old73 发表于 2014-11-29 16:57:05

关于防火墙inside,dmz,ouside安全级别的问题

有这样的说法,即防火墙高安全级别的端口可以访问低安全级别的端口,低安全级别的端口不能访问高安全级别的端口
现这样设置
inside   security-level为100
dmz      security-level为50
outside   security-level为0
如果做了static (inside,dmz) ,刚接在dmz接口的电脑就可以访问inside接口的电脑(也就是说可以许可低安全级别的端口访问高安全级别的端口)
如果做了nat (inside) global(dmz),刚接在inside接口的电脑就可以访问dmz接口的电脑,如果不做nat,即使是高安全级别的inside也不能访问低安全级别的dmz

如果这样,inside,dmz,outside这三个区划分安全级别还有什么意义?

klinuxe 发表于 2014-12-1 10:23:11

楼主要明白,数据包一收一发的,高级别的可以发过去低级别的,低级别的回报不过来,但是除了TCP协议之外,其它的要做ACL

klinuxe 发表于 2014-12-1 10:23:17

拿分走人呵呵,楼下继续!{:6_290:}

phil 发表于 2014-12-24 13:46:06

Thanks for your information.
页: [1]
查看完整版本: 关于防火墙inside,dmz,ouside安全级别的问题