扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
当向内传输的包到达外部接口时,首先接受PIX Firewall适应性安全条件的检查。如果包能够通过安全测试,则PIX Firewall删除目标IP地址,并将内部IP地址插入到这个位置。包将被发送到受保护的接口。
ASA适用于动态转换插槽和静态转换插槽。静态转换插槽用static命令产生,动态转换插槽用global命令产生。总之,两种转换插槽都可以称为“xlates”。ASA遵守以下规则:
如果没有连接和状态,任何包都不能穿越PIX Firewall;
如果没有访问控制表的特殊定义,向外连接或状态都是允许的。向外连接指产生者或客户机的安全接口等级高于接收者或服务器。最安全的接口总是内部接口,最不安全的接口总是外部接口。周边接口的安全等级处于内部接口和外部接口之间;
如果没有特殊定义,向内连接或状态是不允许的。向内连接或状态指产生者或客户机的安全接口/网络等级低于接收者或服务器。用户可以为一个xlate(转换)应用多个例外。这样,就可以从互联网上的任意机器、网络或主机访问xlate定义的主机;
如果没有特殊定义,所有ICMP包都将被拒绝;
违反上述规则的所有企图都将失败,而且将把相应信息发送至系统日志。
PIX Firewall处理UDP数据传输的方式与TCP相同。为使DSN、Archie、StreamWorks、H.323和RealAudio能安全操作,PIX Firewall执行了特殊处理。当UDP包从内部网络发出时,PIX Firewall将生成UDP“连接”状态信息。如果与连接状态信息相匹配,这些流量带来的答复包将被接受。经过一小段时间的静默之后,连接状态信息将被删除。
“ASA适应性安全算法”与“数据包内容过滤”的比较
到目前为止,大量的包过滤防火墙仍完全不具备应用层保护能力,有些产品甚至连状态检测都不具备,这里所提到的“数据包内容过滤”是指那些能够提供对数据包内容进行检测的包过滤产品。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。