У меня проблемы с реализацией списков доступа на моем asa 5510 (8.2) таким образом, чтобы это было понятно для меня.
У меня есть один список доступа для каждого интерфейса на устройстве. Списки доступа добавляются в интерфейс с помощью команды access-group.
скажем, у меня есть эти списки доступа
access-group WAN_access_in in interface WAN
access-group INTERNAL_access_in in interface INTERNAL
access-group Production_access_in in interface PRODUCTION
WAN имеет уровень безопасности 0, уровень внутренней безопасности 100, производственный уровень безопасности 50.
Что я хочу сделать, так это иметь простой способ проделать дыры от производства к внутреннему. Кажется, что это довольно просто, но тогда само понятие уровней безопасности уже не имеет значения. Тогда я не могу выйти из WAN-интерфейса. Мне нужно будет добавить ЛЮБОЙ ЛЮБОЙ список доступа, который, в свою очередь, полностью открывает доступ для ВНУТРЕННЕЙ сети. Я мог бы решить эту проблему, выполнив явные DENY ACE для моей внутренней сети, но это звучит довольно хлопотно.
Как это делается на практике? В iptables я бы использовал примерно такую логику. Если источник равен производственной подсети, а исходящий интерфейс равен WAN. ПРИНЯТЬ.
Правильно, уровни безопасности больше не имеют значения для оценки ACL - неявное «принятие трафика, привязанного к более низкой сети безопасности» отменяется, когда есть access-group назначен интерфейсу.
Вам нужно что-то в этом роде:
access-list WAN_access_in extended permit tcp host wan_allowed_host any host inside_dest_host http
access-list WAN_access_in extended deny ip wan_net 255.255.255.0 inside_net 255.255.255.0
access-list WAN_access_in extended permit ip any any