Cisco ASA - inside_access_in 和 inside_access_out 之間的區別?
所以我們遇到的一個小問題是任何內部伺服器都沒有(非icmp)對外部的訪問被阻止。我們目前的配置是:
inside_access_in any ---> any ---> icmp inside_access_out any ---> any ---> ip
我知道如果我在 inside_access_in 添加“任何 - 任何 - ip”,這可能會解決問題,對吧?我的主要問題是,為什麼?
inside_access_in 和 inside_access_out 有什麼區別?
將“any –> any –> ip”添加到“inside_access_in”提供從外部世界到內部介面的任何額外訪問——這是我不想做的事情。
這是 sh 執行訪問組;
sh run access-group access-group inside_access_in in interface inside access-group inside_access_out out interface inside access-group outside_access_in in interface outside
inside_access_in 和 inside_access_out 有什麼區別?
Inside_access_in 和 Inside_access_out 只是訪問列表的友好名稱。
在您的情況下, Inside_access_in 是一個“入站”訪問列表,而 inside_access_out 是一個“出站”訪問列表。入站訪問列表應用於進入該介面的流量。相反,出站訪問列表會在流量退出該介面時應用於流量。因此,如果您將入站訪問列表應用於您的內部介面,那麼它將應用於從內部網路進入內部介面的流量。有道理?
目前,您的配置正在阻止任何非 icmp 流量進入防火牆的內部介面。
我知道如果我在 inside_access_in 添加“任何 - 任何 - ip”,這可能會解決問題,對吧?我的主要問題是,為什麼?
是的,這是正確的,正如我之前提到的,您目前只允許 ICMP 流量從內部網路進入內部介面,您需要允許其他類型的流量。
將“any –> any –> ip”添加到“inside_access_in”提供從外部世界到內部介面的任何額外訪問——這是我不想做的事情。
不,它不會允許來自外部的任何額外流量。但是,它將允許來自您內部介面的所有流量到達外部,這可能是您想要的,也可能不是您想要的。
通常,您將在內部介面上設置入站訪問列表,以僅允許您實際想要離開網路並訪問外部世界的流量類型。
此外,我看到您正在使用出站訪問列表,我認為這是您大部分困惑的根源。如果您有一個需要它的案例,您應該只使用出站訪問列表。預設情況下,Cisco ASA 將允許從安全性較高的介面(內部)到安全性較低的介面(外部)的所有流量。如果您已正確設置安全級別,那麼這將使您目前的出站訪問列表完全多餘。我建議您好好閱讀這篇 Cisco 文章,因為它解釋了您目前的困境。
http://www.cisco.com/c/en/us/td/docs/security/asa/asa70/configuration/guide/config/nwaccess.html