设为首页收藏本站language→→ 语言切换

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

查看: 2480|回复: 10
收起左侧

[已解决] cisco asa zone based 概念一問

[复制链接]
发表于 2013-4-9 12:04:28 | 显示全部楼层 |阅读模式
alex------ A(ASA 防火墙)B-----bob

如上图ASA 防火墙  左边为A ZONE          security level 80          A zone host 设为alex
                              右边为B ZONE           security level 100        B zone host 设为bob

问题如下:
1. 当alex 想去bob , 在A ZOME PEMIT 了alex 去bob , 在B zone 要不要再定义一次alex 能去bob?




2. 当bob 想去alex , 因为B zone security level > A zone security level , 理论上不用define acl 就可以去, 但事实上你不DEFINE acl
  permit bob 去alex , 是过不了的, 这是什魔原因?



PLZ HELP!!!!!!!!!!!!!


发表于 2013-4-9 12:27:36 | 显示全部楼层
怎么个意思
沙发 2013-4-9 12:27:36 回复 收起回复
回复 支持 反对

使用道具 举报

 楼主| 发表于 2013-4-9 12:52:47 | 显示全部楼层
@@ 有哈不明白  請指出
板凳 2013-4-9 12:52:47 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2013-4-9 13:43:59 | 显示全部楼层
1、你在A 定义了策略去B,那么你访问的流量会根据策略的放行自动建立会话,返回的流量也可以根据这个会话回来,不需要策略放行
2、高级别接口访问低级别接口是没有限制的,但是只限于有状态表项的内容,也就是TCP与UDP,如果你测试的是三层协议的话,比如ICMP、GRE这些,不能创建表项则需要明确放行ICMP的Reply回来,否则会拒绝,也可以通过MPF监控这些协议
地板 2013-4-9 13:43:59 回复 收起回复
回复 支持 反对

使用道具 举报

 楼主| 发表于 2013-4-9 14:37:42 | 显示全部楼层

第1個問題

應該理解為 A 去B , 在A 的點放了ACL 給 A 去 B , 要在B 的點建ACL 給 A 進來嗎?

第2個問題

高级别接口访问低级别接口是没有限制的,但是只限于有状态表项的内容,也就是TCP与UDP

但是我試的是SNMP 不建立 acl 高去低都不行

感謝回覆
5# 2013-4-9 14:37:42 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2013-4-9 23:37:12 | 显示全部楼层
bbsky622 发表于 2013-4-9 14:37
第1個問題

應該理解為 A 去B , 在A 的點放了ACL 給 A 去 B , 要在B 的點建ACL 給 A 進來嗎?

你明白两个概念就行了,第一个高级别访问低级别没有限制,但低级别访问高级别必须通过ACL放行,
第二个就是防火墙是基于Session的,当你一个会话存在的话,那么流量会通过这个会话进行判断是否转发,ACL不能影响,ACL只能影响一个数据化初始化建立的时候,来决定是否Permit还是deny

你第一个问题,只需要在A上面放行进入的流量,不需要在B建立

第二个问题
你确定下是从高级别访问的不,我这边一直使用SNMP 不需要放行SNMP的流量,你方向别弄错了,是SNMP的软件监控在高级别,Agent在低级别接口  

想更加了解的话 建议你系统去学习下ASA这门课
6# 2013-4-9 23:37:12 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2013-4-10 10:06:27 | 显示全部楼层
首先对已思科的ASA那个接口下的inside和outside与juniper防火墙的zone-base-firewall还是有一定的区别的

思科的防火墙默认情况下从高安全级别到低安全级别的TCP和UDP的访问是被允许的,但是有些特殊的协议由于没有监控所以不会被允许,例如ICMP

默认你在低安全级别使用ACL明确放行流量以后,你允许的流量是可以通过的

7# 2013-4-10 10:06:27 回复 收起回复
回复 支持 反对

使用道具 举报

 楼主| 发表于 2013-4-10 10:28:59 | 显示全部楼层
感覺大家回覆

我再測試一下  然後回覆大家

題外話:
本身都想報CCNP 的 security  但 他要求NA security  pass 才能考, 不太想由的NA 的LEVEL 學起

大家有什魔好方法嗎??

別的同事說 NA security 先 題庫自習混過 , NP 才去讀 這樣好嗎?
8# 2013-4-10 10:28:59 回复 收起回复
回复 支持 反对

使用道具 举报

 楼主| 发表于 2013-4-10 11:01:44 | 显示全部楼层
大家好 , 小弟 又多了一個問題

怎樣才算是 存在 在那個ZONE 呢?

我這兒有一個 gi0/1.100
                  security level 100
                  ip 為172.22.1.100 255.255.255.0  vlan 100

高安全级别到低安全级别  在這情況下

是指 經 gi0/1.100  去 其他ZONE嗎?

9# 2013-4-10 11:01:44 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2013-4-10 11:03:19 | 显示全部楼层
10# 2013-4-10 11:03:19 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2013-4-13 15:15:14 | 显示全部楼层
bbsky622 发表于 2013-4-10 10:28
感覺大家回覆

我再測試一下  然後回覆大家

有时间的话 自学就可以了   NA的内容NP Security都会讲解的  考证你后续考没关系 主要是把技术先搞定了
11# 2013-4-13 15:15:14 回复 收起回复
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-1-7 06:25 , Processed in 0.087634 second(s), 13 queries , Redis On.  

  Powered by Discuz!

  © 2001-2024 HH010.COM

快速回复 返回顶部 返回列表