The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Принцип работы ASA "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]
Курсы Сisco по безопасности (CCNA и CCNP Security, Сisco ISE 2.1, ASA, IronPort)
"Принцип работы ASA "  +/
Сообщение от rapport_mur (ok) on 16-Май-17, 09:25 
Читаю  как работает ASA, правильно ли я понимаю:
1. Получив пакет смотрит идет ли пакет от большего Security level к меньшему (либо они равны)?
1.1 Если да то пропускает (не смотря на ACL DENY any any, который всегда есть)?
1.2 Если нет то смотрит есть ли разрешающий ACL.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Принцип работы ASA "  +/
Сообщение от eek (ok) on 16-Май-17, 13:07 
> Читаю  как работает ASA, правильно ли я понимаю:
> 1. Получив пакет смотрит идет ли пакет от большего Security level к
> меньшему (либо они равны)?
> 1.1 Если да то пропускает (не смотря на ACL DENY any any,
> который всегда есть)?
> 1.2 Если нет то смотрит есть ли разрешающий ACL.

google: "cisco asa packet flow"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Принцип работы ASA "  +1 +/
Сообщение от pavlinux (ok) on 17-Май-17, 03:51 
> ... как работает ASA

Как коряво настроенный iptables

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Принцип работы ASA "  +/
Сообщение от Pofigist on 23-Май-17, 15:54 
> Читаю  как работает ASA, правильно ли я понимаю:
> 1. Получив пакет смотрит идет ли пакет от большего Security level к
> меньшему (либо они равны)?
> 1.1 Если да то пропускает (не смотря на ACL DENY any any,
> который всегда есть)?
> 1.2 Если нет то смотрит есть ли разрешающий ACL.

Нет. ASA это классический NAT-device. Если трансляция прописана - смотрим остальные условия для попускания пакета и на их основе принимаем решение. Если трансляции нет - пакет сразу дропается.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Принцип работы ASA "  +/
Сообщение от Pofigist on 23-Май-17, 16:00 
> Нет. ASA это классический NAT-device. Если трансляция прописана - смотрим остальные условия
> для попускания пакета и на их основе принимаем решение. Если трансляции
> нет - пакет сразу дропается.

Добавлю для понимания - это вам не кастрированный NAT из линакса, это его полноценная реализация! И поскольку это устройство обеспечения безопасности - автоматического создания трансляций в нем нет, все надо прописывать ручками! Поясняю - то есть для трансляции пакета "изнутри" "наружу - тоже придется прописать трансляцию, она не будет создана автоматически, как в кетайских мыльницах с линаксом, к которым вы апелируете, когда говорите о NAT!

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Принцип работы ASA "  +/
Сообщение от crash (ok) on 24-Май-17, 10:48 
>>  Если трансляции нет - пакет сразу дропается.

то есть если есть две локальные сети на ASA, которые она может маршрутизировать между собой, то доступа не будет между локальными сетями, пока не настроишь NAT для этих сетей?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Принцип работы ASA "  +/
Сообщение от Pofigist on 25-Май-17, 13:16 
>>>  Если трансляции нет - пакет сразу дропается.
> то есть если есть две локальные сети на ASA, которые она может
> маршрутизировать между собой, то доступа не будет между локальными сетями, пока
> не настроишь NAT для этих сетей?

ASA НЕ мершрутизатор :) Да именно так. И забуть про "локальные" и "глобальные" сети - не важно какие, они в общем равноценные. Это полноценный NAT, а не кастрированная линакс-версия оного.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Принцип работы ASA "  +/
Сообщение от ShyLion (ok) on 25-Май-17, 14:15 
> ASA НЕ мершрутизатор :) Да именно так. И забуть про "локальные" и
> "глобальные" сети - не важно какие, они в общем равноценные. Это
> полноценный NAT, а не кастрированная линакс-версия оного.

А что, NAT это обязательное условие?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Принцип работы ASA "  +/
Сообщение от Pofigist on 25-Май-17, 17:15 
>> ASA НЕ мершрутизатор :) Да именно так. И забуть про "локальные" и
>> "глобальные" сети - не важно какие, они в общем равноценные. Это
>> полноценный NAT, а не кастрированная линакс-версия оного.
> А что, NAT это обязательное условие?

Для ASA - обязательное. Ну как бы объяснить...
В маршрутизаторах есть процесс forward, который пересылает пакеты мужду интерфейсами, опираясь на таблицу маршрутизации.
В коммутаторах соотвествующий процесс использует таблицу коммутации
А в ASA этот же процесс пересылки пакетов использует таблицу трансляций, чтоб понять куда какой пакет направить. :)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Принцип работы ASA "  +/
Сообщение от crash (ok) on 26-Май-17, 21:01 
>>>>  Если трансляции нет - пакет сразу дропается.
>> то есть если есть две локальные сети на ASA, которые она может
>> маршрутизировать между собой, то доступа не будет между локальными сетями, пока
>> не настроишь NAT для этих сетей?
> ASA НЕ мершрутизатор :) Да именно так. И забуть про "локальные" и
> "глобальные" сети - не важно какие, они в общем равноценные. Это
> полноценный NAT, а не кастрированная линакс-версия оного.

вот не могу я тут с вами согласиться.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Принцип работы ASA "  +/
Сообщение от Pofigist on 26-Май-17, 21:32 
>>>>>  Если трансляции нет - пакет сразу дропается.
>>> то есть если есть две локальные сети на ASA, которые она может
>>> маршрутизировать между собой, то доступа не будет между локальными сетями, пока
>>> не настроишь NAT для этих сетей?
>> ASA НЕ мершрутизатор :) Да именно так. И забуть про "локальные" и
>> "глобальные" сети - не важно какие, они в общем равноценные. Это
>> полноценный NAT, а не кастрированная линакс-версия оного.
> вот не могу я тут с вами согласиться.

Да ладно! И в каком же месте не можете?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Принцип работы ASA "  +/
Сообщение от crash (ok) on 27-Май-17, 06:38 
>>>>>>  Если трансляции нет - пакет сразу дропается.
>>>> то есть если есть две локальные сети на ASA, которые она может
>>>> маршрутизировать между собой, то доступа не будет между локальными сетями, пока
>>>> не настроишь NAT для этих сетей?
>>> ASA НЕ мершрутизатор :) Да именно так. И забуть про "локальные" и
>>> "глобальные" сети - не важно какие, они в общем равноценные. Это
>>> полноценный NAT, а не кастрированная линакс-версия оного.
>> вот не могу я тут с вами согласиться.
> Да ладно! И в каком же месте не можете?

что между локальными сетями, если у вас к ASA подключено две сети, надо настраивать NAT. ASA может и подразумевает там свой NAT, но специально самому не надо настраивать.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Принцип работы ASA "  +/
Сообщение от pavlinux (ok) on 31-Май-17, 16:18 
> а не кастрированная линакс-версия оного.

Твая циска умеет, ну для начала скажем -j MIRROR/CHAOS/GEOIP, про хардкор типа bpf я уж молчу.  

ASA - игрушка для секретарш, которые по совместительству сисадминшы.
Подходят чтоб объединить два офеса на одну вендовую шару или банить однокласники.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Принцип работы ASA "  +/
Сообщение от Pofigist on 31-Май-17, 21:38 
>> а не кастрированная линакс-версия оного.
> Твая циска умеет, ну для начала скажем -j MIRROR/CHAOS/GEOIP, про хардкор типа
> bpf я уж молчу.
> ASA - игрушка для секретарш, которые по совместительству сисадминшы.
> Подходят чтоб объединить два офеса на одну вендовую шару или банить однокласники.

Не смеши. ASA кстати унитри имеет линакс, так для спраки. Просто из него выкинули неполноценные и ненадежные реализации фарвола типа ipfilter и сделали свое, надежное и гибкое решение.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Принцип работы ASA "  +/
Сообщение от pavlinux (ok) on 23-Июл-17, 04:35 
> Не смеши. ASA кстати унитри имеет линакс, так для спраки.

А у мня на Линухе, в KVM, Windows 10 работает, и чо?  

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Принцип работы ASA "  +/
Сообщение от Pofigist on 23-Июл-17, 18:18 
>> Не смеши. ASA кстати унитри имеет линакс, так для спраки.
> А у мня на Линухе, в KVM, Windows 10 работает, и чо?

Сочувствую.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Принцип работы ASA "  +/
Сообщение от zanswer CCNA RS and S on 15-Авг-17, 13:48 
> Читаю  как работает ASA, правильно ли я понимаю:
> 1. Получив пакет смотрит идет ли пакет от большего Security level к
> меньшему (либо они равны)?
> 1.1 Если да то пропускает (не смотря на ACL DENY any any,
> который всегда есть)?
> 1.2 Если нет то смотрит есть ли разрешающий ACL.

Если пакет пришёл из inside (по умолчанию 100) в сторону outside (по умолчанию 0), пакет пройдёт инспекцию и последующую передачу, если не указано в ACL иное. Исключение составляют протоколы, для которых политикой не определено инспектирование, пакеты таких протоколов не смогут вернуться обратно.

ASA является по своей природе statefull firewall, поэтому осуществляет отслеживание и инспекцию протоколов. Если security level будут равны, то по умолчанию трафик между интерфейсами будет блокироваться, что не мешает это поведение переопределить в режиме глобального конфигурирования или в ASDM.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor