Cisco Cisco ASA for Nexus 1000V Series Switch Guide D’Installation Rapide

1-8

思科 ASA 系列常规操作 CLI 配置指南

第 1 章      思科 ASA 简介

  防火墙功能概述

安全策略概述

安全策略确定哪些流量可通过防火墙来访问其他网络。默认情况下， ASA 允许流量自由地从内部
网络 （安全级别较高）流向外部网络 （安全级别较低）。您可以将操作应用于流量，以自定义安
全策略。

通过访问列表

可以应用访问列表，以限制从内部到外部的流量或者允许从外部到内部的流量。在透明防火墙模
式中，还可以应用以太网类型访问列表来允许非 IP 流量。

应用 NAT

NAT 的其中一些优点包括：

可以在内部网络上使用专用地址。专用地址不可在互联网上进行路由。

NAT 可隐藏其他网络的本地地址，以使攻击者无法获悉主机的真实地址。

NAT 可通过支持重叠 IP 地址来解决 IP 路由问题。

保护 IP 分片

ASA 提供 IP 分片保护。此功能对所有 ICMP 错误消息执行完全重组，并对通过 ASA 路由的剩余 
IP 分片执行虚拟重组。会丢弃并记录未能通过安全检查的分片。不能禁用虚拟重组。

对直通流量使用 AAA

对某些类型的流量 （例如 HTTP），可以要求身份验证和/或授权。 ASA 还会向 RADIUS 或 
TACACS+ 服务器发送记帐信息。

应用 HTTP、 HTTPS 或 FTP 过滤

虽然可以使用访问列表来防止对于特定网站或 FTP 服务器的出站访问，但由于互联网的规模和动
态性质，以这种方式配置和管理网络使用并不切实际。