ASA5510 DMZ 區(qū)域無法解析外網(wǎng)域名案例：

　　目前ASA5510分為outside(security-level0)，dmz 10.48.35.2(security-level50)，inside 10.48.25.2(security-level100)，dmz和inside網(wǎng)段互訪做了nonat和access-list permit，dmz和inside都映射為outside接口外網(wǎng)ip

　　然后在outside接口上有個access-group permit tcp 某個外網(wǎng)ip 10.48.25.2 1433，讓外網(wǎng)特定ip訪問inside數(shù)據(jù)庫端口并應(yīng)用到outside接口

　　dmz接口上有個access-group per tcp host 10.48.35.2 10.48.25.2 1433和icmp，讓dmz的服務(wù)器訪問inside數(shù)據(jù)庫端口，并能ping通inside服務(wù)器

　　結(jié)果inside區(qū)域的服務(wù)器正常上網(wǎng)，dmz區(qū)域服務(wù)器只可以ping通外網(wǎng)ip，不能用dns解析外網(wǎng)域名，都是解析超時

　　我絕對是小白新手，請大家?guī)臀曳治鲆幌率裁辞闆r造成的，我原來以為高security(50)都可以向低security(0)訪問

　　解答：

　　那個策略只寫了到inside的相應(yīng)端口訪問，難道其他都默認(rèn)deny?

　　顯示配置了PERMIT，所以其他都是DENY (DMZ-OUTSIDE)

　　還是說dmz端口上有access-group就看access-group，沒permit的都默認(rèn)deny，

　　1. 首先看有沒有會話

　　2. 沒有會話看ACl,如果接口沒有配置ACL，那么采取默認(rèn)行為

　　高到低允許

　　如果dmz端口上沒有access-group，就匹配高security向低security無限制訪問?

　　有限制，無會話的流量，需要做如下處理：

　　流量方向接口放行

　　inspect