网络安全篇 思科ASA特性介绍-02

目录

一、 基本网络访问控制特性

二、高级网络访问控制特性

三、远程访问和站点到站点VPN特性

四、网络整合特性

五、管理特性

总结

---

一、 基本网络访问控制特性

1.精细的系统和会话审计

2.在线用户认证实现基于用户的访问控制

3.应用层感知的SPF减少主机和应用程序被攻击

4.应用层监控和控制，确保协议的正常运行，和基于协议内容的过滤

注：

1.审计功能防火墙也是有的，不一定是使用服务器来审计，只不过使用专门的服务器更加专业、功能更加齐全一些而已。

2.这个用户认证基本上是所有防火墙都会支持的，这个是很基本的一个功能。

3.应用层，有的人也称为运用层，实际上的意思是一样的。

4.防火墙的监控功能是最基本的一个功能，另外一个是过滤。

二、高级网络访问控制特性

1.检查和丢弃源自僵尸网络的流量

2.服务器模块（SSM）提供丰富的IPS和内容过滤能力

3.解密并且监控特殊协议流量

4.基于归类实现URL过滤，控制上网流量

5.阻止SYN泛洪攻击

6.自动的检查和抵御扫描威胁

注：

1.僵尸网络（Botnet）就是，使用一种或多种传播手段，将大量的主机感染僵尸病毒，以达到攻击者与被感染者之间形成一对多的控制网络。思科防火墙它是可以提供这种应对僵尸网络的服务的，它会收集那些具有恶意的主机名单，这个就是黑名单了，形成一个数据库，当这些恶意流量进入防火墙时，它会检查数据库否存在相应的条目，没有就放行，若存在就干掉。不过，这个服务是需要收费的哈。

2.思科的很多设备都是具有模块插口的，安装相应的模块就可以实现相应的功能，比如，网管觉得防火墙不够强大，于是在防火墙上安装了一个IPS（入侵防御系统）、在高端一点的路由器上安装防火墙模块以达到具有防火墙的保护功能。

3.监控流量是防火墙的两大基本功能之一。

4.现在的防火墙基本都可以实现基于内容的过滤，如应用层的数据过滤（URL、某个词汇）。

5.SYN的泛洪攻击是基于TCP的三次握手来实现的，攻击者发送SYN报文来请求与服务器建立同步通信，然后服务器也会发送同步与确认的应答数据包，接着就一直等待攻击者的确认包，若没有收到确认，服务器会一直等待，这个是需要占据服务器的资源的。SYN的泛洪攻击就是攻击者发送大量的TCP包给服务器，以与服务器建立大量的半连接从而到达消耗服务器资源的目的。

6.如今的防火墙都是具有动态性，不是以前的包过滤防火墙那样死板了。

 

 

三、远程访问和站点到站点VPN特性

说到底就是可以在ASA防火墙上实现各种站点到站点的VPN，如SSL VPN、IPsec VPN等。

注：

防火墙的VPN功能其实与路由器部署的VPN功能是一样的，只不过是部署的设备不同而已。

四、网络整合特性

1.

DHCP Client

DHCP server

DDNS client

PPPoE support

2.

动态路由协议

静态路由跟踪（SLA）

3.

路由和透明模式的操作

4.

冗余接口

5.

状态化A/S或A/A failover

6.

丰富的NAT支持

IPv6支持

组播支持

WCCP整合

7.

灵活的虚拟化选项

注：

1.DHCP功能是路由功能，防火墙本身就是一个特殊的路由器，可以理解为具有保护与防御功能的高级路由器设备，所以路由器的绝大部分功能都会有的。

2.思科的ASA它是具有透明模式与路由模式，在透明模式下，用户是无法感知到防火墙的存在的，接口是无法配置IP地址的，唯一可以配置接口IP地址的是管理接口，这个管理接口是用于管理防火墙设备的，这种模式多用于二层的网络安全隔离。路由模式下，防火墙将接口划分为了3个区域，且每个接口都需要配置IP地址，它是用于三层的网络安全隔离的，它的接口必须要做IP地址规划。

3.思科防火墙的接口是可以实现冗余的，这个与交换机（STP）、路由器（动态路由协议、浮动静态路由）的链路冗余是类似的，当防火墙的一个接口出现问题了，那么就可以快速切换到另外一个接口进行流量的转发以达到稳定网络的目的。

4.思科防火墙可以实现A/S或A/A，Active/standby或Active/Active,A/S就是当主防火墙发生故障时，可以快速切换到备用的防火墙的，A/A就是同时启用双防火墙，当其中一台防火墙出现故障时，另外一台防火墙也还在工作，不会影响流量的转发，不过，若是在A/A同时运行处于最大负荷时挂了一台防火墙，另外一台是无法负荷全部的流量数据的。

5.WCCP（Web Cache Communication Protocol），即Web缓存通信协议，最早是由思科公司提出来的，现在有V1与V2两个版本。WCCP它是一个Web重定向的协议，比如，可以重定向HTTP协议的80端口，若是V2版本的话，是可以重定向所有的TCP数据的。这个协议不是标准，它还是一个草案，所以并不是所有的路由器/交换机都可以支持这个协议的。

6.思科ASA防火墙的最厉害的功能之一不得不说的是防火墙的虚拟化了，简单地说，就是一台防火墙通过资源的整合虚拟出多台防火墙出来以达到最大资源利用的目的。

 

五、管理特性

1.强大的AAA管理特性

2.Cisco安全管理套件整合

3.可扩展和灵活的配置，使用Object group和MPF

4.支持安全的管理访问协议

5.专用的带外网管接口

6.使用FO技术，实现升级不造成网络瘫痪

注：

1.三A，分别为审计、认证、授权，这个路由器或高端的交换机也是可以支持这个功能的。

2.Object功能是一个比较强大的功能，当防火墙需要编写大量的ACL时，可以使用它来提高效率，可以理解为把大量的命令放到一个数据文件里，需要应用时直接调用这个文件就可以了。

3.思科防火墙它是有专门的管理接口Management，这个接口只负责管理防火墙，不会用于传输业务流量。

4.思科防火墙使用FO技术可以实现升级过程中不影响网络数据的传输，不会对生产的环境造成不好的影响，这个技术还是相当不错的。

总结

本章节简单介绍了思科ASA的一些特性，本人也在相关的特性下面作了一些注解以方便各位朋友阅读，若有更好的建议可以直接与我交流哈。好了，我们在下一个章节再见，加油！