ASA 防火牆：狀態過濾如何影響我的訪問列表？

好的，假設我有一個如下所示的入口訪問列表：

access-list outside_in extended ip permit any X.Y.Z.1 eq 25
access-group outside_in in interface outside

我想做出口過濾。我想允許內部機器在埠 80 上響應，並且我想允許超過 1024 的埠。鑑於防火牆是有狀態的，我是否需要有規則

access-list inside_in extended ip permit X.Y.Z.1 any eq 25

在我的 inside_in ACL 中，或者我可以逃脫

access-list inside_in extended ip permit any any gt 1024
access-group inside_in in interface inside

換句話說，如果我應用出口訪問列表，我是否必須明確允許機器響應入口訪問列表允許的請求，或者防火牆的狀態是否為我處理？

謝謝！

建立 TCP 連接後，流量已被評估並允許，這將計入流量的生命週期；不需要出口規則。

簡單地說：在為 TCP 連接建立規則時，您只需要考慮第一個 SYN 將採用的路徑。建構允許那些並且只允許您認為可接受的 SYN 的 ACL，防火牆將負責其餘的工作。

我建議只遵守入口規則，除非你有充分的理由不這樣做。這個例子看起來不像。

引用自：https://serverfault.com/questions/245002