状态化防火墙
状态化防火墙维护一个关于用户信息的连接表,称为Conn表
Conn表中的关键信息
源IP地址
目的IP地址
IP协议(例如TCP或UDP)
IP协议信息(例如TCP/UDP端口号,TCP序列号,TCP控制位)
默认情况下,ASA对TCP和UDP协议提供状态化连接,但ICMP协议是非状态化的
状态化防火墙
状态化防火墙进行状态化处理的过程
Conn表 |
||||||||
Inside IP Address |
IP Protocol |
Inside Port |
Outside IP Address |
Outside Port |
||||
10.1.1.1 |
TCP |
12000 |
172.16.1.1 |
80 |
10.1.1.1Inside |
Outside 172.16.1.1 |
PC |
Web |
发起HTTP请求 防火墙将连接信息添加到Conn表
状态化防火墙
状态化防火墙进行状态化处理的过程
Conn表 |
||||||||
Inside IP Address |
IP Protocol |
Inside Port |
Outside IP Address |
Outside Port |
||||
10.1.1.1 |
TCP |
12000 |
172.16.1.1 |
80 |
10.1.1.1Inside |
Outside 172.16.1.1 |
|||||||||||
PC |
Web |
|||||||||||
发起HTTP请求 转发HTTP请求
服务器响应请求
状态化防火墙
状态化防火墙进行状态化处理的过程
Conn表 |
||||||||
Inside IP Address |
IP Protocol |
Inside Port |
Outside IP Address |
Outside Port |
||||
10.1.1.1 |
TCP |
12000 |
172.16.1.1 |
80 |
10.1.1.1Inside |
Outside 172.16.1.1 |
|||||||||||
PC |
Web |
|||||||||||
发起HTTP请求 |
转发HTTP请求 |
|||||||||||
防火墙拦截该流量,并检查其连接信息 |
在Conn表中找到
匹配信息,流量 服务器响应请求
被允许
状态化防火墙进行状态化处理的过程
Conn表 |
||||||||
Inside IP Address |
IP Protocol |
Inside Port |
Outside IP Address |
Outside Port |
||||
10.1.1.1 |
TCP |
12000 |
172.16.1.1 |
80 |
10.1.1.1Inside |
Outside 172.16.1.1 |
|||||||||||
PC |
Web |
|||||||||||
发起HTTP请求 |
转发HTTP请求 |
|||||||||||
防火墙拦截该流量,并检查其连接信息 |
在Conn表中未找
服务器响应请求
到匹配信息,流
量被丢弃
安全算法的原理
ASA使用安全算法执行以下三项基本操作
访问控制列表
? 基于特定的网络、主机和服务(TCP/UDP端口号)控制网络访问
连接表
? 维护每个连接的状态信息
? 安全算法使用此信息在已建立的连接中有效转发流量
检测引擎
? 执行状态检测和应用层检测
? 检测规则集是预先定义的,来验证应用是否遵从每个RFC和其他标准
安全算法的原理
数据报文穿越ASA的过程
2 |
3 |
4 |
||||
原始报文 |
1 |
5 |
||||
XLATE |
||||||
ACL |
检测 |
返回报文 |
||||
CONN |
||||||
8 |
6 |
|||||
7 |
ASA对原始报文的处理:
1. 一个新来的TCP SYN报文到达ASA,试图建立一个新的连接
2. ASA检查访问列表,确定是否允许连接
3. ASA执行路由查询,如果路由正确,ASA使用必要的会话信息在连接表(xlate和conn表)中创建一个新条目
4. ASA在检测引擎中检查预定义的一套规则,如果是已知应用,则进一步执行应用层检测
5. ASA根据检测引擎确定是否转发或丢弃报文。如果允许转发,则将报文转发到目的主机
安全算法的原理
数据报文穿越ASA的过程
2 |
3 |
4 |
||||
原始报文 |
1 |
5 |
||||
XLATE |
||||||
ACL |
检测 |
返回报文 |
||||
CONN |
||||||
8 |
6 |
|||||
7 |
ASA对返回报文的处理:
6. 目的主机响应该报文
7. ASA接收返回报文并进行检测,查询连接确定会话信息与现有连接是否匹配
8. ASA转发属于已建立的现有会话的报文
总结
状态化防火墙的原理是什么?
ASA上不同安全级别的接口之间互相访问时,遵从的默认规则是什么?
在ASA上配置ACL的作用是什么?
原文地址:http://blog.51cto.com/13569660/2070105