II Thiết kế bảo mật
I.2. Phương thức bảo mật linh hoạt ASA
ASA là chìa khóa để kết nối stateful điều khiển trên pix. Nó tạo phiên stateful bảng luồng còn gọi là bảng trạng thái. Địa chỉ nguồn và đích và những thông tin kết nối khác được ghi vào bảng trạng thái. Sử dụng ASA, pix có thể thực hiện lọc trạng thái trên kết nối thêm tới lọc gói.
Phần chính của môi trường hoạt động là ASA. ASA đảm bảo và hiệu quả hơn so với lọc gói và cung cấp khả năng thực hiện tốt hơn so với firewall ứng dụng kiểu proxy. ASA tách mạng thành nhiều đọan được kết nối tới firewall. Duy trì vành đai bảo vệ và có thể điều khiển luồng giữa các đoạn đó. Cổng của firewall được gán mức độ bảo mật. Pix có thể cho phép lưu lượng từ ngoài qua từ một cổng với mức độ bảo mật cao hơn là inside tới cổng có mức độ bảo mật thấp hơn không cần một luật rõ ràng cho mỗi tài nguyên ở đoạn có mức độ cao hơn. Lưu lựng mà đang đến từ cổng với mức đảm bảo thấp hơn cho cổng với mức bảo mật cao hơn được cho phép với 2 yêu cầu: dịch tĩnh phải tồn tại cho đích và danh sách truy xuất hay conduit phải được đặc cho phép lưu lượng.
ASA được thiết kế với chức năng như stateful, xử lý hướng kết nối duy trì thông tin phiên trong bảng trạng thái. Chấp nhận chính sách bảo mật điều khiển bảng trạng thái tất cả lưu lượng qua firewall. ASA lưu thông tin kết nối tới bảng trạng thái khi một kết nối ra ngoài được khởi tạo. Nếu kết nối được cho phép bởi chính sách bảo mật, yêu cầu đi ra ngoài. Lưu lượng quay lại được so sánh với thông tin trạng thái tồn tại. Nếu thông tin không phù hợp, firewall hủy kết nối. Nhấn mạnh bảo mật trên kết nối xa hơn so với gói làm nó gần như không thể đạt được truy xuất bởi bắt cóc phiên TCP.
Minh họa hnhf 3-1 giải thích cơ chế cách asa và lọc stateful làm việc trên PIX
Hình 3-1 cách asa làm việc
Giải thich các bước cách ASA và lọc stateful làm việc trên PIX 1. Host khởi tạo kết nối tới tài nguyên bên ngoài.
2. PIX lưu thông tin sau về kết nối này tới bảng trạng thái. IP nguồn.
IP đích. Cổng đích.
Thông tin chuỗi TCP. Thêm cờ TCP/UDP.
Số chuỗi TCP ngẫu nhiên được cấp.
Toàn bộ bảng trạng thái này được gọi là đối tượng phiên.
3. Đối tượng kết nối được so sánh với chính sách bảo mật. Nếu kết nối không được cho phép, đối tượng phiên bị xóa, và kết nối bị hủy.
4. Nếu kết nối được chấp nhận bởi chính sách bảo mật, yêu cầu tiếp tục tới tài nguyên bên ngoài.
5. Tài nguyên bên ngoài trả lời yêu cầu.
6. Trả lời đến ở firewall và được so sánh với đối tượng phiên. Nếu trả lời phù hợp với đối tượng phiên, lưu lượng qua tới host nội bộ , nếu không, kết nối bị hủy.