默认流量 (ASA)

先决条件 - 自适应安全设备 (ASA)
ASA 是一种 Cisco 安全设备，可以通过 VPN 功能、路由支持、防病毒功能和许多其他功能执行防火墙功能。

安全级别 –
ASA 使用与可路由接口关联的安全级别。请记住，ASA 接口默认处于路由模式，即在第 3 层运行。为这些接口分配的安全级别是从 0 到 100 的数字。数字越大，对连接到该 ASA 的网络的信任度就越高界面。
根据安全级别，ASA 采取行动（是允许还是拒绝数据包）。

此外，请注意，我们可以为 ASA 接口分配名称，例如内部、外部或 DMZ。一旦我们将这些名称分配给一个接口，它就会自动为自己分配一个安全级别。例如，如果我们在接口内部分配了一个名称，它将为自己分配 100（安全级别），即最受信任的网络。如果我们为接口分配名称 Outside 或 DMZ 或任何其他名称，它将自动分配安全级别 0。这些是默认值，可以更改。

将安全级别 100（最高）分配给内部（最受信任的网络）、将 0（最低）分配给外部（不受信任或公共网络）以及 50 分配给 DMZ（组织公共设备网络）是一种很好的做法。

笔记 -
为 ASA 接口分配名称（INSIDE、OUTSIDE 或 DMZ）不是强制性的，但最好分配这些名称，因为它们简单且有意义。

默认流量 -
请注意，如果检查了流量，则将保留数据包的状态，即维护连接表，因此将允许回复（来自不受信任的网络），而如果对流量的操作通过，则只有流量将通过并且没有维护连接表。

默认情况下，ASA 允许流量从较高安全级别流向较低安全级别。如果流量是由较高安全级别的设备发起的，那么它将通过防火墙到达较低安全级别的设备，例如外部或 DMZ。

如果（TCP 或 UDP）流量是从较高安全级别发起的，则允许来自较低安全级别（外部或 DMZ）的回复（针对较高安全级别）。这是由于默认的状态检查（这意味着数据包的状态将保留在连接表中）。

但是，如果流量是从较高安全级别发送到较低安全级别的 ICMP，那么它将到达较低安全级别的设备，并且较低安全级别也将发送回显回复，但防火墙 (ASA) 将仅将其丢弃默认情况下会检查 TCP 和 UDP 流量。

如果我们希望 ASA 检查 ICMP 流量，那么我们必须通过命令手动进行。

asa(config)#fixup protocol ICMP 

此外，如果较低安全级别（外部或 DMZ）想要将任何流量（TCP、UDP或 ICMP）发送到较高安全级别，则 ASA 防火墙会因其默认策略而拒绝。为了允许它，可以使用访问列表。

另外，请注意，当我们将安全级别 50 分配给 DMZ、100 分配给内部、0 分配给外部时，将允许从 DMZ 到外部的流量，但 DMZ 设备仍然无法到达内部设备。

此外，默认情况下，如果两个接口具有相同的安全级别，则流量将不被允许。
但是可以通过命令手动允许流量（在具有相同安全级别的两个接口之间）

asa(config)#same-security-traffic 
                permit inter-interface