Списки доступа ASA и Выходная Фильтрация

Немного обзора, прежде, чем добраться до специфических особенностей. Каждый интерфейс имеет два ACLs; вход ACL (названный interface_in) и выход ACL (названный interface_out). Прием с именованием должен постараться не думать об этом с точки зрения "внутренней части" и "снаружи"; вместо этого, думайте о нем с точки зрения "трафика, происходящего (в/из) этот интерфейс".

Это дает большую гибкость с точки зрения того, где Вы применяете данное правило, но можете также потенциально быть огромным источником ненужной сложности.

Так, к Вашему примеру. Если Вы обращаетесь к соединениям блока на порте 25 (smtp), которые происходят из внутреннего узла и предназначены для узла Интернета, у Вас есть две опции:

access-list inside_in extended deny tcp host X.Y.Z.1 any eq smtp

и

access-list outside_out extended deny tcp host X.Y.Z.1 any eq smtp

Если у Вас только будет два интерфейса, то эти команды будут иметь идентичный эффект. То, когда это становится сложным, - когда у Вас есть больше интерфейсов; скажите, например, интерфейс DMZ.

Первая команда (на inside_in ACL) только предотвратит тот трафик, когда это войдет> снаружи, но не dmz-> снаружи. Вторая команда (на outside_out ACL) предотвратила бы обоих.

Так, это - опции для того, где применить выходные правила. Мое предложение для Вашей собственной исправности состоит в том, чтобы только использовать одну из этих двух опций (и копировать некоторые правила, если Вы имеете к); Вы будете стрелять себе в ногу, если Вы вынудите себя проверить 5 различных ACLs для поиска и устранения неисправностей одного потока трафика.