Cisco防火墙

ASA系列

一、工作原理

1. 系列

• 0ASA5500系列

2. ASA防火墙状态化防火墙

• 里面维护一张表：状态连接表（cmoo表）
  • 源IP地址
  • 目标IP地址
  • IP协议（TCP/UDP）
  • IP协议信息（端口号、序列号、控制位）
• 默认情况下，ASA对TCP和UDP协议提供状态化链接，对ICMP协议是非状态化的
• 状态化防火墙的处理过程
  
• ASA的安全算法
  • 接口安全级别
  • 访问控制列表
  • 记录CONN表
  • 连接表
  • 检测引擎（根据接口安全级别来决定数据是放通还是阻止）
  • 默认情况下，ASA自动放通高安全级别访问低安全级别，阻止低安全级别访问高安全级别，安全级别一直时直接阻止

二、 ASA接口

1. 物理接口

• 基于防火墙自身模块决定

2. 逻辑接口

• 用来描述物理接口所处的安全区域（inside(内网区域)、outside(外网区域)、DMZ(服务器区域)）
• inside:安全级别设置为100
• outside:安全级别设置为0
• DMZ:安全级别设置为50

三、ASA配置ACL

• 不论是标准还是扩展，这里使用的时ACL表名