自适应安全设备（ASA）功能

防火墙是一种根据预设规则根据其IP地址和端口号对收发数据包进行响应的网络安全系统。自适应安全设备是思科对其防火墙（ASA）的称呼。

思科ASA 5500系列有多种型号，包括思科ASA 5505、思科ASA 5510、思科ASA 5515-X、思科ASA 5520、思科ASA 5525-X、思科ASA 5540、思科ASA 5550、思科ASA 5555-X和思科ASA 5585-X。

自适应安全设备（ASA） 是思科的一款安全产品，它将基本防火墙功能与VPN支持、防病毒保护和其他功能结合在一起。以下是一些ASA的功能：

• 数据包过滤 ：这是根据设备配置的访问控制列表（ACL）中设置的规则过滤收发数据包的直接过程。它包括一些允许或禁止的条件。如果流量满足规则中的任一规则，则不会匹配其他规则，并执行匹配的规则。
• 状态过滤 ：如果一个数据包是由高安全级别的设备生成并发送到低安全级别的设备，默认情况下ASA会对数据包进行状态跟踪。TCP和UDP的回复流量默认情况下会被允许，并且如果流量是由高安全级别的设备发起的（作为目标），它可以与低安全级别设备（例如，通过Telnet）进行通信。这是由于默认启用了状态感知，该功能维护了一个状态数据库（其中包括源设备和目标设备的信息，如IP地址、端口号等）。
• 路由支持 - ASA支持静态路由、默认路由和EIGRP、OSPF、RIP等动态路由协议。
• ASA的透明防火墙有两种工作模式：
  • 路由模式 ：在此模式下，ASA作为三层设备（路由器跳）运行，并要求其接口具有两个不同的IP地址，这对应于两个不同的子网。
  • 透明模式 ：在此模式下，ASA在第二层操作，并且只需要一个IP地址来管理与ASA相关的任务，因为内部和外部接口都充当桥接器。
• ASA通过本地数据库或ACS（访问控制服务器）等第三方服务器提供 AAA服务的支持 。
• VPN支持 - ASA支持基于SSL和策略的VPN，例如点对点IPSec VPN（包括站点对站点VPN和远程访问VPN）。
• IPv6支持 - ASA（新版本）支持静态和动态IPv6路由。
• VPN负载均衡 是思科ASA的专有功能。多个ASA设备可以同时共享多个客户端。
• 状态故障转移 - ASA支持一对思科ASA设备实现高可用性。即使其中一个ASA失效，另一个ASA设备仍然正常运行。启用状态故障转移时，活动单元会持续传输备份设备的连接状态数据。故障转移后，新的活动单元可以访问相同的连接信息。
• 通过思科ASA的 集群 功能，我们可以将多个ASA设备设置为单个逻辑设备。群集中最多可以有8个协同单元。这样可以产生高吞吐量和冗余。
• 高级恶意软件防护（AMP）- 思科ASA支持下一代防火墙功能，通过将传统防火墙功能与NGFW（下一代防火墙）功能相结合，可以在单个设备上提供高级恶意软件防护。
• MPF（模块化策略框架） 用于指定各种流量流的策略。为了使用高级防火墙功能，如QoS、Policing、优先级等，ASA中使用MPF。为了使用MPF，我们定义了类映射来标识流量的类型，策略映射来确定应采取的操作（如优先级），以及服务策略来确定它们的使用位置。