Наверное, глупый вопрос, но я очень неопытен в том, как настроить наш ASA 5510 - однако использование инструмента ASDM кажется проще, чем старый интерфейс командной строки IOS.
Я хочу заблокировать весь SMTP-трафик, выходящий из нашей внутренней сети через брандмауэр, ЗА ИСКЛЮЧЕНИЕМ нескольких указанных серверов (почтовый сервер, веб-серверы). Вот что я сделал:
1) Создана сетевая группа с внутренними IP-адресами серверов, которые должны отправлять электронную почту (WEB_EMAIL)
Вот что, я думаю, мне нужно сделать.
2) Настройте правило внутреннего доступа следующим образом: Источник: WEB_EMAIL Назначение: любая Служба: tcp: smtp Действие: разрешить
3) Настройте внутреннее правило доступа чуть ниже последнего следующим образом: Источник: любой Назначение: любой Сервис: tcp: smtp Действие: запретить
Я правильно понял? Или в обоих правилах местом назначения должен быть внешний IP-адрес? Есть ли какие-либо неприятные побочные эффекты, о которых мне следует знать?
Спасибо
Вы все правильно поняли; получателем SMTP-трафика будет сервер, на который он пытается отправить, который может быть где угодно.
Создание правила для внутреннего интерфейса было правильным решением, поскольку оно контролирует трафик, поступающий на внутренний интерфейс из вашей внутренней сети.
Должно быть хорошо!