ASA5510 DMZ 區域無法解析外網域名案例：

　　目前ASA5510分為outside(security-level0)，dmz 10.48.35.2(security-level50)，inside 10.48.25.2(security-level100)，dmz和inside網段互訪做了nonat和access-list permit，dmz和inside都映射為outside接口外網ip

　　然后在outside接口上有個access-group permit tcp 某個外網ip 10.48.25.2 1433，讓外網特定ip訪問inside數據庫端口并應用到outside接口

　　dmz接口上有個access-group per tcp host 10.48.35.2 10.48.25.2 1433和icmp，讓dmz的服務器訪問inside數據庫端口，并能ping通inside服務器

　　結果inside區域的服務器正常上網，dmz區域服務器只可以ping通外網ip，不能用dns解析外網域名，都是解析超時

　　我絕對是小白新手，請大家幫我分析一下什么情況造成的，我原來以為高security(50)都可以向低security(0)訪問

　　解答：

　　那個策略只寫了到inside的相應端口訪問，難道其他都默認deny?

　　顯示配置了PERMIT，所以其他都是DENY (DMZ-OUTSIDE)

　　還是說dmz端口上有access-group就看access-group，沒permit的都默認deny，

　　1. 首先看有沒有會話

　　2. 沒有會話看ACl,如果接口沒有配置ACL，那么采取默認行為

　　高到低允許

　　如果dmz端口上沒有access-group，就匹配高security向低security無限制訪問?

　　有限制，無會話的流量，需要做如下處理：

　　流量方向接口放行

　　inspect