¶ ASA 控制穿越防火墙的流量
¶ ASA访问控制列表介绍
CisCO ASA接口访问规则控制网络应用穿越ASA
1.对进和出接口的流量进行控制
2.基于OSI三层信息(源目地址)
3.基于OSI四层信息(源目端口号)|
¶ 接口访问规则决定哪些“新建连接"能够进入ASA连接表(connection table)(初始化流量)
1.接口访问控制列表只能控制穿越流量
2.所有在ASA终结的流量,被不同的管理访问列表所控制
3.所有由ASA发起的流量都是被允许的。
¶ 接口规则和接口安全级别
如果不运用接口访问规则到接口:
所有的outbound连接被允许 (高安全级别到低安全级别的流量)
所有的lnbound连接被拒绝((低安全级别到高安全级别的流量)
如下连接如果存在,必须要明确的允许连接:
相同安全级别接口之间的流量
相同一个接口进出的流量
在相关接口,被访问控制规则控制的所有流量
¶ Global ACL介绍
全局访问规则,允许你为入方向流量运用一个全局规则,不需要在每一个接口上运用策略,全局访问规则提供如下好处:
1.便于你从Checkpoint防火墙迁移到ASA,可以继续维护全局访问规则,不必在每一个接口配置接口特殊的访问策略。
2.全局访问控制策略不会被复制到每一个接口,因此节省内存消耗。
3.全局访问规则在定义一个安全策略的时候提供了灵活性,你不需要指定一个包从哪一个接口进入,这个策略只需要匹配源和目的IP地址即可。
注意:你可以同时配置全局访问控制规则和接口的访问规则,在这种情况下,接口访问规则总是优先于全局访问规则处理。
¶ CisCOASAuRPF运用
ASA可以使用URPF技术抵御IP地址欺骗
1.ASA使用路由表确认源地址上(严格uRPF)
2.仅仅检查流中的第一个包 (可以状态化处理的协议)
3.uRPF默认是禁用的
ip verify reverse-path interface Outside
show ip verify statistics interface outside
¶ Cisco ASA shunning技术
ASA可以使用shunning技术丢弃源自于一个特性主机的数据包
Shunning配置规则:
1.手动配置,或者被IPS动态配置
2.覆盖所有的接口访问规则
3.重启之后就消失
4.用于对某个事件紧急响应时使用
shun 10.1.1.100
show shun
clear shun
¶ zone防火墙默认丢弃异步流量
Zone技术可以解决
异步路由
FO
LLB:ECMP
把接口放置到一个zone
¶ 身份验证
穿越防火墙走AD 认证
