Cisco Cisco ASA 5555-X Adaptive Security Appliance - No Payload Encryption 快速安装指南
1-11
思科 ASA 系列常规操作 CLI 配置指南
第 1 章 思科 ASA 简介
VPN 功能概述
需要第 7 层检测的某些数据包 (必须检测或改变数据包负载)会传递到控制平面路径。具有
两个或多个信道 (一个数据信道,使用已知端口号;一个控制信道,对每个会话使用不同的
端口号)的协议需要第 7 层检测引擎。这些协议包括 FTP、 H.323 和 SNMP。
两个或多个信道 (一个数据信道,使用已知端口号;一个控制信道,对每个会话使用不同的
端口号)的协议需要第 7 层检测引擎。这些协议包括 FTP、 H.323 和 SNMP。
•
这是已建立的连接吗?
如果连接已建立, ASA 无需重新检查数据包;大多数匹配的数据包在两个方向都可以通过“快
速”路径。快速路径负责执行以下任务:
速”路径。快速路径负责执行以下任务:
–
IP 校验和验证
–
会话查找
–
TCP 序列号检查
–
基于现有会话的 NAT 转换
–
第 3 层和第 4 层报头调整
需要第 7 层检测的协议的数据包也可以通过快速路径。
某些建立的会话数据包必须继续通过会话管理路径或控制平面路径。通过会话管理路径的数
据包包括需要检测或内容过滤的 HTTP 数据包。通过控制平面路径的数据包包括需要第 7 层
检测的协议的控制数据包。
据包包括需要检测或内容过滤的 HTTP 数据包。通过控制平面路径的数据包包括需要第 7 层
检测的协议的控制数据包。
VPN 功能概述
VPN 是跨过 TCP/IP 网络 (例如互联网)的安全连接,显示为私有连接。这种安全连接称为隧
道。 ASA 使用隧道协议来执行以下任务:协商安全参数,创建和管理隧道,封装数据包,通过隧
道传输或接收数据包,以及解除数据包封装。 ASA 充当双向隧道终端:它可以接收普通数据包,
封装数据包,将数据包发送到隧道的另一端 (在那里,数据包将会解除封装并发送到最终目
标)。ASA 还可以接收封装数据包,解除数据包封装并将它们发送到最终目标。ASA 调用各种标
准协议来实现这些功能。
道。 ASA 使用隧道协议来执行以下任务:协商安全参数,创建和管理隧道,封装数据包,通过隧
道传输或接收数据包,以及解除数据包封装。 ASA 充当双向隧道终端:它可以接收普通数据包,
封装数据包,将数据包发送到隧道的另一端 (在那里,数据包将会解除封装并发送到最终目
标)。ASA 还可以接收封装数据包,解除数据包封装并将它们发送到最终目标。ASA 调用各种标
准协议来实现这些功能。
ASA 执行以下功能:
•
建立隧道
•
协商隧道参数
•
对用户进行身份验证
•
分配用户地址
•
加密和解密数据
•
管理安全密钥
•
管理通过隧道的数据传输
•
作为隧道终端或路由器管理出站和出站数据传输
ASA 调用各种标准协议来实现这些功能。
安全情景概述
可以将一个 ASA
分区到多个虚拟设备中,此类设备称为安全情景。每个情景都是一个独立设备,
拥有自己的安全策略、接口和管理员。多情景类似于拥有多台独立设备。多情景模式支持很多功
能,包括路由表、防火墙功能、 IPS 和管理;但是,有些功能不受支持。有关详细信息,请参阅
讲述功能的章节。
能,包括路由表、防火墙功能、 IPS 和管理;但是,有些功能不受支持。有关详细信息,请参阅
讲述功能的章节。