Cisco Cisco ASA 5555-X Adaptive Security Appliance - No Payload Encryption 快速安装指南
1-9
思科 ASA 系列常规操作 CLI 配置指南
第 1 章 思科 ASA 简介
防火墙功能概述
可以在 ASA 上配置云网络安全,或者安装提供 URL 和其他过滤服务的 ASA 模块(例如 ASA CX
或 ASA FirePOWER)。还可以将 ASA 与思科网络安全设备 (WSA) 之类的外部产品结合使用。
或 ASA FirePOWER)。还可以将 ASA 与思科网络安全设备 (WSA) 之类的外部产品结合使用。
运用应用检测
对于在用户数据包嵌入 IP 寻址信息的服务或在动态分配端口上打开辅助信道的服务,需要使用检
测引擎。这些协议要求 ASA 执行深度数据包检测。
测引擎。这些协议要求 ASA 执行深度数据包检测。
向受支持的硬件或软件模块发送流量
某些 ASA 型号允许配置软件模块或者将硬件模块装入到机箱中,以提供高级服务。这些模块提
供其他流量检测,并可根据配置的策略阻止流量。您可以将流量发送到这些模块,以利用这些高
级服务。
供其他流量检测,并可根据配置的策略阻止流量。您可以将流量发送到这些模块,以利用这些高
级服务。
应用 QoS 策略
某些网络流量 (例如声音和视频流)不允许出现长时间延迟。 QoS 是一种网络功能,使您可以向
此类流量赋予优先级。 QoS 是指一种可以向所选网络流量提供更好服务的网络功能。
此类流量赋予优先级。 QoS 是指一种可以向所选网络流量提供更好服务的网络功能。
应用连接限制和 TCP 规范化
可以限制 TCP 连接、 UDP 连接和半开连接。限制连接和半开连接的数量可防止受到 DoS 攻击。
ASA 使用半开限制触发 TCP 拦截,从而防止内部系统受到 DoS 攻击 (这种攻击使用 TCP SYN
数据包对接口发起泛洪攻击)。半开连接是指未完成源与目标之间的必要握手的连接请求。
ASA 使用半开限制触发 TCP 拦截,从而防止内部系统受到 DoS 攻击 (这种攻击使用 TCP SYN
数据包对接口发起泛洪攻击)。半开连接是指未完成源与目标之间的必要握手的连接请求。
TCP 规范化是指一种包含高级 TCP 连接设置的功能,用以丢弃有异常迹象的数据包。
启用威胁检测
可以配置扫描威胁检测和基本威胁检测,还可以配置如何使用统计数据来分析威胁。
基本威胁检测会检测可能与攻击 (例如 DoS 攻击)相关的活动,并自动发送系统日志消息。
典型的扫描攻击包括测试子网中每个 IP 地址的可访问性的主机(通过扫描子网中的很多主机或清
扫主机或子网中的很多端口)。扫描威胁检测功能确定主机何时执行扫描。与基于流量签名的 IPS
扫描检测不同,ASA 扫描威胁检测功能维护一个包含主机统计数据的庞大数据库;可以分析这些
统计数据以执行扫描活动。
扫主机或子网中的很多端口)。扫描威胁检测功能确定主机何时执行扫描。与基于流量签名的 IPS
扫描检测不同,ASA 扫描威胁检测功能维护一个包含主机统计数据的庞大数据库;可以分析这些
统计数据以执行扫描活动。
主机数据库跟踪可疑活动,例如,没有返回活动的连接、对关闭服务端口的访问、易受攻击的
TCP 行为 (例如非随机 IPID)以及其他行为。
TCP 行为 (例如非随机 IPID)以及其他行为。
可以将 ASA 配置为会发送有关攻击者的系统日志消息,或者可以自动避开主机。
启用僵尸网络流量过滤器
恶意软件是指安装在未知主机上的恶意软件。对于尝试进行诸如发送专用数据 (密码、信用卡
号、按键输入或专有数据)等网络活动的恶意软件,僵尸网络流量过滤器可以在它们开始连接到
已知的不良 IP 地址时检测到它们。僵尸网络流量过滤器根据已知的不良域名和 IP 地址 (黑名
单)的动态数据库检查传入和传出连接,然后记录任何可疑活动。当您看到有关恶意软件活动的
系统日志消息时,就可以采取措施来隔离主机以及消除主机所包含的危害。
号、按键输入或专有数据)等网络活动的恶意软件,僵尸网络流量过滤器可以在它们开始连接到
已知的不良 IP 地址时检测到它们。僵尸网络流量过滤器根据已知的不良域名和 IP 地址 (黑名
单)的动态数据库检查传入和传出连接,然后记录任何可疑活动。当您看到有关恶意软件活动的
系统日志消息时,就可以采取措施来隔离主机以及消除主机所包含的危害。