ASA防火墙

一、防火墙的四种类型

1. 无状态包过滤（statless packet）---ACL
2. 状态监控包过滤（stateful packet）
3. 运用层监控和控制的状态包过滤(stateful packet filtering with application inspection and control）
4. 代理服务器（proxy server）

 

#无状态包过滤

特性：（1）依赖于静态的策略来允许和拒绝数据包

            （2）对静态的TCP运用和仅仅对三层流量的过滤，工作是非常出色的

            （3）透明并且高性能

            （4）一般使用限制的访问控制技术

缺陷：（1）不能支持动态运用 （2）不能抵御一些探测攻击

 

#状态包过滤

特性：（1）可靠的3-4层的访问控制  (network,transmission)

            （2）配置简单

            （3）透明和高性能

            （4）一般使用限制访问控制技术

缺陷：（1）不能洞察5-7层内容（2）如果3-4层流量被加密，也无法支持动态运用

 

#运用层监控和控制的状态包过滤

特性：（1）可靠的3-7层的访问控制

            （2）配置简单

            （3）透明和中等性能

            （4）一般是用限制的访问控制技术

缺陷：（1）运用层监控和控制影响性能（2）限制的缓存能里为了深度的内容分析

 

#代理服务器

特征：（1）可靠的3-7层的访问控制

            （2）自动的对协议进行规范化处理

            （3）能够采用宽容或限制的访问控制技术

缺陷：（1）不能广泛的支持所有的运用（2）不适合对实时流量采取这种技术（3）不透明

 

二、DMZ（Demilitarized Zone）非军事化区域

主要用于连接服务器和VPN设备（对外提供服务的设备）

 

#两种连接方式

1. 三接口DMZ
2. 双层墙DMZ

   一种典型的防火墙连接方式：

        

 

三、Cisco ASA特性

 #基本网络访问特性

1. 精细的系统和会话审计
2. 在线用户认证实现基于用户的访问控制
3. 运用层感知的SPF，减少主机和运用程序被攻击
4. 运用层监控和控制，确保协议的顺应，和基于协议内容的过滤

 #高级网络访问控制特性（有些需要购买授权license）

1. 解密并监控特殊协议流量
2. 检查和丢弃源自僵尸网络的流量
3. 服务模块（SSM），提供丰富的IPS和内容过滤能力
4. 基于归类实现URL过滤，控制上网流量
5. 阻止SYN泛洪攻击
6. 自动的检查和抵御扫描威胁

 

ASA防火墙对于VPN：远程拨号方面具有很大优势，但在站点对站点VPN却不是很好

 

ASA产品线：5505 – 5510 – 5520 - 5540（性能上的区别）

5512-x —— 5515-x —— 5525-x —— 5545-x —— 5555-x —— 558-x

 

安全服务模块SSM可安装在5510-5540

 ASA支持三种SSM模块：IPS模块(inspection and prevention securit)、CSC模块(防病毒，URL过滤，防垃圾邮件)、4GSSMÿ