PIX&ASA的流量放行问题

老胳膊 总结PIX 流量 放行 问题 ： NAT，从高到低（安全级别） ACL，在完全级别较低的端口上 放行 流量 ESP、isakmp(vpn协议)，是非状态化协议，不支持状态化监控，需要 放行 返回的ESP 流量 。 GRE，是不支持状态化的协议 流量 ，需 放行 返回的gre 流量 。

老胳膊总结PIX流量放行问题：

NAT，从高到低（安全级别）
ACL，在完全级别较低的端口上放行流量
ESP、isakmp(vpn协议)，是非状态化协议，不支持状态化监控，需要放行返回的ESP流量。
GRE，是不支持状态化的协议流量，需放行返回的gre流量。

放行ICMP流量：
#access-list out permit icmp any any
#access-group out in interface outside

在配置BGP协议时，如果BGP会话加密的话，那么默认情况下是无法穿越透明防火墙的。这是因为防火墙出于安全的考虑，默认情况下会打开TCP序列号随机化的小特性，另外防火墙会擦出TCP的一些选项位，在BGP加密会话中，19号选项位包含了MD5加密的属性信息，防火墙清除这个字段后的后果就是加密的BGP会话建立不起来。解决办法是放行OPTION 19，

放行option 19： //允许TCP包头中的option字段的19号选项位
class-map BGP-MD5-classmap
match port tcp eq 179
tcp-map BGP-MD5
tcp-option range 19 19 allow

policy-map global_policy
class BGP-MD5-classmap
set connection advanced-option BGP-MD5

service-policy global_policy global

老胳膊BLOG