NAT规则在ASA上是否不受防火墙/策略组规则的约束？

Question

有一个现有的ASA，它继承了一个配置。查看防火墙，我没有看到允许某种模式的通信量穿越防火墙的规则。我确实看到了应用于NAT的模式，我很好奇，如果您已经定义了NAT策略，那么流量能够绕过防火墙吗？

例如，我有一个访问列表定义为：

access-list policy-nat extended permit udp object-group MY_OBJ any eq snmp

另一种是

access-list firewall-list extended permit udp host 1.2.3.4 host 6.7.8.9 eq snmp

两个ACL都应用于相同的接口：

nat (my-int) 22 access-list policy-nat access-group firewall-list in interface my-int

任何符合NAT规则的流量模式会绕过访问组条目吗？

Answer 1

不，与NAT规则匹配的通信量不会绕过防火墙规则。

规则的适用顺序如下：

• 传入接口上的传入ACL
• NAT规则
• 出站接口上的传出ACL

您可以在这里找到流程的图形表示：http://www.tunnelsup.com/cisco-asa-order-of-operation

希望这能帮上忙！