ASA 的全称是什么？

ASA: Adaptive Security Appliance

ASA 被称为自适应安全设备 (Adaptive Security Appliances)。

思科销售一种名为自适应安全设备（ASA）的网络安全硬件。ASA 是多功能安全工具。

它们拥有 VPN、防火墙、防病毒和入侵防御等功能。它提供的主动威胁防御能够在威胁扩散到整个网络之前将其阻止。

ASA 可以作为一种有益且适应性强的安全解决方案，应用于小型和大型网络。ASA 软件基于 Linux。它只运行 lina 程序，这是一种可执行和可链接的格式。它在内部调度任务，而不是使用 Linux 资源。在启动过程中，一个名为 ROMMON（ROM 监视器）的引导加载程序会加载 Linux 内核，然后加载 lina_monitor 和 lina。

思科 ASA 的型号

ASA 5500 系列提供以下型号：Cisco ASA 5505、Cisco ASA 5510、Cisco ASA 5520、Cisco ASA 5525-X、Cisco ASA 5540、Cisco ASA 5550、Cisco ASA 5580-20、Cisco ASA 5580-40、Cisco ASA 5585-X SSP10、Cisco ASA 5585-X SSP20、Cisco ASA 5585-X SSP40、Cisco ASA 5585-X SSP60。

5505 最初于 2010 年发布，是一款为初创公司或分支机构设计的桌面设备。它的特性包括以太网供电连接器和内部交换机，有助于减少对额外硬件的需求。2010 年，功能更强大的 5585-X 设备推出，专为数据中心设计。它在 Intel 架构的 Atom 芯片上以 32 位模式运行。由于大多数低端设备无法包含防病毒或沙盒等必要功能，思科开发了一条名为“下一代防火墙”的新产品线。它们以 64 位模式运行。

截至 2018 年的思科 ASA 型号包括 5506-X、5506W-X、5506H-X、5508-X、5512-X、5515-X、5516-X、5525-X、5545-X、5555-X 和 5585-X。

ASA 的特点

思科自适应安全设备 (ASA) 软件是思科 ASA 系列的主要操作系统。

它为任何分布式网络环境提供了企业级的防火墙功能，适用于各种形态的 ASA 设备，包括独立设备、刀片服务器和虚拟设备。

ASA 软件还与其他关键安全技术集成，提供全面的解决方案，以应对不断变化的安全需求。

以下是思科 ASA 的主要特点列表：

1. 数据包过滤

数据包过滤允许合法的外部用户向您的 Web 服务器发送入站请求。ASA 通过只允许有效的数据包进入 DMZ（隔离区）来保护内部网络。假设 Marie 是一个互联网用户。Marie 请求访问您的一个 Web 服务器。然而，该 Web 服务器位于您的 ASA 后面的 DMZ 中。默认情况下，互联网连接不允许接受该流量。但这可能是您公司的商店或销售目录。

它不能对互联网不可访问。幸运的是，有数据包过滤功能。当数据包过滤功能被激活时，访问列表会应用到 ASA 面向互联网的接口上。访问列表会指示 ASA 允许哪些流量。数据包过滤可以识别所使用的协议，如 TCP、UDP、RTP 等，以及提供流量的程序。

因此，规则现在可以根据所使用的协议来禁止流量或限制特定应用程序，而不仅仅是根据源或目的 IP 地址来限制流量。互联网用户可以使用配置了数据包过滤的 ASA 访问公共 Web 服务器。同时，我们绝不允许外部用户进入我们的内部区域。这是因为在处理数据包过滤时，我们所了解的所有关于区域的观点都会被保留。

2. 使用状态检测

当内部用户向互联网发送查询时，ASA 会存储会话信息，以便在返回有效响应时能够识别并允许合法流量通过。ASA 能够做到这一点是由于状态检测。假设 Bob 是我们内部网络上的一个用户。Bob 提交了他的请求，因为他想使用互联网。该请求生成的流量被发送到互联网上。

如果 Bob 的 ASA 一开始就阻止所有流量进入网络，那它比不连接互联网好不了多少。因为 Bob 使用互联网不仅仅是为了发送没有希望收到响应的请求，他需要一个响应才能使他的互联网连接有用。Bob 正在等待来自外部服务器的响应。请记住，ASA 的基本功能是在流量到达网络之前将其阻止。

因此，如果防火墙阻止了对 Bob 请求的响应进入，那就没有互联网可言了。但是，当 Bob 的请求离开网络时，防火墙完成了一项惊人的壮举：它通过在后台查看 Bob 的会话来跟踪细节。它保留了第 4 层的细节、端口、源 IP 地址和目的 IP 地址，并将其全部纳入一个状态会话表中。当防火墙收到响应时，它会说：“等一下；这个响应是完美的！”

它与 Bob 期望的响应类型相匹配。然后它会动态地创建一个例外，允许该返回流量回来。通过状态检测，你可以接受所有返回的流量，同时阻止任何从外部发起的流量进入，即使有成千上万的用户不断向互联网发送流量。

3. 路由支持

ASA 可以执行静态路由、默认路由以及像 EIGRP、OSPF 和 RIP 这样的动态路由协议。

4. 透明防火墙

ASA 有两种操作模式：

• 路由模式： 在此状态下运行时，ASA 充当一个三层设备（路由器跳），需要在其接口上设置两个独立的 IP 地址或两个独立的子网。
• 透明模式： 在此模式下，ASA 在二层运行，只需要一个 IP 地址来管理 ASA 相关的任务，因为内部和外部接口都充当桥梁。

ASA 使用本地数据库或外部服务器（如 ACS，访问控制服务器）来提供对 AAA 服务的支持。

5. VPN 支持

ASA 支持基于 SSL 和点对点的 IPsec VPN，以及远程访问和站点到站点的 VPN。

6. IPv6 支持

ASA（新版本）支持静态和动态的 IPv6 路由。

7. VPN 负载均衡

这是思科 ASA 独有的一个功能。多个 ASA 设备可以同时分担多个客户端。

8. 状态故障切换

两台思科 ASA 设备支持 ASA 的高可用性。即使一台 ASA 发生故障，另一台 ASA 设备也会继续正常运行。启用状态故障切换后，活动设备会向备份设备发送连接状态数据。故障切换后，新的活动设备可以访问相同的连接信息。

9. 集群

我们可以在思科 ASA 中配置多个 ASA 设备，使其作为一个逻辑设备运行。集群中最多可以有 8 个内聚组件。这既能实现高吞吐量，又能实现冗余。

10. 高级恶意软件防护 (AMP)

思科 ASA 支持下一代防火墙功能，通过将传统防火墙特性与 NGFW 功能相结合，可以在单个设备中提供高级恶意软件防护。

11. MPF，即模块化策略框架

MPF 用于为不同的流量定义策略。它在 ASA 中用于利用高级防火墙功能，如 QoS、策略控制、优先级划分等。为了实现 MPF，我们创建类映射来指定拥塞类型，策略映射来指定应采取的步骤（如优先级划分），以及服务策略来指定它们应该在哪个上下文中应用。

12. NAT/PAT

ASA 后面的设备可以使用网络或端口地址转换，使它们看起来都连接到 10.0.0.0 网络。然而，向互联网发出的查询会被分配全局路由地址，这些地址在重新进入网络时会被转换回来。如果你现在在电脑上检查你的 IP 地址，你的设备很可能在一个 10 开头或 192.168 开头的地址上。在 Linux 或 Mac 上试试 "ifconfig" 命令，或者 "ipconfig" 命令。

这是因为这些地址包含在 RFC 1918 地址库中。它们是私有的，不允许在互联网上使用。服务提供商会阻止这些私有地址。然而，你的设备错误地认为它们可以在你的网络上找到。这是因为 ASA 还提供了另一个功能，即 NAT/PAT。网络地址转换 (NAT) 和端口地址转换 (PAT) 会谎报源 IP 地址。

ASA 后面的设备没有全局可路由的地址，而防火墙会有一个类似 23.1.2.3 的地址。然而，通过 ASA 的流量会使用 NAT 或 PAT 将源地址转换为 ASA 的地址，从而掩盖请求的来源。多亏了 NAT 和 PAT，这些数据包在互联网上传输时会带有 ASA 的返回地址。收到响应后，ASA 会将目的地址替换为原始请求者设备的内部地址。

13. 保护网络

思科的自适应安全设备 (ASA) 的默认设置是阻止所有传入的外部流量。如果恶意行为者从一开始就无法从外部进入，他们就无法制造麻烦。然而，思科也设计了 ASA，使其具有极其智能和可靠的功能，可以识别各种类型的合法流量。在网络安全领域有许多不同的保护方法。

各种硬件和软件解决方案提供独特的防御。思科自适应安全设备 (ASA) 将众多特性和功能集成到一个网络安全设备中，功能非常强大。为了更好地理解 ASA 对网络的影响，让我们来想象一下。将 ASA 放置在网络和互联网之间，以保护整个网络。

想象一个网络，它有一个“内部”区域和一个包含许多与互联网接触的服务器的“非军事区”(DMZ)。我们都知道外部世界是多么危险。

因此，ASA 声明，默认情况下，所有试图从外部进入的流量，无论是来自用户、服务器还是系统，都将在连接到 ASA 时被拒绝。当部署 ASA 来保护网络时，外部流量在到达任何设备之前就被阻止了。

要保持网络 100% 安全，唯一的方法是完全不连接互联网。但是，你可以看出为什么这样做可能不太有用。大多数企业都使用互联网，这需要用户能够从内部网络访问外部互联网并接收响应。

此外，这也意味着允许合法的互联网请求到达站点服务器。尽管 ASA 的默认行为可能是拒绝任何数据包进入内部区域或 DMZ，但它提供了各种各样的功能，可以实现安全、合法的互联网交互。

ASA CLI 和 ASA GUI

ASA 的命令行界面 (CLI) 和图形用户界面 (GUI) 是控制设备的两种截然不同的方法，但它们的区别也带来了不同的效率和优势。有些人喜欢 GUI，而另一些人则选择 CLI。然而，两者各有其用武之地。

从 GUI 的角度来看，有大量出色的省时选项。当然，设备的每个方面都可以在任一位置进行配置，但假设你想部署像 AnyConnect 这样的功能，这是一个用于远程访问的 SSL VPN 支持。

这可以很容易地在 CLI 上手动配置。但是，如果你想更快地完成相同的配置，GUI 中有一个向导。在“向导”菜单下的“VPN 向导”标题下，点击 AnyConnect VPN 向导。AnyConnect VPN 向导会提出一系列问题。

你输入信息，它就会为你生成必要的设置。在 GUI 中工作非常棒，因为你可以输入所有必要的信息，一直到最后，然后，与其点击“确定”，不如将配置信息复制粘贴到记事本中，进行任何必要的更改，然后再手动输入到 CLI 中。这份 ASA 功能概述旨在激发你对该安全系统的兴趣。

思科的一体化防火墙安全设备是任何网络管理员工具箱中必备的工具，关于设置和修改 ASA 的众多特性和优势，还有很多东西需要学习。传统的 PIX 防火墙只能通过命令行进行设置或修改，这意味着只有精通命令行配置的工程师才能完成。思科 ASA 可以使用图形用户界面进行配置，这个界面被称为自适应安全设备管理器 (ASDM)。

要使用基于 Java 的 ASDM 软件，需要先在 Windows 或 Mac OS X 计算机上安装它，然后才能用它远程管理多个 ASA 设备。

此外，思科 ASA 的闪存驱动器中包含 ASDM 软件镜像。ASDM 使日常防火墙维护变得更简单，它允许你通过点击鼠标远程进行配置更改，而无需通过 CLI 连接。有了它，你可以查看和过滤连接、查看图表和数据，或者升级操作系统。

ASA 防火墙是如何工作的？

下面描述了网络防火墙所基于的状态数据包检测技术。状态网络防火墙，如思科 ASA，通常使用状态数据包检测来阻止未经授权的流量从外部进入网络或在网络内部的安全区域之间移动。

当响应流量从网络外部传入时，状态防火墙会允许它通过到起始设备，同时跟踪由网络内用户设备发起的所有会话。

状态数据包检测会检查访问控制列表，以确定传入数据包的源或目的 IP 地址（和端口）是否被允许访问网络。

思科 ASA 上有许多物理接口，可以使用 VLAN 细分为“子接口”。每个防火墙接口都连接到一个“安全区域”，这实质上是一个三层子网。

ASA 防火墙接口上指定的 IP 地址将成为该安全区域（子网）内所有主机的网关。这意味着离开特定安全区域的任何流量都将通过 ASA，ASA 将对其应用防火墙限制。

结论

经过多年的创新和适应，思科 ASA 在网络安全领域已成为一个强大的哨兵。其众多功能，包括防火墙和 VPN，以及入侵防御和应用层过滤，为应对不断变化的网络威胁提供了全面的防御。

思科 ASA 的可扩展性以及与思科其他安全解决方案的轻松集成，确保了它能够满足从小型企业到大型公司的各种企业的安全需求。随着企业面临更复杂的威胁，思科 ASA 在保护重要资产和数据方面仍然可靠且值得信赖。

其历史重要性以及为应对当代安全问题而进行的持续演进，巩固了其作为强大安全态势中不可或缺的元素的地位。在一个网络威胁不断变化的世界里，思科 ASA 是一个可靠的保护者，同时为企业应对未来的安全问题做好准备。在一个网络攻击和数据泄露不断的时代，思科 ASA 提供的不只是安全，它还给用户带来了内心的平静。

凭借其悠久的可靠性历史和持续的发展，它不仅仅是一个安全设备；它是一项战略资产。它可以灵活地以各种模式部署，包括透明模式、路由模式和集群配置，从而能够根据不同网络基础设施的特定需求进行定制。

思科 ASA 对合规性的承诺、用户友好的管理界面以及与思科全面的安全生态系统的集成，也支持了其作为网络安全标准可靠执行者的地位。

从本质上讲，思科 ASA 不仅仅是一个防火墙；它是一个可靠的守护者，使企业能够在一个危险不断变化的数字环境中茁壮成长。