自适应安全设备 (ASA) 功能

防火墙是一种网络安全系统，它根据预设规则，基于流量的 IP 地址和端口号，对入站或出站数据包做出响应。自适应安全设备 (ASA) 是思科对其防火墙的称呼。

思科 ASA 5500 系列有多种型号，包括 Cisco ASA 5505、Cisco ASA 5510、Cisco ASA 5515-X、Cisco ASA 5520、Cisco ASA 5525-X、Cisco ASA 5540、Cisco ASA 5550、Cisco ASA 5555-X 和 Cisco ASA 5585-X。

自适应安全设备 (ASA) 是思科的一款安全产品，它结合了基本防火墙功能、VPN 支持、防病毒保护以及许多其他功能。以下是一些 ASA 的功能：

• 数据包过滤：这是根据设备配置的 ACL 中设定的规则，对入站或出站数据包进行过滤的直接过程。它包含许多允许或禁止的条件。如果流量满足其中一个规则，则不会再匹配其他规则，已匹配的规则将被执行。
• 状态检测过滤：如果数据包从高安全级别流向低安全级别，ASA 默认会执行数据包的状态检测。TCP 和 UDP 的响应流量将默认允许，并且例如，如果流量是由高安全级别的设备发起的，旨在访问低安全级别的设备（作为目的地），那么设备将能够 telnet 到另一个设备。这是因为状态检测检查默认启用，它维护一个状态表（其中包含源和目标设备信息，如 IP 地址、端口号）。
• 路由支持 - ASA 支持静态路由、默认路由以及动态路由协议，如 EIGRP、OSPF 和 RIP。
• ASA 的透明防火墙有两种操作模式：
  • 路由模式：在此模式下，ASA 作为第 3 层设备（路由器跳）运行，要求其接口具有两个不同的 IP 地址，这意味着两个不同的子网。
  • 透明模式：在此模式下，ASA 在第 2 层运行，并且只需要一个 IP 地址来管理与 ASA 相关的任务，因为内部和外部接口都充当桥接。
• ASA 通过本地数据库或第三方服务器（如 ACS (Access Control Server)）提供对 **AAA 服务**的支持。
• VPN 支持 - ASA 支持基于 SSL 和基于策略的 VPN，例如点对点 IPsec VPN（包括站点到站点 VPN 和远程访问 VPN）。
• IPv6 支持 - ASA（新版本）支持静态和动态 IPv6 路由。
• VPN 负载均衡 是思科 ASA 的一项功能，是思科专有的。多个 ASA 设备可以同时共享大量客户端。
• 状态故障转移 - ASA 支持一对思科 ASA 设备以实现高可用性。即使其中一个 ASA 发生故障，另一个 ASA 设备也将继续正常运行。启用状态故障转移后，活动设备会不断传输备份设备连接状态数据。故障转移后，新的活动设备可以访问相同的连接信息。
• 通过思科 ASA 的 **集群** 功能，我们可以将多个 ASA 设备配置为单个逻辑设备。集群中最多可以包含 8 个协调单元。这将产生高吞吐量和冗余。
• 高级恶意软件防护 (AMP) - 思科 ASA 支持下一代防火墙功能，可以通过将传统防火墙功能与 NGFW 功能相结合，在单个设备中提供高级恶意软件防护。
• MPF（模块化策略框架） 用于为各种流量指定策略。为了使用 QoS、流量整形、优先级排序等高级防火墙功能，它在 ASA 中使用。
  为了使用 MPF，我们定义 Class-map 来识别流量类型，Policy-map 来确定应执行哪些操作（如优先级排序），以及 Service-Policy 来确定它们应在哪里使用。