Cisco Cisco Identity Services Engine 1.3 빠른 설정 가이드
1-10
思科 ASA 系列常规操作 CLI 配置指南
第 1 章 思科 ASA 简介
防火墙功能概述
配置思科统一通信
思科 ASA 系列是一个战略平台,为统一通信部署提供代理功能。代理的目标是终止和重新发起
客户端与服务器之间的连接。代理提供各种安全功能 (例如,流量检测、协议符合性检查和策略
控制),以确保内部网络的安全。一种日益普遍的代理功能是,终止加密连接,以便能够在确保
连接机密性的同时应用安全策略。
客户端与服务器之间的连接。代理提供各种安全功能 (例如,流量检测、协议符合性检查和策略
控制),以确保内部网络的安全。一种日益普遍的代理功能是,终止加密连接,以便能够在确保
连接机密性的同时应用安全策略。
防火墙模式概述
ASA 在两种不同的防火墙模式中运行:
•
路由
•
透明
在路由模式中,ASA 被视为网络中的路由器跃点。
在透明模式中,ASA 充当“网络嵌入式防火墙”或“隐形防火墙”,而不被视为路由器跃点。
ASA 在其内部和外部接口上连接到同一个网络。
ASA 在其内部和外部接口上连接到同一个网络。
可以使用透明防火墙来简化网络配置。如果希望防火墙对攻击者不可见,透明模式同样有用。还
可以对在路由模式中会被阻止的流量使用透明防火墙。例如,透明防火墙可通过访问列表允许组
播数据流。
可以对在路由模式中会被阻止的流量使用透明防火墙。例如,透明防火墙可通过访问列表允许组
播数据流。
状态检测概述
经过 ASA 的所有流量均要使用自适应安全算法进行检测,检测后,流量要么允许通过,要么被
丢弃。简单的数据包过滤器可检查源地址、目标地址和端口是否正确,但不会检查数据包序列或
标记是否正确。过滤器还可以根据过滤器本身检查
丢弃。简单的数据包过滤器可检查源地址、目标地址和端口是否正确,但不会检查数据包序列或
标记是否正确。过滤器还可以根据过滤器本身检查
每个数据包,但这个过程可能比较慢。
注
TCP 状态绕过功能使您可以自定义数据包流量。
但是,状态防火墙 (例如 ASA)会考虑到数据包的状态:
•
这是新连接吗?
如果是新连接,ASA 必须根据访问列表检查数据包并执行其他任务,以确定应该允许还是拒
绝数据包。如要执行这项检查,会话的第一个数据包要通过“会话管理路径”,可能还会通
过“控制平面路径”,具体取决于流量类型。
绝数据包。如要执行这项检查,会话的第一个数据包要通过“会话管理路径”,可能还会通
过“控制平面路径”,具体取决于流量类型。
会话管理路径负责执行以下任务:
–
执行访问列表检查
–
执行路由查找
–
分配 NAT 转换 (xlate)
–
在“快速路径”中建立会话
ASA 在 TCP 流量的快速路径中创建正向流量和反向流量;ASA 还会为无连接协议 (例如
UDP、 ICMP)创建连接状态信息 (启用 ICMP 检测时),以便这些协议也可以使用快速路径。
UDP、 ICMP)创建连接状态信息 (启用 ICMP 检测时),以便这些协议也可以使用快速路径。
注
对于其他 IP 协议 (例如 SCTP), ASA 不会创建反向路径流向。因此,涉及这些连接
的 ICMP 错误数据包将会丢弃。
的 ICMP 错误数据包将会丢弃。