一、ASA(状态化防火墙)安全设备介绍:
Cisco硬件防火墙技术应用领域:
- PIX 500 系列安全设备。
- ASA 5500系列自适应安全设备。
- Catalyst 6500 系列交换机和Cisco 7600 系列路由器的防火墙服务模块。
Cisco ASA 5500 系列自适应安全设备提供了整合防火墙、入 侵保护系统(IPS)、高级自适应威胁防御服务,其中包括应用安全和简化网络安全解决方案的V P N服务。
二、ASA状态化防火墙的安全算法:
状态化防火墙维护一个关于用户信息的连接表,称为Conn表
Conn表中的关键信息如下:
- 源IP地址
- 目的IP地址
- IP协议(例如TCP或UDP)
- IP协议信息(例如TCP/UDP端口号,TCP序列号,TCP控制位)
在上图中,当PC访问web服务器时,状态化防火墙处理的过程如下:
1、 PC发起一个HTTP请求给web服务器;
2、HTTP请求到达防火墙,防火墙将链接信息(如源IP地址和目的IP地址、使用的TCP协议、源IP地址和目的IP地址的TCP端口号)添加到conn表;
3、 防火墙将HTTP请求转发给web服务器;
流量返回时,状态化防火墙处理的过程如下:
1、web服务器相应HTTP请求,返回相应的数据流量;
2、防火墙拦截该流量,检查其连接信息;
- 如果在conn表中查找到匹配的连接信息,则流量被允许。
- 如果在conn表中找不到匹配的连接信息,则流量被丢弃。
ASA使用安全算法执行以下三项基本操作:
1、访问控制列表:基于特定的网络、主机和服务(TCP/UDP端口号)控制网络访问。
2、连接表:维护每个连接的状态信息。安全算法使用此信息在已建立的连接中有效的转发流量。(个人理解为:ASA允许内网客户端主动向外网建立连接,但外网不允许主动向内网建立连接,也就是说,要实现流量通信,必须是内网用户主动发起连接的。)
3、检测引擎:执行状态检测和应用层检测。检测规则集是预先定义的,来验证应用是否遵从每个RFC和其他标准。<