ASA防火墙策略配置-白红宇

ASA防火墙策略配置

阅读量：6040 次

发布时间：2019-06-20

本文共 1244 字，大约阅读时间需要 4 分钟。

网络拓扑图如下:

思科的ASA防火墙属于状态化防火墙(对于ICMP协议没有实现状态化的连接)

配置访问策略时，只需要配置源主机访问目的主机TCP/UDP某些端口，策略应用在源主机所在区域的IN方向上

例如：

如图中拓扑图结构:

防火墙上有四个区域：

OUTSIDE ZONE 1.1.1.1/24

DMZ ZONE 192.168.10.254/24

INSIDE ZONE 192.168.20.254/24

INSIDEDB ZONE 192.168.30.254/24

针对状态化防火墙配置策略要求：配置的策略名称具有代表性

从OUTSIDE区域进入的流量，配置策略名:outside-inbound 策略应用在outside接口 in方向

例如：

Internet上主机需要访问DMZ区域的主机192.168.10.100 IP地址的80端口服务

access-list outside-inbound extended permit tcp any 192.168.10.100 eq www

access-group outside-inbound in interface outside

从DMZ区域进入的流量，配置策略名:dmz-inbound 策略应用在dmz接口 in方向

例如：

DMZ区域主机192.168.10.100IP地址需要访问INSIDE区域192.168.20.100的4000端口服务

access-list dmz-inbound extended permit tcp host 192.168.10.100 host 192.168.20.100 eq 4000

DMZ区域主机192.168.10.100IP地址可以访问INTERNET上的DNS服务

access-list dmz-inbound extended permit tcp host 192.168.10.100 any eq domain

access-list dmz-inbound extended permit udp host 192.168.10.100 any eq domain

access-group outside-inbound in interface dmz

从INSIDE区域出去的流量，配置策略名: inside-outbound（INSIDE区优先级别高）策略应用在inside接口 in方向

access-group inside-outbound in interface inside

从INSIDEDB区域出去的流量，配置策略名: insidedb-outbound（INSIDEDB区优先级别高）策略应用在insidedb接口 in方向

access-group insidedb-outbound in interface insidedb

转载于:https://blog.51cto.com/1839wo/1979272

你可能感兴趣的文章

java.exe进程来源排查录

查看>>

点滴记录——Ubuntu 14.04中Solr与Tomcat整合安装

查看>>

C++实现KMP模式匹配算法

查看>>

ubuntu linux下建立stm32开发环境: GCC安装以及工程Makefile建立

查看>>

记录锁

查看>>

JSONObject与JSONArray的使用

查看>>

[SQL Server] 数据库日志文件自动增长导致连接超时的分析

查看>>

【常见Web应用安全问题】---6、Script source code disclosure

每日英语：China Seeks to Calm Anxiety Over Rice

查看>>

C++中struct和class的区别 [转]

查看>>

C++ ofstream和ifstream详细用法

查看>>

Mysql 连接查询 Mysql支持的连接查询有哪些

查看>>

Hive Streaming 追加 ORC 文件

Android笔记：通过RadioGroup/RadioButton自定义tabhost的简单方法