ASA是一種基於狀態的安全防護方式。每個進來的數據包(從低安全級別主機到高安全級別主機)都要根據ASA和PIX防火牆內存中的連接狀態信息進行檢查。PIX(或asa)執行以下任務:
·對經過PIX(或asa)防火牆的連接執行狀態連接控制。
·對內部應用,在沒有明確配置情況下,允許單向(出站)連接。出站的連接指從高安全級別接口向低安全級別接口的連接。
·監視返回的數據包,確認其有效性。
·對TCP順序號進行隨機處理,減少被***的可能性。
安全級別表明一個接口相對於另一個接口是可信還是不可信。如果一個接口的安全級別高於另一個接口的安全級別,則這個接口是可信的,如果一個接口的安全級別低於另一個接口的安全級別,則這個接口是不可信的。
安全級別的基本訪問規則是:具有較高安全級別的接口可以訪問較低安全級別的接口。反之,較低安全級別的接口默認不能訪問較高安全級別的接口,除非設置了ACL或conduit(管道)。安全級別的範圍是0--100。下面分別介紹這些安全級別的規則。
·安全級別100。這是PIX(或asa)防火牆內部接口的最高級別,是默認設置,且不能改變。企業內部網絡應該連接在該接口上。外部的網絡不能訪問該接口,而該接口可以任意訪問其它接口。
·安全級別0。這是PIX(或asa)防火牆外部接口的最低級別,是默認設置,且不能改變。一般用以連接Internet。
·安全級別1--99。與PIX(或asa)連接的邊界接口的安全級別,可根據每臺設備的訪問情況來給它們分配相應的安全級別。
·安全級別100訪問安全級別0時,所有IP數據流都可以通行,除非設置了ACL、認證或授權的限制。雖然允許IP數據流通行,但還是要通行nat轉換才能到達外網口。
·安全級別0要訪問安全級別100時,默認禁止所有IP數據流通行,除非設置了ACL以允許數據流通過。認證和授權機制可進一步限制數據流的通行。