本文对Cisco ASA Series Firewall CLI Configuration Guide, 9.5版本的官方文档中关键知识点进行翻译笔记，便于查看参考（非全文翻译，非一对一翻译，只是将原文内容要表达的关键意思概括总结下来，笔记按照章节顺序，章节内容顺序有所不同）



1.应用于接口的扩展ACL，可应用于接口进或者出方向，拒绝或者允许的浏览基于源末浏览条件（5元组）。
2.应用在全局的扩展ACL,全局ACL只能有一个，但是可以指定多个条目，全局ACL应用于所有接口。
3.管理ACL,这个AC也是基于接口配置，主要对设备的管理流量进行控制（如允许哪个接口http/https/ssh/telnet/ICMP/终端登录信息/SNMP等一系列于管理相关的流量）
4.以太ACL,该ACL仅当ASA在透明模式下（二层墙），应用于桥接组成员接口进或者出方向，只能控制逻辑链路层数据浏览，当在桥接模式下的桥接组成员接口下同样也可以使用扩展ACL来控制三层流量。

接口ACL和全局ACL.你可以使用扩张ACL应用在接口也可以应用在全局，但是接口ACL优先级总是高于全局ACL,而且全局ACL只对如方向流量生效。

进流量和出流量规则。In ACL 应用的流量进入一个接口的流量，全局ACL和管理ACL都是只能对IN方向流量生效。

隐含允许。
在路由模式下和在透明模式下，IPv4/IPv6单播流量默认允许从高级别端口到低级别端口。
其他流量都是需要通过ACL进行控制。

隐含拒绝。
所有ACL末位都有一条隐含拒绝策略，需要在最后一条之前允许相应的流量放行。
但对于管理ACL,末尾是没有隐含拒绝ACL的。任何不被管理ACL匹配的流量将会有其他ACL去管控。
对于二层ACL,末尾的隐含拒绝策略对三层和ARP流量没有影响，但是如果二层ACL的策略拒绝了所有流量，那边三层和ARP流量同样也会被拒绝，只有物理层的流量继续允许。
全局ACL的优先级高于隐含拒绝ACL策略，
所有ACL的优先级顺序即为：
1/接口ACL
2/全局ACL
3/隐含拒绝策略。

在配置静态映射NAT时，通常需要在outside in方向放行外部流量访问被映射出去的server，这时候被允许的IP地址不是被映射出去的公网IP，而是DMZ的server IP地址。

无论是在路由模式下还是在透明模式下，对于TCP/UDP/SCTP的连接，我们无需关注其返回的流量是否需要放行，因为ASA是状态化防火墙，它会自动检测并放行已经建立连接的双向流量。
对于无状态的连接比如ICMP,它是单向会话，这时候就需要双向放行。或者可以启用ICMP 检测工程，这时候的ICMP会话就就会被防火墙当作双向会话处理。

广播和多播流量。
在路由模式下，即使在ACL中允许，广播和多播也是是被阻塞的，还包括一些不支持的动态路由协议和DHCP报文，必须要在防火墙配置对于的动态路由协议和DHCP 中继才可。
另外对于无状态的流量，必须双向放行。

可以通过开启对象组搜素算法来减少ACL对内存的开销，但是开启后搜索不会扩展到网络和服务对象，只是基于已定义的对象组，开启命令是object-group-search access-control ，但是这个功能开启后会怎加CPU的消耗。

注意：如果在ACL中有安全组策略，请不要开启这个功能，否则会导致ACL失效或者其他未知异常。