отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Списки доступа на ASA 5510

Коллеги, добрый день.

Возникла необходимость повесить на интерфейс ASA внешний IP адрес и настроить NAT для внутренних сетей. Возник вопрос по поводу списков доступа. Если для внешнего интерфейса указан нулевой уровень безопасности:

interface Ethernet0/1.9

shutdown

vlan 9

nameif INTERNET

security-level 0

А внутренний интерфейс имеет уровень безопасности 100:

interface Ethernet0/0

speed 1000

duplex full

nameif INTERNAL

security-level 100

То нужно ли вешать на внешний интернет-интерфейс какой-то список доступа отсекающий незапрошенный и лишний траффик извне, в том числе на саму ASA?

Теги (3)
1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

Re: Списки доступа на ASA 5510

Нет, не нужно. В этом смысл алгоритма Adaptive Security:

http://www.cisco.com/en/US/docs/security/pix/pix42/configuration/guide/pix42int.html#wp7874

Доступ к самой ASA определеяется не в access-group на интерфейсе, а с помощью определения диапазонов адресов, которым разрешен доступ на управление, например.

7 ОТВЕТ.

Re: Списки доступа на ASA 5510

Нет, не нужно. В этом смысл алгоритма Adaptive Security:

http://www.cisco.com/en/US/docs/security/pix/pix42/configuration/guide/pix42int.html#wp7874

Доступ к самой ASA определеяется не в access-group на интерфейсе, а с помощью определения диапазонов адресов, которым разрешен доступ на управление, например.

New Member

Re: Списки доступа на ASA 5510

Спасибо Евгений, а как с EIGRP и т.п. траффиком на саму ASA?

New Member

Re: Списки доступа на ASA 5510

И ещё момент, как опубликовать внутренний ресурс (адрес:порт)? Я настрою статическую трансляцию, где тогда будет разрешающее правило для внешнего траффика внутрь на этот ресурс?

Re: Списки доступа на ASA 5510

Чтобы опубликовать ресурс уже потребуется назначить access-group на внешний интерфейс и разрешить в нем трафик к данной связке адрес:порт. eigrp это тоже control palane.

New Member

Re: Списки доступа на ASA 5510

После назначения access-group на внешний интерфейс запрошенный изнутри траффик нужно разрешать в соответствующем ACL снаружи или он пойдёт согласно "Adaptive Security"?

Re: Списки доступа на ASA 5510

Нет, он вернется по алгоритму Adaptive Security.

New Member

Re: Списки доступа на ASA 5510

Ок, спасибо.

684
Просмотры
5
Полезный материал
7
Ответы