У нас есть ASA 5505 с настройкой VLAN для каждого из внешних, внутренних и двух интерфейсов dmz. Для внешнего интерфейса установлен уровень безопасности 0, для внутреннего - 100, а для обоих интерфейсов dmz - 50.
К сожалению, устройство не передает трафик с одного из интерфейсов dmz (другой в настоящее время отключен) на внешний интерфейс по умолчанию, как я и ожидал. Я ожидаю, что при переходе от более высокого уровня безопасности к более низкому, трафик не должен попадать в неявный ACL. Однако инструмент отслеживания пакетов показывает, что это так - что на шаге 2 он блокируется неявным ACL. Я добавил ACE, чтобы разрешить трафик на внешние IP-адреса, и теперь трафик идет. Однако в этом нет необходимости. Это создаст дополнительную нагрузку на управление, определяя все разрешенные диапазоны IP-адресов, портов, протоколов и т. Д.
Лицензия на ASA имеет Security Plus. Показать списки версий:
Программное обеспечение Cisco Adaptive Security Appliance версии 8.4 (4) Диспетчер устройств версии 6.4 (9)
Лицензионные функции для этой платформы:
Максимальное количество физических интерфейсов: 8 бессрочных
VLAN: 20 DMZ без ограничений
Ну во-первых
Я добавил ACE, чтобы разрешить трафик на внешние IP-адреса, и теперь трафик идет. Однако в этом нет необходимости. Это создаст дополнительную нагрузку на управление, определяя все разрешенные диапазоны IP-адресов, портов, протоколов и т. Д.
На самом деле это лучшая практика для правильной настройки устройств безопасности путем фильтрации с использованием правильных IP-адресов и портов. На мой взгляд, использование только уровней безопасности для фильтрации трафика - плохая практика.
При этом трафик от интерфейса с более высоким уровнем безопасности к интерфейсу с более низким уровнем безопасности будет проходить без ACL, только если вы используете NAT между двумя интерфейсами.
Отредактируйте, чтобы ответить на вопросы в комментариях
Чтобы ваша DMZ могла выходить в Интернет, но не в вашу локальную сеть, самый простой способ сделать это - использовать два ACL.
Допустим, ваша внутренняя сеть использует 192.168.1.0/24, а ваша DMZ - 10.0.0.0/27.
access-list [your access-group] extended deny ip 10.0.0.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list [your access-group] extended permit ip any any
Правила читаются сверху вниз, и межсетевой экран будет использовать первое из них.
Другой способ сделать это - иметь ACL на вашем внутреннем интерфейсе, но с группой доступа, назначенной для исходящего трафика.
access-group [acl-traffic-out] out inside
И фильтруйте трафик, который вы разрешаете покинуть внутренний интерфейс.
access-list acl-traffic-out extended deny ip 10.0.0.0 255.255.255.0 192.168.1.0 255.255.255.0
Хотя вы можете фильтровать трафик, идущий вне интерфейса, а не в интерфейс, я им редко пользуюсь. Когда ваша база правил становится больше, это может сбивать с толку.
Обратите внимание, что вы должны максимально ограничить трафик. Это действительно просто пример.