ASA5510 DMZ 區域無法解析外網域名案例:
目前ASA5510分為outside(security-level0),dmz 10.48.35.2(security-level50),inside 10.48.25.2(security-level100),dmz和inside網段互訪做了nonat和access-list permit,dmz和inside都映射為outside接口外網ip
然后在outside接口上有個access-group permit tcp 某個外網ip 10.48.25.2 1433,讓外網特定ip訪問inside數據庫端口并應用到outside接口
dmz接口上有個access-group per tcp host 10.48.35.2 10.48.25.2 1433和icmp,讓dmz的服務器訪問inside數據庫端口,并能ping通inside服務器
結果inside區域的服務器正常上網,dmz區域服務器只可以ping通外網ip,不能用dns解析外網域名,都是解析超時
我絕對是小白新手,請大家幫我分析一下什么情況造成的,我原來以為高security(50)都可以向低security(0)訪問
解答:
那個策略只寫了到inside的相應端口訪問,難道其他都默認deny?
顯示配置了PERMIT,所以其他都是DENY (DMZ-OUTSIDE)
還是說dmz端口上有access-group就看access-group,沒permit的都默認deny,
1. 首先看有沒有會話
2. 沒有會話看ACl,如果接口沒有配置ACL,那么采取默認行為
高到低允許
如果dmz端口上沒有access-group,就匹配高security向低security無限制訪問?
有限制,無會話的流量,需要做如下處理:
流量方向接口放行
inspect
- 北京機房搬遷改造公司,系統集成有哪些公司?-2019-11-04
- 如何打造一個安全的網絡環境?政府要做到這四點-2019-11-04
- 北京辦公室網絡布線,綜合布線施工價格-2019-11-04
- 深信服產品專業上網行為管理,安全設備有保障-2019-11-04
- 兩年內網絡安全市場規模將達千億級別?來看看詳細分析-2019-11-04
- 北京炫億時代專業機房設備除塵,機房網絡改造-2019-11-04
- 企業如何保障移動辦公的安全性?移動辦公存在的七大安-2019-11-01
- 北京深信服AC-1000-A400產品租賃購買,專業IT上網行為管理-2019-11-01
- 互聯網企業軟件開發如何才能沒有漏洞?專業工程師給出-2019-11-01
- 如何避免APP的“越權”行為?要靠制定相關法律法規-2019-11-01
企業通訊
