目录
一、ASA对IP分片的处理
ASA的具体化的功能有很多,但是总结起来无非就是两个大的功能,监控与过滤数据。相关的数据包经过ASA防火墙的时候,ASA可以对这些数据包进行监控,在监测到与ASA定义的合法流量规则有违时,它就会把这些数据过滤掉,那么如果一个IP数据报文存在分片它又是如何处理的呢?首先我们来简单说说分片的事情,正常情况下,一个IP报文的长度是1500个字节,当然,这个报文长度是可以调整的,最大的数量是报文的长度全部置位为1,也就是65535个字节。当我们发送的内容过大的时候,系统会实现一个分片处理行为,把一个大的报文分片成多个更小的报文,每一个分片都会被标识,当这个分片到达目标主机时就会被重新整合为一个数据包(根据分片的排列号进行排序)。当IP分片经过ASA防火墙时,ASA也会把这些IP分片进行一个虚拟整合,首先它会缓存一个数据包的所有分片,直到收集好所有的分片,这个时候它会进行整合这个分片,重组这些分片,并对它们进行监控,接着把它们分片发送出去,这个发送分片的状态与接收时的状态是保持一致的。
二、MPF TCP规范化
MPF(Modular Policy Framework)是一个模块化框架,关于这个TCP的规范化,我们可以查看一个它的相关特性。TCP的23端口经常被用于远程登陆,但是,也有的黑客使用非标准端口进行登陆,例如,http的80端口,那么这就是一个不安全的地方,如果存在其他的开放端口呢?黑客可以截取相关的TCP数据流,然后根据序列号进行重组这个数据报文,如何把这个数据报文的序列号扰乱了,那么就可以极大地提高这个数据的安全性。在为上层监控时,ASA防火墙会对字节流重组,发现与ASA防火墙有违的信息会发送相关的警告给管理员或自主地进行拦截相关的数据信息。
1.确认遵循TCP协议,并且阻止逃避攻击
2.默认情况下,只是允许最小的TCP特性
3.执行TCP初始化序列号扰乱以保护内部主机
4.为上层监控提供对字节流的重组装