Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

ASA

의 경우 SCTP 같은 다른 IP 프로토콜에 대해서는 반대 경로 흐름을 생성하지 않

습니다. 결과적으로 이러한 연결을 참조하는 ICMP 오류 패킷은 드롭됩니다.

Layer 7 

감시(패킷 페이로드를 감시하거나 변경해야 함)가 필요한 일부 패킷은 컨트롤 플레인 

경로로 전달됩니다. Layer 7 감시 엔진의 경우 둘 이상의 채널(데이터 채널에서는 알려진 포

트 번호를 사용하고, 제어 채널에서는 세션마다 다른 포트 번호를 사용함)이 포함된 프로토콜

이 필요합니다. 이러한 프로토콜에는 FTP, H.323 및 SNMP가 포함됩니다.

설정되어 있는 연결인가?
연결이 기존에 설정되어 있는 경우 ASA에서는 패킷을 다시 확인할 필요가 없습니다. 일치하

는 대부분의 패킷은 양방향에서 모두 "빠른" 경로를 통과할 수 있습니다. 빠른 경로는 다음과 

같은 작업에 직접적인 연관이 있습니다.

IP 

체크섬 확인

세션 조회

TCP 

시퀀스 번호 확인

기존 세션을 바탕으로 NAT 변환

Layer 3 

및 Layer 4 헤더 조정

Layer 7 

검사가 필요한 프로토콜의 데이터 패킷도 빠른 경로를 통과할 수 있습니다.

설정된 세션 패킷 중 일부는 계속 세션 관리 경로 또는 컨트롤 플레인 경로를 통해 전달되어야 

합니다. 세션 관리 경로를 통과하는 패킷에는 감시 또는 콘텐츠 필터링이 필요한 HTTP 패킷

이 포함되어 있습니다. 컨트롤 플레인 경로를 통과하는 패킷에는 Layer 7 검사가 필요한 프로

토콜의 제어 패킷이 포함되어 있습니다.

VPN

은 사설 연결처럼 보이는 TCP/IP 네트워크(예: 인터넷) 전반의 보안 연결입니다. 이러한 보안 연

결을 터널이라고 합니다. ASA에서는 터널링 프로토콜을 사용하여 보안 파라미터를 협상하고, 터널

을 생성 및 관리하고, 패킷을 캡슐화하고, 터널을 통해 패킷을 주고받고, 캡슐화를 해제합니다. ASA

는 양방향 터널 엔드포인트 역할을 합니다. 즉, 일반 패킷을 받아 캡슐화한 다음 터널의 다른 끝으로 

전송할 수 있습니다. 그러면 여기에서 패킷의 캡슐화가 해제된 다음 최종 대상으로 패킷이 전송됩니

다. 또한 캡슐화된 패킷을 받아 캡슐화를 해제한 다음 최종 대상으로 전송할 수도 있습니다. ASA에

서는 다양한 표준 프로토콜을 호출하여 이러한 기능을 구현합니다.
ASA

에서는 다음과 같은 기능을 수행합니다. 

터널 설정 

터널 파라미터 협상 

사용자 인증 

사용자 주소 할당 

데이터 암호화 및 해독 

보안 키 관리 

터널 전반의 데이터 전송 관리 

터널 엔드포인트 또는 라우터로서 데이터 전송 인바운드 및 아웃바운드 관리 

ASA

에서는 다양한 표준 프로토콜을 호출하여 이러한 기능을 구현합니다.