【思唯网络学院】理解ASA 防火墙的 Security Level 和 same-security
首页 > >   作者:浙江思唯网络  2019年11月27日 17:26 星期三  字号:   评论:0 条
时间:2019-11-27 17:26   评论:0 条 

理解ASA 防火墙的 Security Level 和 same-security




1、理解 ASA 防火墙的 Security Level 对数据流量的控制

防火墙对数据流量的控制规则:1.查找状态化信息(conn) > 2.查找访问控制列表(ACL) > 3.比较安全优先级(Security Level)

 

【实验拓扑】

 



 

【实验说明】

如上图所示,完成基础配置,配好路由(注意:R1 和 R2 配置一条默认路由,必须指下一跳地址,指出接口则不通,想想为什么?)

Step 1:ASA 上没有配置 ACL

结果:R1 和 R2 不能互相 ping 通;R1 能 telnet R2,R2 不能 telnet R1;

 

Step 2:只在 ASA 的 Outside 接口的 in 方向挂一条 ACL。



结果:R1 和 R2 能互相 ping 通且能互相 telnet;

 

【实验分析】

我的结论:在没有状态化信息和 ACL 的前提下,ASA 防火墙只有在数据流第一次进入接口时比较一次Security Level,在数据流到达 ASA 出接口时就不再比较 Security Level 了!


 

2、理解 ASA 防火墙的“same-security”

【实验拓扑】



 


【实验说明】

在上述“理解 ASA 的 security-level”实验的基础上,我们将 Outside 接口的安全级别改成和 Inside 接口一样来观察实验现象。

 

Step 1:将 ASA 的 Outside 接口的安全级别改成和 Inside 接口一样,且保持 Outside 接口 in 方向上的 permit ip 的 ACL。

结果:R1 和 R2 相互不通了。

 

Step 2:在 ASA 上配置 same-security-traffic permit inter-interface


结果:R1 和 R2 相互通了。

 

Step 3:将 ASA  Outside 接口的 in 方向的 ACL 改成deny ip any any”,并开启 R2  telnet 服务。

结果:R1 不能 ping 通 R2,但是 R1 能 telnet R2。

 

Step 4:在 ASA 上清除所有的 ACL


R1 和 R2 能互相通了。

 

 

【实验分析】

我的结论:

●  ASA 的两个接口的 Security-level 相同时“same-security-traffic permit inter-interface”是流量控制的第一道开关,如果没有打开,则无论怎么配置 ACL 都不通。


● 如果它打开了,则接下来的流量控制继续会遵守“1.查找状态化信息(conn) > 2.查找访问控制列表

ACL)”。

Note:“same-security-traffic permit intra-interface”的原理和“same-security-traffic permit intra-interface”的类似。


目前CCIE RS 笔试和LAB 稳定,持续过人中,了解之前的PASS情况和咨询考试情况

请加QQ:804990984 , 839898248

技术交流请加群:859273036,备注博客

扫描二维码也可以加群哦:
技术交流群.jpg
 您阅读这篇文章共花了: 
 本文无需标签!
二维码加载中...
技术交流:欢迎在本文下方留言或加入QQ群:859273036 互相学习。     
本文地址:http://www.023wg.com/692.html
版权声明:若无注明,本文皆为“思唯网络学院博客”原创,转载请保留文章出处。

返回顶部    首页   
版权所有:思唯网络学院博客    浙江思唯网络