ASA是一种基于状态的安全防护方式。每个进来的数据包(从低安全级别主机到高安全级别主机)都要根据ASA和PIX防火墙内存中的连接状态信息进行检查。PIX(或asa)执行以下任务:

  ·对经过PIX(或asa)防火墙的连接执行状态连接控制。

  ·对内部应用,在没有明确配置情况下,允许单向(出站)连接。出站的连接指从高安全级别接口向低安全级别接口的连接。

  ·监视返回的数据包,确认其有效性。

  ·对TCP顺序号进行随机处理,减少被***的可能性。

  安全级别表明一个接口相对于另一个接口是可信还是不可信。如果一个接口的安全级别高于另一个接口的安全级别,则这个接口是可信的,如果一个接口的安全级别低于另一个接口的安全级别,则这个接口是不可信的。

  安全级别的基本访问规则是:具有较高安全级别的接口可以访问较低安全级别的接口。反之,较低安全级别的接口默认不能访问较高安全级别的接口,除非设置了ACL或conduit(管道)。安全级别的范围是0--100。下面分别介绍这些安全级别的规则。

  ·安全级别100。这是PIX(或asa)防火墙内部接口的最高级别,是默认设置,且不能改变。企业内部网络应该连接在该接口上。外部的网络不能访问该接口,而该接口可以任意访问其它接口。

  ·安全级别0。这是PIX(或asa)防火墙外部接口的最低级别,是默认设置,且不能改变。一般用以连接Internet。

  ·安全级别1--99。与PIX(或asa)连接的边界接口的安全级别,可根据每台设备的访问情况来给它们分配相应的安全级别。

  ·安全级别100访问安全级别0时,所有IP数据流都可以通行,除非设置了ACL、认证或授权的限制。虽然允许IP数据流通行,但还是要通行nat转换才能到达外网口。

  ·安全级别0要访问安全级别100时,默认禁止所有IP数据流通行,除非设置了ACL以允许数据流通过。认证和授权机制可进一步限制数据流的通行。