) 或基于区域的防火墙 (ZBF)。

ZBF 是当前进行状态检查的方法。它通过创建区域并将区域应用于接口来工作。然后创建一个类映射来识别流量并使用策略映射来检查您在类映射中识别的流量。然后创建一个“区域对”,在其中定义流量(从内到外)并将策略映射应用于该对。然后,IOS 将像任何其他防火墙一样对该流量执行状态检查。

IOS XE 上的 ZBF 文档在这里:

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_zbf/configuration/xe-3s/sec-data-zbf-xe-book/sec-zone-pol-文件.html

其它你可能感兴趣的问题
上一篇cisco7200 路由器响应不是发给它的 icmp 消息 下一篇限制对特定 VRF 的访问?