ASA 5505不允许通信量降低安全接口

Question

我们有一个ASA 5505与一个VLAN设置为每个外部，内部和两个dmz接口。外部接口设置为安全级别0，内部设置为100，两个dmz接口设置为50。

不幸的是，设备并没有像我所期望的那样，默认情况下将流量从dmz接口中的一个(其他当前已禁用)传递到外部接口。我期望从更高的安全性到更低的安全性，流量不应该被隐式ACL捕获。但是，packet-tracer工具表明情况是这样的--它在step2上被隐式ACL阻塞。我添加了一个ACE来允许外部I的流量，而现在流量确实在流动。然而，这不应该是需要做的。它将导致未来的管理负担，定义所有允许的IP、端口、协议等范围。

ASA的许可证上有安全附加。显示版本列表：

思科自适应安全装置软件8.4(4)版本6.4(9)设备管理器

该平台的许可功能：

最大物理接口:8永久

VLAN: 20 DMZ无限制

Answer 1

嗯，首先

我添加了一个ACE来允许外部I的流量，而现在流量确实在流动。然而，这不应该是需要做的。它将导致未来的管理负担，定义所有允许的IP、端口、协议等范围。

这实际上是通过使用适当的IP和端口进行过滤来正确配置安全设备的最佳实践。在我看来，仅仅使用安全级别来过滤流量是错误的做法。

尽管如此，只有在两个接口之间使用NAT时，从较高安全接口到较低安全接口的通信量才会在没有ACL接口的情况下通过。

编辑在评论

中回答问题

为了让您的DMZ能够在Internet上运行，而不是在您的局域网中，最简单的方法是使用两个ACL。

假设您的内部网络使用192.168.1.0/24，而DMZ为10.0.0.0/27

access-list [your access-group] extended deny ip 10.0.0.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list [your access-group] extended permit ip any any

规则自上而下读取，防火墙将使用第一个匹配的规则。

另一种方法是让ACL出现在您的内部接口上，但是有一个访问组分配给出站流量。

access-group [acl-traffic-out] out inside

以及过滤您允许离开内部接口的流量。

access-list acl-traffic-out extended deny ip 10.0.0.0 255.255.255.0 192.168.1.0 255.255.255.0

虽然您可以过滤出接口的流量，而不是进入接口，但我很少使用它。当您的规则基础变得更大时，它可能会变得很混乱。

请注意，您应该尽可能地限制流量。这只是一个例子。