ASA8.4policy-map接口和全局执行的优先级测试:
一.概述:
QQ群里面有网友讨论ASA防火墙的policy-map的global和interface的执行顺序,从字面意思可以看出这两种的应用范围是不一样的,一个是全局调用,一个只在接口下调用,因此觉得是详细的interface被优先调用,为了确认自己的想法,决定搭建环境验证一下。
二.基本思路:
A.不相冲突的policy-map估计会被全局和接口的service-policy先后调用执行,看不出效果
B.只能用相冲突的policy-map,在全局和接口的service-policy中同时调用,看最终哪个生效
C.全局和接口的policy-map执行范围是不一样的,估计接口的policy-map会被优先调用执行,顺序可能为:
①.先执行接口的service-policy,并调用对应的policy-map,如果被匹配,则不执行全局的service-policy
②.如果不被接口的policy-map所匹配,则会接着执行全局的service-policy,并调用对应的policy-map
----经过测试,发现跟想象的有点区别:如果被接口policy-map审查通过,是会送到全局policy-map的;除非被接口的class-map的ACL丢弃,或者被审查后丢弃。
三.测试拓扑:
10.1.1.0/24(Inside) 200.100.1.0/24(Outside)
PC1(.8)----------------------(.1)ASA842(.1)----------------------------(.8)PC2
web服务器端口为:2000
四.基本配置:
A.PC1:
IP:10.1.1.8/24 ,GW:10.1.1.1
B.ASA842防火墙:
①接口配置:
interface GigabitEthernet0
nameif Inside
security-level 100
ip address 10.1.1.1 255.255.255.0
no shut
interface GigabitEthernet1
nameif Outside
security-level 0
ip address 202.100.1.1 255.255.255.0
no shut
②动态PAT配置:
object network Inside.net
subnet 10.1.1.0 255.255.255.0
object network Inside.net
nat (Inside,Outside) dynamic interface
③静态PAT配置:
object network Inside.pc1
host 10.1.1.8
object network Inside.pc1
nat (Inside,Outside) static interface service tcp 2000 2000
④策略设置:
access-list outside extended permit tcp any object Inside.pc1 eq 2000
access-group outside in interface Outside
五.测试步骤:
A.验证此时外网是否能正常访问内部web服务器:
----无法访问,因为默认全局策略开启了skinny审查
B.配置outside接口的policy-map并调用:
access-list web2000 extended permit tcp any object Inside_pc1 eq 2000
class-map web2000
match access-list web2000
policy-map web2000
class web2000
inspect http
service-policy web2000 interface Outside
C.验证此时外网是否能正常访问内部web服务器:
---仍然无法访问
ciscoasa# show service-policy
Global policy:
Service-policy: global_policy
Class-map: inspection_default
.....省略部分..................
Inspect: ip-options _default_ip_options_map, packet 0, drop 0, reset-drop 0
Inspect: skinny , packet 4, drop 1, reset-drop 0
tcp-proxy: bytes in buffer 0, bytes dropped 0
Interface Outside:
Service-policy: web2000
Class-map: web2000
Inspect: http, packet 4, drop 0, reset-drop 0
---可以看到,数据包虽然被接口下class-map审查合格后放行,但是却被全局下的class-map丢弃。
D.调整outside接口的policy-map并调用:
access-list outside_skinny extended deny tcp any object Inside_pc1 eq 2000
access-list outside_skinny extended permit tcp any any eq 2000
class-map outside_skinny
match access-list outside_skinny
policy-map outside_skinny
class outside_skinny
inspect skinny
no service-policy web2000 interface outside
service-policy outside_skinny interface Outside
E.验证此时外网是否能正常访问内部web服务器:
---可以正常访问
访问之前,clear service-policy,访问完成之后再查看:
ciscoasa# show service-policy
Global policy:
Service-policy: global_policy
Class-map: inspection_default
.....省略部分..................
Inspect: ip-options _default_ip_options_map, packet 0, drop 0, reset-drop 0
Inspect: skinny , packet 0, drop 0, reset-drop 0
tcp-proxy: bytes in buffer 0, bytes dropped 0
Interface Outside:
Service-policy: outside_skinny
Class-map: outside_skinny
Inspect: skinny , packet 0, drop 0, reset-drop 0
tcp-proxy: bytes in buffer 0, bytes dropped 0
----可以发现访问前后全局和接口的class-map都没有被匹配
F.调整全局和接口policy-map:
①接口:
access-list outside_skinny extended permit tcp any any eq 2000
class-map outside_skinny
match access-list outside_skinny
policy-map outside_skinny
class outside_skinny
inspect skinny
service-policy outside_skinny interface Outside
②全局:
access-list global_skinny extended deny tcp any object Inside_pc1 eq 2000
access-list global_skinny extended permit tcp any any eq 2000
class-map global_skinny
match access-list global_skinny
policy-map global_policy
class inspection_default
no inspect skinny
class global_skinny
service-policy global_policy global
③测试:
----无法访问,被outside接口的policy-map拒绝
ciscoasa# show service-policy
Global policy:
Service-policy: global_policy
Class-map: inspection_default
........省略部分..............
Inspect: ip-options _default_ip_options_map, packet 0, drop 0, reset-drop 0
Class-map: global_skinny
Inspect: skinny , packet 0, drop 0, reset-drop 0
tcp-proxy: bytes in buffer 0, bytes dropped 0
Interface Outside:
Service-policy: outside_skinny
Class-map: outside_skinny
Inspect: skinny , packet 4, drop 1, reset-drop 0
tcp-proxy: bytes in buffer 0, bytes dropped 0
----可以看到,因为outside的ACL没有明确拒绝流量,所以被匹配,并检测到不是skinny流量而被丢弃
G.再次调整全局和接口的policy-map:
①接口:
access-list outside_skinny extended deny tcp any object Inside_pc1 eq 2000
access-list outside_skinny extended permit tcp any any eq 2000
class-map outside_skinny
match access-list outside_skinny
policy-map outside_skinny
class outside_skinny
inspect skinny
service-policy outside_skinny interface Outside
②全局:
access-list global_skinny extended permit tcp any any eq 2000
class-map global_skinny
match access-list global_skinny
policy-map global_policy
class global_skinny
inspect skinny
service-policy global_policy global
③测试:
----可以正常访问
ciscoasa# show service-policy
Global policy:
Service-policy: global_policy
Class-map: inspection_default
.......省略部分....................
Inspect: ip-options _default_ip_options_map, packet 0, drop 0, reset-drop 0
Class-map: global_skinny
Inspect: skinny , packet 0, drop 0, reset-drop 0
tcp-proxy: bytes in buffer 0, bytes dropped 0
Interface Outside:
Service-policy: outside_skinny
Class-map: outside_skinny
Inspect: skinny , packet 0, drop 0, reset-drop 0
tcp-proxy: bytes in buffer 0, bytes dropped 0
----可以发现outside接口的ACL配置了拒绝后,不会去匹配全局的policy-map。
六.总结:
A.处理顺序:先接口再全局
B.是否会送到全局:如果没有被接口policy-map匹配,或被接口policy-map审查通过,会被送到全局
-----被ACL丢弃,或审查后被丢弃,都不会去匹配全局policy-map
ASA8.4policy-map接口和全局执行的优先级测试:相关推荐
- jdk1.8.0_45源码解读——Map接口和AbstractMap抽象类的实现
jdk1.8.0_45源码解读--Map接口和AbstractMap抽象类的实现 一. Map架构 如上图: (01) Map 是映射接口,Map中存储的内容是键值对(key-value). (02) ...
- c++ map iterator 获取key_Java集合框架——Map接口
第三阶段 JAVA常见对象的学习 集合框架--Map集合 在实际需求中,我们常常会遇到这样的问题,在诸多的数据中,通过其编号来寻找某一些信息,从而进行查看或者修改,例如通过学号查询学生信息.今天我们所 ...
- Java集合(7)--Map接口的实现类HashMap、LinkHashMap、TreeMap和Properties
文章目录 HashMap类 LinkedHashMap类 TreeMap类 Hashtable类 Properties类 HashMap类 1.HashMap类概述 HashMap是 Map 接口使用 ...
- Collection 和 Map接口及其实现类总结
Collection 和 Map接口及其实现类总结 Collection接口 Collection是最基本的集合接口,一个Collection代表一组Object,即Collection的元素(Ele ...
- Java Map接口详解
Map接口 Map接口概述 Map与Collection并列存在.用于保存具有映射关系的数据:key-value Map 中的 key 和 value 都可以是任何引用类型的数据 Map 中的 key ...
- Map接口总结与HashMap源码分析
Map接口 1.Map,用于保存K-V(双列元素) 2.Map中的Key Value可以是任意引用分类型的数据,会封装到HashMap的Node对象中 3.Map的key不允许重复.原因和HashSe ...
- Java集合篇:Map接口、Map接口的实现类、Collections集合工具类
目录 一.Map接口 1.1 Map接口概述 1.2 Map接口常用功能 二.Map接口的实现类 2.1 Map实现类之一:HashMap 2.1.1 HashMap概述 2.1.2 HashMap的 ...
- Collection集合类和Map接口各实现类详解
Java的集合类(collection接口和Map) 一.集合概述 集合:集合是java中提供的一种容器,可以用来存储多个数据. 集合和数组既然都是容器,它们有啥区别呢? 数组的长度是固定的.集合的长 ...
- 集合框架详解之Set、Map接口与实现类
集合框架 1.Set集合 1.1Set集合概述 Set实现类:HashSet类.TreeSet类 特点:无序.无下标.元素不可重复 方法:全部继承自Collection中的方法 1.11 Set接口的 ...
最新文章
- CentOs6.5下安装vim7.4
- echarts 默认显示图例_echarts图例组件点击显示功能(默认功能点击消失)
- 运行tensorflow代码出现dtypes.py:516: FutureWarning: Passing (type, 1) or '1type的解决方法(亲测)
- Windows 之 删除文件出现“该项目不在请确认该项目的位置”
- Christopher G. Atkeson 简介
- CABasicAnimation fillMode和removedOnCompletion
- 资深专家深度剖析Kubernetes API Server第2章(共3章)
- 【转载】高效能,大数据量存储方案SqlBulkCopy
- java趣味_Java趣味分享:try finally
- 《C和指针》——数组的存储顺序
- 并查集一般高级应用的理解
- JS每隔一段时间执行一个方法
- php多线程操作同一文件
- 金山词霸2005开启后导致桌面刷新的问题
- 数据库自定义聚合函数(求和、标准差、平均值、几何平均值、几何标准差、偏度系数、峰度系数)
- 360 自动 html 极速模式,用Meta标签代码让360双核浏览器默认极速模式打开网站不是兼容模式(顺带解决很多兼容性问题)...
- 商汤科技——机器视觉面试
- matlab绘图 作业,实验作业2 - -MATLAB作图
- 看steam教育之风带来创新与变革
- 计算机硬盘越大运行速度越大吗,固态硬盘越大运行速度越快吗