Firewall
ASA 防火牆:狀態過濾如何影響我的訪問列表?
好的,假設我有一個如下所示的入口訪問列表:
access-list outside_in extended ip permit any X.Y.Z.1 eq 25 access-group outside_in in interface outside
我想做出口過濾。我想允許內部機器在埠 80 上響應,並且我想允許超過 1024 的埠。鑑於防火牆是有狀態的,我是否需要有規則
access-list inside_in extended ip permit X.Y.Z.1 any eq 25
在我的 inside_in ACL 中,或者我可以逃脫
access-list inside_in extended ip permit any any gt 1024 access-group inside_in in interface inside
換句話說,如果我應用出口訪問列表,我是否必須明確允許機器響應入口訪問列表允許的請求,或者防火牆的狀態是否為我處理?
謝謝!
建立 TCP 連接後,流量已被評估並允許,這將計入流量的生命週期;不需要出口規則。
簡單地說:在為 TCP 連接建立規則時,您只需要考慮第一個 SYN 將採用的路徑。建構允許那些並且只允許您認為可接受的 SYN 的 ACL,防火牆將負責其餘的工作。
我建議只遵守入口規則,除非你有充分的理由不這樣做。這個例子看起來不像。