默认的交通流量模式（ASA）

先决条件：自适应安全设备（ASA）
ASA是一种由Cisco公司推出的安全设备。它具备防火墙功能，同时还能支持VPN连接、路由功能、防病毒功能以及许多其他功能。
安全级别 – 
ASA使用与可路由接口相关的安全级别来进行安全管理。需要注意的是，默认情况下，ASA的接口处于路由模式，即运行在第三层。这些接口被分配了从0到100之间的安全级别。数值越大，表示对该ASA接口所连接的网络的信任程度越高。
根据安全级别，ASA会采取相应的行动（即允许或拒绝该数据包）。
此外，我们还可以为ASA接口分配名称，比如“inside”、“outside”或“DMZ”。一旦为某个接口分配了这些名称，那么该接口就会自动获得一个安全级别。例如，如果我们给某个接口分配了“inside”这个名称，那么该接口就会自动被赋予100的安全级别，即最高信任级别。如果我们给另一个接口分配了“Outside”或“DMZ”这样的名称，那么该接口就会自动被赋予0的安全级别。这些都是默认设置，可以进行更改。
建议将安全级别设为：内部网络为100（最高等级），外部网络为0（最低等级，属于不可信或公共网络），而DMZ则设置为50级（属于组织内部的公共设备网络）。
注意： 
为 ASA 接口分配名称（如 INSIDE、OUTSIDE 或 DMZ）并不是必须的，但这样做是个不错的做法，因为这样的命名方式既简单又具有意义。
默认的交通流模式—— 
需要注意的是，如果对该流量进行监控的话，那么数据包的状态就会被记录下来，也就是说，连接表会被保留下来。因此，来自不可信网络的回复仍然可以被接受。而如果对该流量不进行任何处理的话，那么只有流量本身会被传输出去，而连接表则不会被保留。

默认情况下，ASA允许来自安全性较高的网络设备的流量流向安全性较低的网络设备。如果流量是由安全性较高的网络设备发起的，那么这些流量需要经过防火墙的过滤，才能到达安全性较低的网络设备，比如外部设备或DMZ区域中的设备。
如果（TCP或UDP）流量是从更高安全级别发起的，那么来自较低安全级别（即外部或DMZ区域）的响应则可以被允许。这是因为默认情况下，状态检查机制会被启用，也就是说，数据包的状态会被保存在连接表中。
但是，如果传输的是ICMP流量，而这种流量是从较高安全级别传输到较低安全级别的，那么这种流量最终会到达较低安全级别的设备。而较低安全级别的设备也会发送回显响应。不过，防火墙（ASA）会忽略这些响应，因为默认情况下，防火墙只会检查TCP和UDP流量。

如果我们希望让 ASA能够检查 ICMP 流量，那么我们必须手动通过命令来实现这一功能。

asa(config)#fixup protocol ICMP 

此外，如果较低安全级别的区域（例如外部区域或DMZ）想要向较高安全级别的区域发送任何类型的流量（无论是TCP、UDP还是ICMP），那么由于ASA防火墙的默认策略限制，这种请求会被拒绝。为了允许这种传输，可以使用访问列表来进行相应的配置。

另外，需要注意的是，当我们将安全级别设置为：对DMZ为50，对内部网络为100，而对外部网络为0时，那么来自DMZ的流量可以被允许传输到外部网络。不过，DMZ中的设备仍然无法访问内部网络中的设备。
此外，默认情况下，如果两个接口的安全性级别相同，那么它们之间的通信将无法进行。
不过，这种流量可以通过命令来手动控制（即，对于两个具有相同安全级别的接口之间，可以手动调整流量）。

asa(config)#same-security-traffic                 permit inter-interface