Регистрация записи контроля доступа в брандмауэре

Question

У нас есть брандмауэр Cisco ASA5520, для каждого интерфейса определены правила доступа.

Явная команда deny all не указана на интерфейсе.

В брандмауэре включена регистрация.

Мой вопрос:

Когда IP-адрес, отличный от разрешенного IP-адреса, пытается получить доступ, будет ли это зарегистрировано?

Например:

от А до БЖурнал разрешений = нет

, но

любой к любому запрещенному журналу = да не упоминается

Следовательно, будет ли регистрироваться ip A, если он попытается получить доступ к C?

если да, то в чем разница между включенными журналами брандмауэра и функциями ведения журнала в записи контроля доступа?

Answer 1

Ответ иногда.Если вы хотите, чтобы отказы регистрировались надежно, лучшим вариантом будет поставить явный deny ip any any log в конце вашего ACL.По умолчанию ASA не регистрирует отказы ACL, потому что это просто слишком большой трафик, но функциональность существует.К сожалению, это распространяется на кучу разных сообщений журнала.Есть отдельные сообщения для tcp / udp / icmp и других протоколов.Они начинаются с сообщения системного журнала 106001 .Чтобы увидеть, какие сообщения журналирования включены на вашем брандмауэре, наберите show run all logging в cli.