一、ASA防火牆是新世代防火牆(NGFW)嗎?
ASA防火牆本身是一種傳統的狀態化偵測防火牆,並不屬於下一代防火牆。雖然透過搭載專用模組(如早期的CX模組或當前的FirePOWER模組),ASA可以實現下一代防火牆的功能,例如應用識別、內容識別和用戶識別,但這種實現方式本質上是類似UTM一樣依賴多引擎堆疊,而不是像原生下一代防火牆那樣通過統一引擎實現所有功能,而且在面對當前的“雲化、移動、網絡化和信任環境等已顯零信任”。
二、ASA防火牆有哪幾種設定方式?
1.透過命令列(CLI)進行配置
對於防火牆的初始配置或一些基礎配置,例如介面/ACL/NAT/路由等配置,可以透過命令列快速完成這些配置。
2.透過ASDM進行配置
ASDM是一種圖形化介面配置,如果想透過圖形化介面配置ASA防火牆,使用者必須在ASA的Flash上安裝ASDM軟體的鏡像。如果Flash中安裝了多個ASDM鏡像,ASA防火牆預設會使用它在Flash中找到的第一個ASDM鏡像,使用者可以透過使用指令「asdm image」來指定使用某個ASDM鏡像。而且要使用ASDM設定ASA防火牆,必須使用指令「http server enable」啟用防火牆的Web伺服器功能,並且透過指令「http ip 子網路遮罩 介面」指定能夠使用ASDM設定防火牆的IP位址和介面。
三、ASA防火牆如何劃分安全區域?
不像其他廠商防火牆的安全區域是基於zone(介面的集合),ASA防火牆的安全區域是基於介面(實體或邏輯)的,每個介面為一個安全區域。每個介面需要分配一個名字來識別它在網路中的作用,例如通常命名「inside」表示該介面連接的是一個內部網絡,「outside」表示該介面連接的是一個外部網絡,「dmz」表示該介面連接的是一個非軍事區域(DMZ)。每個介面還需要分配一個安全等級(0-100),安全等級越高,表示該介面越安全越可信,inside介面預設安全等級100/outside介面預設安全等級0/dmz等其他介面的安全等級需要手動配置,dmz介面通常為50。
註:安全等級的作用是用來反應ASA防火牆上的一個介面相對於另一個介面的信任程度。
四、ASA防火牆有哪些預設的安全策略?
1.預設允許從高安全等級介面到低安全等級介面的流量通過。例如從inside(100)介面到outside(0)介面的流量預設允許通過,無需配置ACL放行。
2.預設不允許從低安全等級介面到高安全等級介面的流量通過。例如從outside(0)介面到inside(100)介面的流量預設不允許通過。若要允許從低安全等級介面到高安全等級介面的流量通過,需要設定ACL放行。
3.預設不允許相同安全級介面之間的流量通過。例如從dmz1(50)到dmz2(50)的流量預設不允許通過。若要允許相同安全等級的介面之間流量通過,需要使用指令「same-security-traffic permit inter-interface」放行。
4.預設不允許流量從一個介面流入又從同一個介面流出。例如從outside介面接收到的封包經過路由查詢後又從該介面發送出去,ASA防火牆預設不允許這樣的流量通過。若要允許流量從接收它的介面流出,則需要使用指令「same-security-traffic permit intra-interface」放行。
五、什麼是nat-control?
nat-control是ASA防火牆8.2及先前版本中的特性,它要求所有從低安全等級介面到高安全等級介面或從高安全等級介面到低安全等級介面的流量必須符合某個NAT規則執行位址轉換,否則ASA防火牆將丟棄該流量。也就是說即便是ACL放行了這些流量,也必須為這些流量配置NAT規則執行位址轉換,否則ASA將丟棄那些沒有符合任何NAT規則的流量。 8.2及之前版本的ASA防火牆nat-control特性預設是啟用的,8.3及之後版本的ASA防火牆就移除了nat-control特性,不再要求上述流量必須經過NAT。
註:nat-control特性不要求相同安全等級介面之間的流量必須執行NAT。
六、什麼是Identity NAT?
在ASA 防火牆中,Identity NAT(也稱為NAT 豁免)是一種特殊的NAT配置,它允許封包通過防火牆時不進行位址轉換,即來源位址和目標位址保持不變。 Identity NAT 通常用於特定的流量,例如VPN流量/內部網路之間的流量等,使用者希望這些流量繞過普通的NAT規則,直接以原始IP位址進行通訊。特別是在啟用了nat-control特性的8.2及之前版本的ASA防火牆,如inside介面和dmz介面之間的流量,通常希望保持原始IP位址進行通信,但nat-control又強制要求它必須執行NAT,因此可以透過配置Identity NAT避免對這些流量的封包執行位址轉換。
七、什麼是多上下文模式和單上下文模式?
在ASA 防火牆裡,多重上下文模式(multi-context mode)是指把一台實體ASA防火牆邏輯上劃分成多台虛擬防火牆,每個虛擬防火牆稱為一個安全上下文(security context)。每個安全上下文就是一個獨立的防火牆實例,它有自己的介面(邏輯劃分的)/存取控制策略/NAT規則/路由表/設定檔/管理帳號等。 ASA防火牆透過多上下文模式實現在一台實體防火牆上為不同的業務部門、客戶或應用環境提供相互獨立的防火牆實例。
單上下文模式(single-context mode)是ASA防火牆預設工作模式。在這個模式下,整個實體防火牆就是一個完整的防火牆實例,所有的介面都屬於該防火牆實例,存取控制策略/路由表/設定檔等都由這個防火牆實例統一配置和管理。
八、什麼是透明模式防火牆及路由模式防火牆?
透明模式防火牆是一種工作在二層的防火牆,它類似一台交換機,將同一網路(即一個LAN)分隔成不同的安全區域,對網路內流量(包括一些二層流量,如ARP/BPDU等)進行監控與控制。透明模式防火牆的接口為二層接口,以橋接方式連接網絡,因此部署時不會改變現有網絡三層拓撲結構,不需要對現有網絡重新IP編址,能夠無縫接入現有網絡中,對兩端通信設備來說是無感知透明的。
路由模式防火牆是一種工作在三層的防火牆,它類似一台路由器,將不同網路分隔成不同的安全區域,對網路間流量進行監控和控制。路由模式防火牆的接口為三層接口,分別連接不同的網絡,防火牆充當網關設備,因此部署時會改變現有網絡三層拓撲結構,需要對現有網絡重新IP編址。
九、什麼是Failover?
Failover(故障切換)是ASA防火牆實現高可用性(High Availability, HA)的機制。透過部署一台冗餘的ASA設備,Failover能夠在兩台設備間實時同步網路配置/會話狀態等信息,並透過專用的Failover鏈路交換心跳信息,檢測對方是否運作正常。當一台ASA設備故障或需要維護時,自動由另一台ASA設備接手處理網路業務,從而確保網路通訊不間斷。
Failover有兩種高可用性模式:主動/備用(Active/Standby)和 主動/主動(Active/Active)。在主動/備用模式下,一台ASA防火牆處於Active狀態,負責處理所有網路流量,而另一台處於Standby狀態,不處理網路流量,只同步網路設定和會話狀態。由於配置簡單,大部分防火牆高可用性都是這種主動/備用模式。
在主動/主動模式下,兩台ASA防火牆都處於Active狀態,分擔處理網路流量,它們之間相互同步網路配置和會話狀態。 ASA防火牆主動/主動模式的實作方法是藉助多上下文模式將兩台實體防火牆虛擬化成四台防火牆,每兩台虛擬化防火牆構成一個上下文群組,它們之間運行主動/備用模式,最終兩台實體防火牆分別作為兩個上下文群組中的主動設備。因此從宏觀上看主動/主動模式下兩台實體ASA防火牆都處於Active狀態,都在處理網路流量,但是從微觀上看每個上下文群組都是主動/備用模式,其中一台虛擬防火牆為Active狀態,另一台為Standby狀態。
十、ASA防火牆內建了哪些故障偵測指令和工具?
排除ASA防火牆故障時,常用的指令有ping/traceroute/show/debug等。而且ASA防火牆也提供了兩個非常實用的故障偵測工具packet-tracer和capture。 packet-tracer可以模擬一個封包在防火牆內部的完整處理過程,能夠清楚的看到封包是否被允許通過、在哪個階段被丟棄。 capture能夠抓取指定介面上的特定條件的資料包,是一個類似tcpdump的抓包工具,透過分析資料包來定位網路故障。
发表回复