ACL có thể được cấu hình để lọc gói khi chúng đi qua Router hay tường lửa. Một ACL có thể được dùng để lọc gói hoặc dùng để chọn loại dữ liệu cho NAT ….
Cisco ASA có khả năng lọc gói và xác minh tính hợp pháp và đúng đắn của các gói tin đến interface của nó bằng cách sử dụng bảng trạng thái và kết hợp với các chính sách truy cập cấu hình. ASA sẽ duy trì bảng trạng thái để xác minh các chính sách bảo mật được áp dụng cho các gói.
Nếu các gói tin đến ASA không phù hợp với bảng trạng thái sẽ bị drop. Bảng trạng thái đóng vai trò như một bộ nhớ ngắn hạn cho các thiết bị kết nối đang hoạt động, nó còn mô tả môi trường của thiết bị, lưu lượng truy cập của thiết bị.
Cisco ASA theo dõi các thuộc tính kết nối khác nhau tùy thuộc vào các giao thức. TCP và UDP được theo dõi theo mặc định, nhưng ICMP (Internet Control Message Protocol ) và ESP (Encapsulating Scurity Payload) chỉ theo dõi khi được cấu hình.
1. Các quy định truy cập interface
Có thể dựa vào lưu lương truy cập đầu vào hoặc đầu ra thuộc layer 3 (chẳng hạn như IP nguồn, IP đích ), layer 4 (chẳng hạn như nguồn/ đích TCP hoặc UDP).
Cisco ASA hỗ trợ cả standard và extanded access list, kể từ phiên bản 7.0 tất cả ACL sẽ được giả định là extanded (có khả năng xác định theo giao thức, địa chỉ nguồn địa chỉ đích và port).
Standard ACL sẽ được sử dụng tạo các bộ lọc truy cập VPN …
Quy tắc truy cập interface là một danh sách có thứ tự cho phép (permit), không cho phép (deny), các quyền được xét từ trên xuống dưới, khi một gói tin đã thỏa quy tắc trên cùng thì các quy tắc dưới được bỏ qua.
Quy tắc cuối cùng là deny tất cả.
- 1.1. Statefull filtering
Lọc gói dựa vào bảng trạng thái
Ví dụ: Trong hình dưới Host 10.0.0.108 gắn với interface bên trong của ASA muốn kết nối HTTP đến máy chủ web 209.165.202.150 ngoài internet. Khi các gói đến ASA, gói được so sánh với các quy tắc truy cập giao diện, các quy tắc được hiển thị trong hình 7.1. cho phép kết nối, lúc này ASA sẽ tạo ra bảng trạng thái để lưu trữ, và các gói sau phiên này cho phép thông qua ASA mà không có liên quan đến các nội dung của quy tắc truy cập giao diện.
1.2. Quy định truy cập và mức bảo mật trên interface
Khi không có các quy tắc truy cập, theo mặc định ASA sẽ sử dụng chính sách truy cập như sau:
- Kết nối từ interface có mức bảo mật cao hơn sang interface có mức bảo mật thấp hơn là cho phép, ngược lại là bị deny.
- Các cổng cùng mức bảo mật không thể truy cập được với nhau nếu chưa cấu hình same-security-traffic permit.
1.3. Quy tắc truy cập theo hướng interface
Một quy tắc truy cập có thể áp lên một giao diện hoặc theo một hướng đi. Để một gói được phép thông qua ASA thì gói tin này phải được phép thông qua các quy định truy cập mà nó gặp.
Trần Khánh Huy – VnPro