理解ASA 防火墙的 Security Level 和 same-security

1、理解 ASA 防火墙的 Security Level 对数据流量的控制

防火墙对数据流量的控制规则：1.查找状态化信息（conn） > 2.查找访问控制列表（ACL） > 3.比较安全优先级（Security Level）

 

【实验拓扑】

 

【实验说明】

如上图所示，完成基础配置，配好路由（注意：R1 和 R2 配置一条默认路由，必须指下一跳地址，指出接口则不通，想想为什么？）

Step 1：ASA 上没有配置 ACL。

结果：R1 和 R2 不能互相 ping 通；R1 能 telnet R2，R2 不能 telnet R1；

 

Step 2：只在 ASA 的 Outside 接口的 in 方向挂一条 ACL。

结果：R1 和 R2 能互相 ping 通且能互相 telnet；

 

【实验分析】

我的结论：在没有状态化信息和 ACL 的前提下，ASA 防火墙只有在数据流第一次进入接口时比较一次Security Level，在数据流到达 ASA 出接口时就不再比较 Security Level 了！

 

 

2、理解 ASA 防火墙的“same-security”

【实验拓扑】

【实验说明】

在上述“理解 ASA 的 security-level”实验的基础上，我们将 Outside 接口的安全级别改成和 Inside 接口一样来观察实验现象。

 

Step 1：将 ASA 的 Outside 接口的安全级别改成和 Inside 接口一样，且保持 Outside 接口 in 方向上的 permit ip 的 ACL。

结果：R1 和 R2 相互不通了。

 

Step 2：在 ASA 上配置 same-security-traffic permit inter-interface

结果：R1 和 R2 相互通了。

Step 3：将 ASA 的 Outside 接口的 in 方向的 ACL 改成“deny ip any any”，并开启 R2 的 telnet 服务。

结果：R1 不能 ping 通 R2，但是 R1 能 telnet R2。

Step 4：在 ASA 上清除所有的 ACL

R1 和 R2 能互相通了。

 

【实验分析】

我的结论：

• 当ASA 的两个接口的 Security-level 相同时，“same-security-traffic permit inter-interface”是流量控制的第一道开关，如果没有打开，则无论怎么配置 ACL 都不通。

 

• 如果它打开了，则接下来的流量控制继续会遵守“1.查找状态化信息（conn）> 2.查找访问控制列表

（ACL）”。

Note：“same-security-traffic permit intra-interface”的原理和“same-security-traffic permit intra-interface”的类似。

目前CCIE RS 笔试和LAB 稳定，持续过人中，了解之前的PASS情况和咨询考试情况

请加QQ:804990984 , 839898248

技术交流请加群：859273036，备注思唯官网

扫描二维码也可以加群哦：