web-dev-qa-db-ja.com

Cisco ASA-inside_access_inとinside_access_outの違いは?

したがって、私たちが抱えている小さな問題は、内部サーバーが外部への(非icmp)アクセスをブロックされていることです。現在の構成は次のとおりです。

inside_access_in any ---> any ---> icmp  
inside_access_out any ---> any ---> ip 

「any--any--ip」をinside_access_inに追加すると、おそらく問題が解決することを理解しています。私の主な質問は、なぜですか?

inside_access_inとinside_access_outの違いは何ですか?

「inside_access_in」に「any-> any-> ip」を追加すると、外部から内部インターフェースへの追加アクセスが提供されます。これは私がやりたくないことです。

これがshrunaccess-groupです。

sh run access-group
access-group inside_access_in in interface inside
access-group inside_access_out out interface inside
access-group outside_access_in in interface outside
1
Tom G11

inside_access_inとinside_access_outの違いは何ですか?

Inside_access_inとInside_access_outは、アクセスリストのわかりやすい名前です。

あなたの場合、Inside_access_inは「インバウンド」アクセスリストであり、inside_access_outは「アウトバウンド」アクセスリストです。インバウンドアクセスリストは、トラフィックがそのインターフェイスに入るときにトラフィックに適用されます。逆に、アウトバウンドアクセスリストは、そのインターフェイスを終了するときにトラフィックに適用されます。したがって、インバウンドアクセスリストを内部インターフェイスに適用すると、内部ネットワークから内部インターフェイスに入るトラフィックに適用されます。意味がありますか?

現在、構成により、非icmpトラフィックがファイアウォールの内部インターフェイスに入るのを防いでいます。

「any--any--ip」をinside_access_inに追加すると、おそらく問題が解決することを理解しています。私の主な質問は、なぜですか?

はい、その通りです。前述したように、現在、ICMPトラフィックは内部ネットワークから内部インターフェイスにのみ入ることができます。他の種類のトラフィックを許可する必要があります。

「inside_access_in」に「any-> any-> ip」を追加すると、外部から内部インターフェースへの追加アクセスが提供されます。これは私がやりたくないことです。

いいえ、OUTSIDEからの追加のトラフィックは許可されません。ただし、内部インターフェイスからのすべてのトラフィックが外部に到達できるようになります。これは、必要な場合とそうでない場合があります。

通常、内部インターフェイスにインバウンドアクセスリストを設定して、実際にネットワークを離れて外部にアクセスしたいタイプのトラフィックのみを許可します。

さらに、アウトバウンドアクセスリストを使用しているようですが、これが多くの混乱の原因だと思います。アウトバウンドアクセスリストは、それを必要とするユースケースがある場合にのみ使用する必要があります。デフォルトでは、Cisco ASAは、セキュリティの高いインターフェイス(内部)からセキュリティの低いインターフェイス(外部)へのすべてのトラフィックを許可します。セキュリティレベルを正しく設定している場合、これにより、現在のアウトバウンドアクセスリストが完全に冗長になります。このシスコの記事をよく読んで、現在の問題を説明することをお勧めします。

http://www.Cisco.com/c/en/us/td/docs/security/asa/asa70/configuration/guide/config/nwaccess.html

4
blacklight