- Принцип работы ASA ,
 eek, 13:07 , 16-Май-17 (1)> Читаю как работает ASA, правильно ли я понимаю:
> 1. Получив пакет смотрит идет ли пакет от большего Security level к
> меньшему (либо они равны)?
> 1.1 Если да то пропускает (не смотря на ACL DENY any any,
> который всегда есть)?
> 1.2 Если нет то смотрит есть ли разрешающий ACL.google: "cisco asa packet flow"
- Принцип работы ASA , pavlinux, 03:51 , 17-Май-17 (2) +1
> ... как работает ASAКак коряво настроенный iptables
- Принцип работы ASA , Pofigist, 15:54 , 23-Май-17 (3)
> Читаю как работает ASA, правильно ли я понимаю:
> 1. Получив пакет смотрит идет ли пакет от большего Security level к
> меньшему (либо они равны)?
> 1.1 Если да то пропускает (не смотря на ACL DENY any any,
> который всегда есть)?
> 1.2 Если нет то смотрит есть ли разрешающий ACL.Нет. ASA это классический NAT-device. Если трансляция прописана - смотрим остальные условия для попускания пакета и на их основе принимаем решение. Если трансляции нет - пакет сразу дропается.
- Принцип работы ASA , Pofigist, 16:00 , 23-Май-17 (4)
> Нет. ASA это классический NAT-device. Если трансляция прописана - смотрим остальные условия
> для попускания пакета и на их основе принимаем решение. Если трансляции
> нет - пакет сразу дропается.Добавлю для понимания - это вам не кастрированный NAT из линакса, это его полноценная реализация! И поскольку это устройство обеспечения безопасности - автоматического создания трансляций в нем нет, все надо прописывать ручками! Поясняю - то есть для трансляции пакета "изнутри" "наружу - тоже придется прописать трансляцию, она не будет создана автоматически, как в кетайских мыльницах с линаксом, к которым вы апелируете, когда говорите о NAT!
- Принцип работы ASA , crash, 10:48 , 24-Май-17 (5)
>> Если трансляции нет - пакет сразу дропается.то есть если есть две локальные сети на ASA, которые она может маршрутизировать между собой, то доступа не будет между локальными сетями, пока не настроишь NAT для этих сетей?
- Принцип работы ASA , Pofigist, 13:16 , 25-Май-17 (6)
>>> Если трансляции нет - пакет сразу дропается.
> то есть если есть две локальные сети на ASA, которые она может
> маршрутизировать между собой, то доступа не будет между локальными сетями, пока
> не настроишь NAT для этих сетей?ASA НЕ мершрутизатор :) Да именно так. И забуть про "локальные" и "глобальные" сети - не важно какие, они в общем равноценные. Это полноценный NAT, а не кастрированная линакс-версия оного.
- Принцип работы ASA , ShyLion, 14:15 , 25-Май-17 (7)
> ASA НЕ мершрутизатор :) Да именно так. И забуть про "локальные" и
> "глобальные" сети - не важно какие, они в общем равноценные. Это
> полноценный NAT, а не кастрированная линакс-версия оного.А что, NAT это обязательное условие?
- Принцип работы ASA , Pofigist, 17:15 , 25-Май-17 (8)
>> ASA НЕ мершрутизатор :) Да именно так. И забуть про "локальные" и
>> "глобальные" сети - не важно какие, они в общем равноценные. Это
>> полноценный NAT, а не кастрированная линакс-версия оного.
> А что, NAT это обязательное условие?Для ASA - обязательное. Ну как бы объяснить...
В маршрутизаторах есть процесс forward, который пересылает пакеты мужду интерфейсами, опираясь на таблицу маршрутизации.
В коммутаторах соотвествующий процесс использует таблицу коммутации
А в ASA этот же процесс пересылки пакетов использует таблицу трансляций, чтоб понять куда какой пакет направить. :)
- Принцип работы ASA , crash, 21:01 , 26-Май-17 (9)
>>>> Если трансляции нет - пакет сразу дропается.
>> то есть если есть две локальные сети на ASA, которые она может
>> маршрутизировать между собой, то доступа не будет между локальными сетями, пока
>> не настроишь NAT для этих сетей?
> ASA НЕ мершрутизатор :) Да именно так. И забуть про "локальные" и
> "глобальные" сети - не важно какие, они в общем равноценные. Это
> полноценный NAT, а не кастрированная линакс-версия оного.вот не могу я тут с вами согласиться.
- Принцип работы ASA , Pofigist, 21:32 , 26-Май-17 (10)
>>>>> Если трансляции нет - пакет сразу дропается.
>>> то есть если есть две локальные сети на ASA, которые она может
>>> маршрутизировать между собой, то доступа не будет между локальными сетями, пока
>>> не настроишь NAT для этих сетей?
>> ASA НЕ мершрутизатор :) Да именно так. И забуть про "локальные" и
>> "глобальные" сети - не важно какие, они в общем равноценные. Это
>> полноценный NAT, а не кастрированная линакс-версия оного.
> вот не могу я тут с вами согласиться.Да ладно! И в каком же месте не можете?
- Принцип работы ASA , crash, 06:38 , 27-Май-17 (11)
>>>>>> Если трансляции нет - пакет сразу дропается.
>>>> то есть если есть две локальные сети на ASA, которые она может
>>>> маршрутизировать между собой, то доступа не будет между локальными сетями, пока
>>>> не настроишь NAT для этих сетей?
>>> ASA НЕ мершрутизатор :) Да именно так. И забуть про "локальные" и
>>> "глобальные" сети - не важно какие, они в общем равноценные. Это
>>> полноценный NAT, а не кастрированная линакс-версия оного.
>> вот не могу я тут с вами согласиться.
> Да ладно! И в каком же месте не можете?что между локальными сетями, если у вас к ASA подключено две сети, надо настраивать NAT. ASA может и подразумевает там свой NAT, но специально самому не надо настраивать.
- Принцип работы ASA , pavlinux, 16:18 , 31-Май-17 (12)
> а не кастрированная линакс-версия оного.Твая циска умеет, ну для начала скажем -j MIRROR/CHAOS/GEOIP, про хардкор типа bpf я уж молчу. ASA - игрушка для секретарш, которые по совместительству сисадминшы.
Подходят чтоб объединить два офеса на одну вендовую шару или банить однокласники.
- Принцип работы ASA , Pofigist, 21:38 , 31-Май-17 (13)
>> а не кастрированная линакс-версия оного.
> Твая циска умеет, ну для начала скажем -j MIRROR/CHAOS/GEOIP, про хардкор типа
> bpf я уж молчу.
> ASA - игрушка для секретарш, которые по совместительству сисадминшы.
> Подходят чтоб объединить два офеса на одну вендовую шару или банить однокласники. Не смеши. ASA кстати унитри имеет линакс, так для спраки. Просто из него выкинули неполноценные и ненадежные реализации фарвола типа ipfilter и сделали свое, надежное и гибкое решение.
- Принцип работы ASA , pavlinux, 04:35 , 23-Июл-17 (14)
> Не смеши. ASA кстати унитри имеет линакс, так для спраки.А у мня на Линухе, в KVM, Windows 10 работает, и чо?
- Принцип работы ASA , Pofigist, 18:18 , 23-Июл-17 (15)
>> Не смеши. ASA кстати унитри имеет линакс, так для спраки.
> А у мня на Линухе, в KVM, Windows 10 работает, и чо? Сочувствую.
- Принцип работы ASA , zanswer CCNA RS and S, 13:48 , 15-Авг-17 (16)
> Читаю как работает ASA, правильно ли я понимаю:
> 1. Получив пакет смотрит идет ли пакет от большего Security level к
> меньшему (либо они равны)?
> 1.1 Если да то пропускает (не смотря на ACL DENY any any,
> который всегда есть)?
> 1.2 Если нет то смотрит есть ли разрешающий ACL.Если пакет пришёл из inside (по умолчанию 100) в сторону outside (по умолчанию 0), пакет пройдёт инспекцию и последующую передачу, если не указано в ACL иное. Исключение составляют протоколы, для которых политикой не определено инспектирование, пакеты таких протоколов не смогут вернуться обратно. ASA является по своей природе statefull firewall, поэтому осуществляет отслеживание и инспекцию протоколов. Если security level будут равны, то по умолчанию трафик между интерфейсами будет блокироваться, что не мешает это поведение переопределить в режиме глобального конфигурирования или в ASDM.
|
Версия для распечатки
Принцип работы ASA , 
