ASA算法原理

状态化防火墙

 状态化防火墙维护一个关于用户信息的连接表,称为Conn

 Conn表中的关键信息

 源IP地址

 目的IP地址

 IP协议(例如TCP或UDP)

 IP协议信息(例如TCP/UDP端口号,TCP序列号,TCP控制位)

 默认情况下,ASATCPUDP协议提供状态化连接,但ICMP协议是非状态化的

 状态化防火墙

 状态化防火墙进行状态化处理的过程


Conn


Inside IP Address


IP Protocol


Inside Port


Outside IP Address


Outside Port


10.1.1.1


TCP


12000


172.16.1.1


80


10.1.1.1Inside


Outside  172.16.1.1


PC


Web

发起HTTP请求 防火墙将连接信息添加到Conn表

状态化防火墙

 状态化防火墙进行状态化处理的过程


Conn


Inside IP Address


IP Protocol


Inside Port


Outside IP Address


Outside Port


10.1.1.1


TCP


12000


172.16.1.1


80


10.1.1.1Inside


Outside  172.16.1.1


PC


Web

发起HTTP请求 转发HTTP请求

服务器响应请求

状态化防火墙

 状态化防火墙进行状态化处理的过程


Conn


Inside IP Address


IP Protocol


Inside Port


Outside IP Address


Outside Port


10.1.1.1


TCP


12000


172.16.1.1


80


10.1.1.1Inside


Outside  172.16.1.1


PC


Web


发起HTTP请求


转发HTTP请求


防火墙拦截该流量,并检查其连接信息

Conn表中找到

匹配信息,流量 服务器响应请求

被允许

 状态化防火墙进行状态化处理的过程


Conn


Inside IP Address


IP Protocol


Inside Port


Outside IP Address


Outside Port


10.1.1.1


TCP


12000


172.16.1.1


80


10.1.1.1Inside


Outside  172.16.1.1


PC


Web


发起HTTP请求


转发HTTP请求


防火墙拦截该流量,并检查其连接信息

Conn表中未找

服务器响应请求

到匹配信息,流

量被丢弃

安全算法的原理

 ASA使用安全算法执行以下三项基本操作

 访问控制列表

基于特定的网络、主机和服务(TCP/UDP端口号)控制网络访问

 连接表

维护每个连接的状态信息

安全算法使用此信息在已建立的连接中有效转发流量

 检测引擎

执行状态检测和应用层检测

检测规则集是预先定义的,来验证应用是否遵从每个RFC和其他标准

安全算法的原理

 数据报文穿越ASA的过程


2


3


4


原始报文


1


5


XLATE


ACL


检测


返回报文


CONN


8


6


7

ASA对原始报文的处理:

1. 一个新来的TCP SYN报文到达ASA,试图建立一个新的连接

2. ASA检查访问列表,确定是否允许连接

 

3. ASA执行路由查询,如果路由正确,ASA使用必要的会话信息在连接表(xlateconn表)中创建一个新条目

 

4. ASA在检测引擎中检查预定义的一套规则,如果是已知应用,则进一步执行应用层检测

 

5. ASA根据检测引擎确定是否转发或丢弃报文。如果允许转发,则将报文转发到目的主机

安全算法的原理

 数据报文穿越ASA的过程


2


3


4


原始报文


1


5


XLATE


ACL


检测


返回报文


CONN


8


6


7

ASA对返回报文的处理:

6. 目的主机响应该报文

 

7. ASA接收返回报文并进行检测,查询连接确定会话信息与现有连接是否匹配

 

8. ASA转发属于已建立的现有会话的报文

总结

 状态化防火墙的原理是什么?

 ASA上不同安全级别的接口之间互相访问时,遵从的默认规则是什么?

 在ASA上配置ACL的作用是什么?

原文地址:http://blog.51cto.com/13569660/2070105

时间: 2024-11-09 07:09:28

ASA算法原理的相关文章

企业级防火墙算法原理与基本配置

企业级防火墙算法原理与基本配置多安全区域DMZ区域的概念和作用DMZ(demilitarzed zone)隔离区也称"非军事化区":位于企业内部网络和外部网络之间的一个网络区域安全级别位于inside和outside之间访问默认规则:高安全级允许访问低安全级,低安全级禁止访问高安全级Tips:应用的表示任何一个应用,在数据包层面而言,都是通过套接字(传输层协议+端口号)表示在表示应用的过程中,如果仅仅提到一个端口,那么该端口是目标端口,源端口就是随机端口如果一个应用通过2个端口表示,则

Adaboost算法原理分析和实例+代码(简明易懂)

Adaboost算法原理分析和实例+代码(简明易懂) [尊重原创,转载请注明出处] http://blog.csdn.net/guyuealian/article/details/70995333     本人最初了解AdaBoost算法着实是花了几天时间,才明白他的基本原理.也许是自己能力有限吧,很多资料也是看得懵懵懂懂.网上找了一下关于Adaboost算法原理分析,大都是你复制我,我摘抄你,反正我也搞不清谁是原创.有些资料给出的Adaboost实例,要么是没有代码,要么省略很多步骤,让初学者

FP Tree算法原理总结

在Apriori算法原理总结中,我们对Apriori算法的原理做了总结.作为一个挖掘频繁项集的算法,Apriori算法需要多次扫描数据,I/O是很大的瓶颈.为了解决这个问题,FP Tree算法(也称FP Growth算法)采用了一些技巧,无论多少数据,只需要扫描两次数据集,因此提高了算法运行的效率.下面我们就对FP Tree算法做一个总结. 1. FP Tree数据结构 为了减少I/O次数,FP Tree算法引入了一些数据结构来临时存储数据.这个数据结构包括三部分,如下图所示: 第一部分是一个项

分布式memcached学习(四)—— 一致性hash算法原理

    分布式一致性hash算法简介 当你看到"分布式一致性hash算法"这个词时,第一时间可能会问,什么是分布式,什么是一致性,hash又是什么.在分析分布式一致性hash算法原理之前,我们先来了解一下这几个概念. 分布式 分布式(distributed)是指在多台不同的服务器中部署不同的服务模块,通过远程调用协同工作,对外提供服务. 以一个航班订票系统为例,这个航班订票系统有航班预定.网上值机.旅客信息管理.订单管理.运价计算等服务模块.现在要以集中式(集群,cluster)和分布

POJ1523(求连用分量数目,tarjan算法原理理解)

SPF Time Limit: 1000MS   Memory Limit: 10000K Total Submissions: 7406   Accepted: 3363 Description Consider the two networks shown below. Assuming that data moves around these networks only between directly connected nodes on a peer-to-peer basis, a

Kmeans聚类算法原理与实现

Kmeans聚类算法 1 Kmeans聚类算法的基本原理 K-means算法是最为经典的基于划分的聚类方法,是十大经典数据挖掘算法之一.K-means算法的基本思想是:以空间中k个点为中心进行聚类,对最靠近他们的对象归类.通过迭代的方法,逐次更新各聚类中心的值,直至得到最好的聚类结果. 假设要把样本集分为k个类别,算法描述如下: (1)适当选择k个类的初始中心,最初一般为随机选取: (2)在每次迭代中,对任意一个样本,分别求其到k个中心的欧式距离,将该样本归到距离最短的中心所在的类: (3)利用

【转】两种非对称算法原理:RSA和DH

转自:http://blog.chinaunix.net/uid-7550780-id-2611984.html 两种非对称算法原理:RSA和DH 虽然对称算法的效率高,但是密钥的传输需要另外的信道.非对称算法RSA和DH可以解决密钥的传输问题(当然,它们的作用不限于此).这两个算法的名字都是来自于算法作者的缩写,希望有朝一日能够出现用中国人命名的加密算法.非对称算法的根本原理就是单向函数,f(a)=b,但是用b很难得到a. RSA算法 RSA算法是基于大数难于分解的原理.不但可以用于认证,也可

Canny边缘检测算法原理及其VC实现详解(一)

转自:http://blog.csdn.net/likezhaobin/article/details/6892176 图象的边缘是指图象局部区域亮度变化显著的部分,该区域的灰度剖面一般可以看作是一个阶跃,既从一个灰度值在很小的缓冲区域内急剧变化到另一个灰度相差较大的灰度值.图象的边缘部分集中了图象的大部分信息,图象边缘的确定与提取对于整个图象场景的识别与理解是非常重要的,同时也是图象分割所依赖的重要特征,边缘检测主要是图象的灰度变化的度量.检测和定位,自从1959提出边缘检测以来,经过五十多年

排序算法原理及实现

算法一:直接插入排序 算法实现原理:就是计算一个新元素是应该放在哪里?每次进来一个都会进行和原来顺序进行重新组合. 代码实现:Java public int[] testInsertionSort(int[] data){ // this methord is very easy. for(int i = 1;i < data.length;i++){ int temp = data[i]; int j =i; while(j>0 && data[j-1]>temp){