Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页
5-15
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
5
장 투명 또는 라우팅 방화벽 모드
방화벽 모드의 예
다음 단계에서는 데이터가 어떻게 ASA를 통과하여 이동하는지에 대해 설명합니다(
참조).
1.
외부 네트워크의 사용자가 외부 인터페이스 서브넷에 있는 전역 대상 주소(209.165.201.3)를
사용하여 DMZ 웹 서버의 웹 페이지를 요청합니다.
2.
ASA
에 패킷이 수신되며 대상 주소가 로컬 주소 10.1.1.3으로 변환되지 않습니다.
3.
이 패킷은 새 세션이므로 ASA에서는 보안 정책(액세스 목록, 필터, AAA)에 따라 해당 패킷을
허용해도 되는지 확인합니다.
다중 상황 모드의 경우 ASA에서는 먼저 패킷을 상황에 맞게 분류합니다.
다중 상황 모드의 경우 ASA에서는 먼저 패킷을 상황에 맞게 분류합니다.
4.
그런 다음 ASA에서는 세션 항목을 빠른 경로에 추가하고 DMZ 인터페이스에서 패킷을 전달
합니다.
5.
DMZ
웹 서버에서 요청에 응답할 경우 패킷이 ASA를 통해 이동하며, 세션이 이미 설정되어
있으므로 해당 패킷은 새 연결과 관련된 여러 조회를 거치지 않고 우회합니다. ASA에서는 로
컬 소스 주소를 209.165.201.3으로 전환하여 NAT를 수행합니다.
6.
ASA
에서는 패킷을 외부 사용자에게 전달합니다.
DMZ
의 웹 서버를 방문하는 외부 사용자
에는 DMZ 웹 서버에 액세스하는 내부 사용자의 경우가 나와 있습니다.
그림
5-5
내부
대
DMZ
다음 단계에서는 데이터가 어떻게 ASA를 통과하여 이동하는지에 대해 설명합니다(
참조).
1.
내부 네트워크의 사용자가 대상 주소(10.1.1.3)를 사용하여 DMZ 웹 서버의 웹 페이지를 요청
합니다.
Web Server
10.1.1.3
User
10.1.2.27
209.165.201.2
10.1.1.1
10.1.2.1
Inside
DMZ
Outside
92403