防火墙策略配置优化
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了防火墙策略配置优化相关的知识,希望对你有一定的参考价值。
网络拓扑图如下:
思科的ASA防火墙属于状态化防火墙,
配置访问策略时,只需要配置源主机访问目的主机TCP/UDP某些端口,策略应用在源主机所在区域的IN方向上
例如:
如图中拓扑图结构:
防火墙上有四个区域:
OUTSIDE ZONE 1.1.1.1/24
DMZ ZONE 192.168.10.254/24
INSIDE ZONE 192.168.20.254/24
INSIDEDB ZONE 192.168.30.254/24
针对状态化防火墙配置策略要求:配置的策略名称具有代表性
从OUTSIDE区域进入的流量,配置策略名:outside-inbound 策略应用在outside接口 in方向
例如:
Internet上主机需要访问DMZ区域的主机192.168.10.100 IP地址的80端口服务
access-list outside-inbound extended permit tcp any 192.168.10.100 eq www
access-group outside-inbound in interface outside
从DMZ区域进入的流量, 配置策略名:dmz-inbound 策略应用在dmz接口 in方向
例如:
DMZ区域主机192.168.10.100IP地址需要访问INSIDE区域192.168.20.100的4000端口服务
access-list dmz-inbound extended permit tcp host 192.168.10.100 host 192.168.20.100 eq 4000
access-group outside-inbound in interface dmz
从INSIDE区域出去的流量,配置策略名: inside-outbound(INSIDE区优先级别高)策略应用在inside接口 in方向
access-group inside-outbound in interface inside
从INSIDEDB区域出去的流量,配置策略名: insidedb-outbound(INSIDEDB区优先级别高)策略应用在insidedb接口 in方向
access-group insidedb-outbound in interface insidedb
本文出自 “默默地等你” 博客,谢绝转载!
以上是关于防火墙策略配置优化的主要内容,如果未能解决你的问题,请参考以下文章