自适应安全设备 (ASA) 功能
防火墙是一种网络安全系统,它根据基于 IP 地址、端口号的定义规则对传入或传出的数据包采取行动。思科称其防火墙为自适应安全设备 (ASA)。
Cisco ASA 5500 系列具有以下型号:
思科 ASA 5505、思科 ASA 5510、思科 ASA 5515-X、思科 ASA 5520、思科 ASA 5525-X、思科 ASA 5540、思科 ASA 5550、思科 ASA 5555-X、思科 ASA 5585-X。
自适应安全设备 (ASA) –
ASA 是一种 Cisco 安全设备,可以通过 VPN 功能、防病毒和许多其他功能执行基本的防火墙功能。 ASA的一些特点是:
- 包过滤——
包过滤是一个简单的过程,它根据已应用于设备的 ACL 上定义的规则过滤传入或传出的数据包。它由各种许可或拒绝条件组成。如果流量匹配其中一个规则,则不匹配其他规则并执行匹配的规则。 - 有状态过滤——
默认情况下,如果数据包是从较高安全级别生成到较低安全级别,则 ASA 会对数据包执行状态跟踪。默认情况下,如果流量是由较高安全级别的设备为较低安全级别的设备(作为目标)发起的,则 TCP 和 UDP 回复流量将被允许,并且能够远程登录较低安全级别的其他设备。这是因为在默认情况下启用状态检查时,维护了一个状态数据库(其中维护了有关源和目标设备信息(如 IP 地址、端口号)的条目)。
- 路由支持 –
ASA 可以执行静态路由、默认路由以及 EIGRP、OSPF 和 RIP 等动态路由协议。 - 透明防火墙 –
ASA 可以在两种模式下运行:- 路由模式:在这种模式下,ASA 就像第 3 层设备(路由器跳)一样,需要在其接口上有两个不同的 IP 地址(意味着两个不同的子网)。
- 透明模式:在此模式下,ASA 在第 2 层运行,并且只需要一个 IP 地址来管理 ASA 管理目的,因为接口(内部和外部)都充当网桥。
- AAA 支持 –
ASA 使用其本地数据库或使用外部服务器(如 ACS(访问控制服务器))支持 AAA 服务。 - VPN 支持 –
ASA 支持基于策略的 VPN,例如点对点 IPsec VPN(站点到站点 VPN 和远程访问 VPN)和基于 SSL 的 VPN。 - 支持 IPv6 –
ASA(新版本)支持静态、动态等 IPv6 路由。 - VPN 负载平衡 –
它是 Cisco ASA 的 Cisco 专有功能。多个客户端可以同时在多个 ASA 单元之间共享。 - 有状态故障转移 –
ASA 支持 Cisco ASA 设备对的高可用性。如果其中一个 ASA 出现故障,另一个 ASA 设备将执行操作而不会中断。启用有状态故障转移后,活动设备会不断将连接状态信息传递给备份设备。发生故障转移后,新的活动设备上会提供相同的连接信息。 - 聚类——
Cisco ASA 允许我们将多个 ASA 设备配置为单个逻辑设备。集群最多可以包含 8 个内聚单元。这导致了高吞吐量,同时提供了冗余。 - 高级恶意软件保护 (AMP) –
Cisco ASA 提供对下一代防火墙功能的支持,这些功能可以在单个设备中提供高级恶意软件保护,因为经典防火墙功能与 NGFW 功能相结合。 - 模块化政策框架 (MPF) –
MPF 用于为不同的流量定义策略。它在 ASA 中用于利用高级防火墙功能,如 QoS、监管、优先级等。
为了使用 MPF,我们定义了用于识别流量类型的 Class-map、用于识别应该采取什么行动(如优先级)的 policy-map,以及应该在哪里应用它的 service-policy。