📜  默认流量 (ASA)

📅  最后修改于: 2022-05-13 01:57:01.596000             🧑  作者: Mango

默认流量 (ASA)

先决条件 - 自适应安全设备 (ASA)
ASA 是一种 Cisco 安全设备,可以通过 VPN 功能、路由支持、防病毒功能和许多其他功能执行防火墙功能。

安全级别 –
ASA 使用与可路由接口关联的安全级别。请记住,ASA 接口默认处于路由模式,即在第 3 层运行。为这些接口分配的安全级别是从 0 到 100 的数字。数字越大,对连接到该 ASA 的网络的信任度就越高界面。
根据安全级别,ASA 采取行动(是允许还是拒绝数据包)。

此外,请注意,我们可以为 ASA 接口分配名称,例如内部、外部或 DMZ。一旦我们将这些名称分配给一个接口,它就会自动为自己分配一个安全级别。例如,如果我们在接口内部分配了一个名称,它将为自己分配 100(安全级别),即最受信任的网络。如果我们为接口分配名称 Outside 或 DMZ 或任何其他名称,它将自动分配安全级别 0。这些是默认值,可以更改。

将安全级别 100(最高)分配给内部(最受信任的网络)、将 0(最低)分配给外部(不受信任或公共网络)以及 50 分配给 DMZ(组织公共设备网络)是一种很好的做法。

笔记 -
为 ASA 接口分配名称(INSIDE、OUTSIDE 或 DMZ)不是强制性的,但最好分配这些名称,因为它们简单且有意义。

默认流量 -
请注意,如果检查了流量,则将保留数据包的状态,即维护连接表,因此将允许回复(来自不受信任的网络),而如果对流量的操作通过,则只有流量将通过并且没有维护连接表。

默认情况下,ASA 允许流量从较高安全级别流向较低安全级别。如果流量是由较高安全级别的设备发起的,那么它将通过防火墙到达较低安全级别的设备,例如外部或 DMZ。

如果(TCP 或 UDP)流量是从较高安全级别发起的,则允许来自较低安全级别(外部或 DMZ)的回复(针对较高安全级别)。这是由于默认的状态检查(这意味着数据包的状态将保留在连接表中)。

但是,如果流量是从较高安全级别发送到较低安全级别的 ICMP,那么它将到达较低安全级别的设备,并且较低安全级别也将发送回显回复,但防火墙 (ASA) 将仅将其丢弃默认情况下会检查 TCP 和 UDP 流量。

如果我们希望 ASA 检查 ICMP 流量,那么我们必须通过命令手动进行。

asa(config)#fixup protocol ICMP 

此外,如果较低安全级别(外部或 DMZ)想要将任何流量(TCP、UDP或 ICMP)发送到较高安全级别,则 ASA 防火墙会因其默认策略而拒绝。为了允许它,可以使用访问列表。

另外,请注意,当我们将安全级别 50 分配给 DMZ、100 分配给内部、0 分配给外部时,将允许从 DMZ 到外部的流量,但 DMZ 设备仍然无法到达内部设备。

此外,默认情况下,如果两个接口具有相同的安全级别,则流量将不被允许
但是可以通过命令手动允许流量(在具有相同安全级别的两个接口之间)

asa(config)#same-security-traffic 
                permit inter-interface