Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Поток пакета через Cisco брандмауэр ASA

26 декабря 2014 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 сентября 2014) | Отзыв


Содержание


Введение

Этот документ описывает поток пакета через Cisco брандмауэр ASA. Это показывает, как работает внутренняя процедура обработки пакета Cisco ASA. Это также обсуждает различные возможности, где пакет мог быть уронен и различные ситуации, где пакет прогрессирует вперед.

Предпосылки

Требования

Cisco рекомендует иметь знание этих тем:

Используемые компоненты

Информация в этом документе основана на этих версиях программного и аппаратного обеспечения:

  • Ряд Cisco ASA 5500 Адаптивные Приборы безопасности бегущая версия 8.0 программного обеспечения и позже

Соглашения

Направьте в Cisco Технические Соглашения Подсказок для получения дополнительной информации о соглашениях документа.

Справочная информация

Интерфейс, который получает пакет, называют входным интерфейсом и интерфейсом, через который выходит пакет, назван интерфейсом выхода. Когда обращение к пакету течет через любое устройство, это может быть легко упрощено путем рассмотрения задачи с точки зрения этих двух интерфейсов.

Вот типовой сценарий:

/image/gif/paws/113396/asa-packet-flow-01.gif

Когда внутренний пользователь (192.168.10.5) попытки получить доступ к веб-серверу в сети DMZ (172.16.10.5), поток пакета похож на это:

  • Адрес источника - 192.168.10.5

  • Исходный порт - 22966

  • Адрес получателя - 172.16.10.5

  • Порт назначения - 8080

  • Интерфейс Ingress - Внутри

  • Интерфейс Egress - DMZ

  • Используемый протокол - TCP

Путем определения деталей пакета текут, как описано сюда, легко изолировать проблему к этому определенному входу связи.

Cisco алгоритм процесса пакета ASA

Вот диаграмма того, как Cisco, ASA обрабатывает пакет, который это получает:

/image/gif/paws/113396/asa-packet-flow-02.gif

Вот отдельные шаги подробно:

  1. Пакет достигнут во входном интерфейсе.

  2. Как только пакет достигает внутреннего буфера интерфейса, входной прилавок интерфейса увеличен одним.

  3. ASA Cisco сначала проверит - ли это существующая связь путем рассмотрения ее внутренних деталей стола связи. Если поток пакета соответствует существующей связи, то проверка списка контроля доступа (ACL) обойдена, и пакет продвинут.

    Если поток пакета не соответствует существующей связи, то государство TCP проверено. Если это - пакет SYN или пакет UDP, то прилавок связи увеличен одним, и пакет посылают для проверки ACL. Если это не пакет SYN, пакет уронен, и событие зарегистрировано.

  4. Пакет обработан согласно интерфейсу ACLs. Это проверено в последовательном заказе записей ACL и если это соответствует каким-либо из записей ACL, это продвигается. Иначе, пакет уронен, и информация зарегистрирована. Когда пакет будет соответствовать входу ACL, количество хита ACL будет увеличено тем.

  5. Пакет проверен для правил перевода. Если пакет проходит через эту проверку, то вход связи создан для этого потока, и пакет продвигается. Иначе, пакет уронен, и информация зарегистрирована.

  6. Пакет подвергнут Инспекционной Проверке. Этот контроль проверяет, соответствует ли этот определенный поток пакета протоколу. ASA Cisco имеет встроенный инспекционный двигатель, который осматривает каждую связь согласно ее предопределенному набору функциональностей уровня приложения. Если это прошло осмотр, это продвинуто. Иначе, пакет уронен, и информация зарегистрирована.

    Если модуль CSC будет включен, будут осуществлены дополнительные Проверки безопасности.

  7. Информация о заголовке IP переведена согласно правилу NAT/PAT, и контрольные суммы обновлены соответственно. Когда модуль AIP включен, пакет отправлен AIP-SSM для связанных проверок безопасности IPS.

  8. Пакет отправлен интерфейсу выхода, основанному на правилах перевода. Если никакой интерфейс выхода не определен в правиле перевода, то интерфейс назначения решен основанный на глобальном поиске маршрута.

  9. В интерфейсе выхода выполнен интерфейсный поиск маршрута. Помните, интерфейс выхода определен по правилу перевода, которое возьмет приоритет.

  10. Однажды Слой 3 маршрута были найдены, и следующий перелет определен, Слой, 2 резолюции выполнены. Слой 2 переписывает заголовка MAC, происходит на данном этапе.

  11. Пакет передан на проводе и Интерфейсном приращении прилавков в интерфейсе выхода.

Объяснение на NAT

Обратитесь к этим документам для получения дополнительной информации о заказе операции NAT:

Покажите команды

Вот некоторые полезные команды, которые помогают в прослеживании деталей потока пакета на различных стадиях обработки:

Сообщения Syslog

Сообщения Syslog предоставляют полезную информацию об обработке пакета. Вот является некоторый пример syslog сообщениями для вашей справки:

  • Сообщение Syslog, когда нет никакого входа связи:

    %ASA-6-106015: Deny TCP (no connection) from
    IP_address/port to IP_address/port flags tcp_flags on interface
    interface_name
  • Сообщение Syslog, когда пакет отрицается списком доступа:

    %ASA-4-106023: Deny protocol src
    [interface_name:source_address/source_port] dst
    interface_name:dest_address/dest_port by access_group
    acl_ID
  • Сообщение Syslog, когда нет никакого правила перевода, найдено:

    %ASA-3-305005: No translation group found for protocol
    src interface_name: source_address/source_port dst interface_name:
    dest_address/dest_port
  • Сообщение Syslog, когда пакет отрицается Контролем безопасности:

    %ASA-4-405104: H225 message received from
    outside_address/outside_port to inside_address/inside_port before
    SETUP
  • Сообщение Syslog, когда нет никакой информации о маршруте:

    %ASA-6-110003: Routing failed to locate next-hop for
    protocol from src interface:src IP/src port to dest interface:dest IP/dest
    port

Для полного списка всех syslog сообщений, произведенных Cisco ASA наряду с кратким объяснением, направьте в Cisco гида сообщений ASA регистрации.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Соответствующая информация


Document ID: 113396