Re: Вектор развития и перспективы: Network Engineer или M2M/IoT

SYN-ACK и SYN тут никоим боком. Поэтому их отбрасываем.

То есть остается HTTP inspection. По большому счету это "HTTP Application Proxy", которая проверяет протокол на соответствие стандартам. По-поводу "strict inspection" деталей не помню - по-моему там нужно создавать "полиси мап" и указывать "экшен". Поэтому я склоняюсь к default http ispection (E)/

Re: Вектор развития и перспективы: Network Engineer или M2M/IoT

Согласен, хотя гугл больше склоняется к SYN, но это очевидный бред.

По идее - это самое наименее фантастическое, но тоже бред. Это не прокси, как я понимаю, а HTTP outbound and return traffic. Откуда там взяться GET? Да даже если и прокси.

Re: Вектор развития и перспективы: Network Engineer или M2M/IoT

По-поводу "инспекшн"... Да, это не полноценный "прокси", но и не просто "рул", разрешающий ЛЮБОЙ трафик через порт 80. Инспекшн разбирает запрос и ответ на соответствие протоколу (после того, как "3-х стороннее рукопожатие" установило соединение). То есть "инспекшн" как раз понимает, идет ли в "потоке данных через порт 80" нормальный запрос (GET / POST / HEAD / etc.). Как, собственно, и происходит блокировка URL, запрещается JAVA или скачивание определенных файлов. То есть это однозначно "inspection". Просто я не нашел однозначного описания, что происходит с "обычной инспекцией", а что с "strict".

Re: Вектор развития и перспективы: Network Engineer или M2M/IoT

Да, но ведь тут inbound HTTP GET. Как она его пропустит без NAT и ACL?

Re: Вектор развития и перспективы: Network Engineer или M2M/IoT

Насколько я могу судить, тут нужно (желательно) иметь все 3 ВМЕСТЕ.

1. Нужна "трансляция адресов" (с публичного "внешнего" на частный "внутренний")
2. Нужно "правило", разрешающее входящий HTTP трафик на этот "внутренний адрес"

По идее этих двух правил достаточно, чтобы разрешить входящий трафик на порт 80. Однако без "инспекции" любой "мусор" может проходить извне на этот хост через порт 80. А раз в вопросе конкретно указан "тип запроса", то в дополнение должна быть включена "инспекция".

Re: Вектор развития и перспективы: Network Engineer или M2M/IoT

NAT необязателен, т.к. дело вообще может происходить в локальной сети.
ACL тоже необязательно, если коннекшн from higher security zone to lower security zone.

Теперь по поводу traffic inspection. Если мы делаем такой rule, то мы его апплаим на outbound interface, чтобы обратный трафик мог беспрепятственно попасть назад. В этом случае inbound HTTP GET никак не пройдет. То есть получается что? Inspection rule applied on inbound interface. Теоретически наверно можно, вопрос в том, зачем?

+ Если такое и сделано, то оно будет работать только при наличии соответствующего ACL, ну или если будет connection from higher security zone to lower security zone. Во 2-м случае наличие inspection rule значения не имеет.

Вот такие маразматические вопросы нынче на экзаменах.

Re: Вектор развития и перспективы: Network Engineer или M2M/IoT

Еще раз внимательно читаем вопрос (на экзамене это КРАЙНЕ ВАЖНО). Речь про "инбаунд". В формулировках Циско это именно "с менее безопасной зоны в более безопасную". И для этого требуется NAT и access list.

И еще раз - inspection служит для того, чтобы "заглянуть внутрь трафика" (который уже разрешен через NAT и access-list). Можно и без него, но тогда любой траффик на 80-м порту будет идти без проверки (то есть потеряется смысл firewall)