你好

我没有通读所有其他帖子， 但适用于区域成员接口的基于区域的防火墙和访问列表不能很好地协同工作。

使更改以 粗体标记，这允许所有流量出站，并且只有 RDP 3389 进站。这就是说，你没有任何NAT配置，这是故意的吗？

当前配置 ： 23172 字节
!
!最后配置更改在 17：36：35 UTC 星期四 1 2021 年 7 月由管理员
!
版本 16.12
服务时间戳调试日期时间 msec
服务时间戳日志日期时间 msec
服务呼叫家庭
平台 qfp 利用监控负载 80
平台朋特保持禁用内核
!
主机名网实验室
!
启动启动标记
引导端标记
!
!
!
a a 新模型
!
!
aaa 身份验证登录默认本地
aaa 身份验证登录 a - eap - 奥森本地本地
aaa 授权执行官默认本地
aaa 授权网络 a - eap 作者 - grp 本地
!
aaa 登录成功 - 跟踪 - 会流时间 1
!
aaa 会话 ID 常见
时钟时区 UTC 10 0
时钟夏季 UTC 重复 1 太阳 10 月 1：00 1 太阳 4 月 1：00
呼叫-家庭
!如果呼叫家庭中的联系电子邮件地址被配置为 sch-smart-licensing@cisco.com
!在思科智能许可证门户中配置的电子邮件地址将用作联系电子邮件地址以发送 SCH 通知。
联系电子邮件添加器 sch-smart-licensing@cisco.com
配置文件"思科TAC-1"
积极
目的地运输方法
无目的地运输方法电子邮件
!
无 ip 域查找
ip 域名 sece.company.com
ip dhcp 排除地址 x. x. 68.0 x. x. 68.29
ip dhcp 排除地址 x. x. 68.50 x. x. 68.255
!
ip dhcp 池 Vlan68 池
网络 xxx. x. 68.0 255.255.255.0
默认路由器 xxx.x.68.254
dns 服务器 xxx. x. 68.254 8.8.8.8
租赁 7
!
登录成功日志
!
订阅者模板
!
经过验证的多链接捆绑名称
!
加密 pki 信任点 SLA 信任点
注册 pkcs12
撤销检查 crl
!
加密 pki 信任点 quovadis. 根
注册终端 pem
撤销检查无
!
加密 pki 信任点 quovadis. inter
注册终端 pem
序列号无
fqdn netlab.sece.rmit.edu.au
ip 地址无
主题名称 C=xx
主题 -alt 名称 netlab.company.com
链验证继续现状。
撤销检查无
netlab.company.com 2048 年
!
加密 pki 信任点 quovadis. inter2
注册终端 pem
链验证继续现状. 根
撤销检查无
!
加密 pki 证书链 SLA 信任点
证书 ca 01
30820321 30820209 A0030201 02020101 300D0609 2A864886 F70D0101 0B050030
退出
加密 pki 证书链 quovadis. 根
证书 ca 445734245B81899B35F2CEB82B3B5BA726F07528
30820560 30820348 A0030201 02021444 5734245B 81899B35 F2CEB82B 3B5BA726
退出
加密 pki 证书链 quovadis. inter
证书 234A05CD947BCE0C6C755EE05B1447CEA6DD3E68
3082071C 30820504 A0030201 02021423 4A05CD94 7BCE0C6C 755EE05B 1447CEA6
退出
证书 ca 2D2C802018B7907C4D2D79DF7FB1BD872727CC93
308206AB 30820493 A0030201 0202142D 2C802018 B7907C4D 2D79DF7F B1BD8727
退出
加密 pki 证书链 quovadis. inter2
证书 ca 2D2C802018B7907C4D2D79DF7FB1BD872727CC93
308206AB 30820493 A0030201 0202142D 2C802018 B7907C4D 2D79DF7F B1BD8727

退出
!
加密 pki 证书池
卡本德尔·恩夫拉姆：ios_core.p7b
!
许可证功能 hseck9
许可证 udi 皮德 C1161X-8P sn F
许可证引导级别安全 9
无内存低水印处理器 70177
!
诊断启动级别最小
!
跨树扩展系统 ID
!
用户名管理员特权 15 密码 0 xx
用户名 Wb35lMa26Zzb 密码 0 xx
!
冗余
模式无
!
加密 ikev2 建议网实验室. 公司
加密 aes-cbc-256
诚信沙256
组 14
!
vlan 内部分配策略提升
!
轨道 1 ip sla 1 可到达性
!
类图类型检查匹配所有内部到外侧
描述内部到外侧
匹配访问组名称InsideToOutside_acl
类图类型检查匹配所有外部到侧面
描述外部到侧
匹配访问组名称OutsideToInside_acl
!
政策图类型检查 avc Web_app_policy
政策图类型检查内部-外部-政策
类类型检查内部到侧面
检查
类类默认
下降日志
政策图类型检查外部-内部-政策
类类型检查外部到侧面
-->通行证
类类默认
下降日志
!
区域安全内部
内部接口的描述区
区域安全外部
外部接口的描述区
区域安全默认值
区域对安全内外部源内目的地外部
服务政策类型检查内部-外部-政策
区域对安全外部来源外部目的地内部
服务政策类型检查外部-内部-政策
!
接口千兆醚网0/0/0
描述 WAN GE 0/0/0
ip 地址 xxx. x. 253.10 255.255.255.240
->没有 ip 访问组OutsideToInside_acl
区域成员安全外部
谈判汽车
!
接口千兆醚网0/0/1
描述 WAN GE 0/0/1
无 ip 地址
->没有 ip 访问组OutsideToInside_acl
区域成员安全外部
谈判汽车
!
接口千兆醚网0/1/0
描述 VLAN68Port0
切换模式访问
->没有 ip 访问组InsideToOutside_acl
区域成员安全内部
!
接口千兆醚网0/1/1
区域成员安全内部
!
接口千兆醚网0/1/2
区域成员安全内部
!
接口千兆醚网0/1/3
区域成员安全内部
!
接口千兆醚网0/1/4
区域成员安全内部
!
接口千兆醚网0/1/5
区域成员安全内部
!
接口千兆醚网0/1/6
区域成员安全内部
!
接口千兆醚网0/1/7
区域成员安全内部
!
界面 Vlan1
描述 VLAN68
ip 地址 xxx. x. 68.254 255.255.255.0
->没有 ip 访问组InsideToOutside_acl
区域成员安全内部
!
界面 Vlan2
无 ip 地址
区域成员安全内部
!
ip 转发协议 nd
ip http 服务器
ip http 认证 aaa
ip http 安全服务器
ip http 超时策略闲置 600 寿命 600 请求 25
ip 路线 0.0.0.0 0.0.0 xxx.x.253.13
!
ip 访问列表扩展InsideToOutside_acl
10 允许 ip 任何
ip 访问列表扩展OutsideToInside_acl
- - >允许 tcp 任何 eq 3389
!
控制平面
!
行 con 0
停车位 1
行 vty 0 4
执行超时 60 0
长度 0
!
结束