【摘要】隨著我國科技的進(jìn)步網(wǎng)絡(luò)技術(shù)也在飛快的發(fā)展，網(wǎng)絡(luò)的安全問題也日益受到各大企業(yè)的關(guān)注。因此網(wǎng)絡(luò)防火墻技術(shù)Cisco ASA也應(yīng)運(yùn)而生，并且在企業(yè)網(wǎng)站的NAT技術(shù)即廣域網(wǎng)接入和網(wǎng)絡(luò)地址轉(zhuǎn)換中起到重大的作用。下面本篇就為您淺析防火墻ASA的特性以及它和NAT技術(shù)結(jié)合的合理性。

【關(guān)鍵詞】Cisco ASA防火墻網(wǎng)絡(luò)安全QoS技術(shù)NAT技術(shù)合理性

一、介紹防火墻ASA的特性

防火墻ASA是Cisco公司的一款集防火墻、VPN集中器和入侵檢測(cè)（IDS）于一體的安全產(chǎn)品。Cisco ASA防火墻是一款很出色的企業(yè)級(jí)的防火墻，不僅提供了防火墻的基本功能，還適用于各種的網(wǎng)絡(luò)環(huán)境，方便企業(yè)的管理、監(jiān)控和維護(hù)。以下就是我們?yōu)槟榻B防火墻Cisco ASA的特性：

（1）防火墻Cisco ASA基本網(wǎng)絡(luò)訪問控制。防火墻Cisco ASA的應(yīng)用層感知狀態(tài)包過濾，對(duì)應(yīng)用層的數(shù)據(jù)進(jìn)行深度過濾，對(duì)穿越的用戶進(jìn)行認(rèn)證，在只有通過認(rèn)證的情況下，用戶才能訪問網(wǎng)絡(luò)資源，并且可以對(duì)用戶進(jìn)行授權(quán)限制其對(duì)特定資源的訪問，對(duì)系統(tǒng)配置的修改和對(duì)穿越防火墻的流量進(jìn)行細(xì)致的審計(jì)，并且可以把審計(jì)信息發(fā)到外部服務(wù)器，這對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò)安全的穩(wěn)定起到很大的作用。

（2）防火墻Cisco ASA高級(jí)網(wǎng)絡(luò)訪問控制。防火墻Cisco ASA高級(jí)網(wǎng)絡(luò)訪問控制中其安全服務(wù)模塊，可以擴(kuò)展IPS和有著內(nèi)容過濾功能。它把IPS模塊內(nèi)嵌到防火墻中，操作時(shí)只需授權(quán)激活就能使用。Cisco ASA還利用第三方的URL地址過濾服務(wù)器，對(duì)企業(yè)內(nèi)用戶上網(wǎng)流量進(jìn)行過濾，Cisco ASA使用TCP Intercept技術(shù)對(duì)DoS進(jìn)行攻擊防護(hù)，使用MPF技術(shù)對(duì)特定的流量連接數(shù)進(jìn)行限制。這就可以保障公司的關(guān)鍵應(yīng)用在60個(gè)節(jié)點(diǎn)中可以穩(wěn)定運(yùn)行，其流量不受阻礙。而且在防火墻Cisco ASA高級(jí)網(wǎng)絡(luò)訪問控制中還可以用威脅檢查技術(shù)，發(fā)現(xiàn)試圖穿越ASA的可疑行為，并且對(duì)攻擊產(chǎn)生自動(dòng)的抵御的功能，維護(hù)企業(yè)網(wǎng)絡(luò)的安全。

（3）防火墻Cisco ASA網(wǎng)絡(luò)整合性。防火墻Cisco ASA網(wǎng)絡(luò)整合性，防火墻Cisco ASA可以為一個(gè)小型網(wǎng)絡(luò)中的客戶分配地址，也可以為一個(gè)DHCP和PPPoE的客戶動(dòng)態(tài)獲取地址。Cisco ASA支持多種路由協(xié)議（RIP，OSPF和EIGRP），這都是為保障公司機(jī)房、網(wǎng)絡(luò)設(shè)備、服務(wù)器等安全穩(wěn)定運(yùn)行；和60個(gè)節(jié)點(diǎn)的大型企業(yè)網(wǎng)絡(luò)部署VPN的正常運(yùn)行。防火墻Cisco ASA還能夠把一個(gè)物理防火墻劃分為多個(gè)虛擬防火墻，支持路由和透明兩種類型的防火墻操作模式。而且防火墻還具有冗余Failover技術(shù)，實(shí)現(xiàn)了防火墻的冗余。公司60個(gè)節(jié)點(diǎn)運(yùn)行時(shí)，當(dāng)一個(gè)防火墻出現(xiàn)故障后，防火墻Cisco ASA就會(huì)有備用的防火墻，以此來滿足公司網(wǎng)絡(luò)的安全和穩(wěn)定。

（4）防火墻Cisco ASA管理特性。防火墻Cisco ASA管理特性中，有強(qiáng)大的AAA管理功能，可支持多種AAA協(xié)議對(duì)撥入ASA的各類遠(yuǎn)程訪問VPN、登錄ASA的管理會(huì)話和穿越ASA的網(wǎng)絡(luò)流量進(jìn)行AAA的認(rèn)證、授權(quán)。防火墻Cisco ASA配備了專用的帶外網(wǎng)管口，可以通過這個(gè)接口實(shí)現(xiàn)帶外網(wǎng)管，還支持Object技術(shù)對(duì)網(wǎng)絡(luò)地址和服務(wù)進(jìn)行歸類，提高了配置的靈活與擴(kuò)展性，可以重復(fù)的被訪問控制列表和NAT策略調(diào)用，提高了企業(yè)的網(wǎng)絡(luò)服務(wù)質(zhì)量。

二、網(wǎng)絡(luò)中NAT技術(shù)的優(yōu)點(diǎn)

NAT技術(shù)也稱為IP偽裝，是網(wǎng)絡(luò)地址轉(zhuǎn)換，它可以將內(nèi)部主機(jī)的IP地址翻譯到外部網(wǎng)絡(luò)中，在維護(hù)企業(yè)的網(wǎng)絡(luò)安全中起到很重要的作用。我們?cè)谄髽I(yè)的網(wǎng)絡(luò)組建時(shí)，可以安裝一些代理服務(wù)器和包過濾，這樣不僅不用增加管理上的開銷，還能使企業(yè)的網(wǎng)絡(luò)獲取很好的安全性。NAT技術(shù)可以節(jié)約IP地址，讓內(nèi)網(wǎng)共享Internet資源，還可以使外網(wǎng)隱藏內(nèi)網(wǎng)的體系結(jié)構(gòu)，增強(qiáng)了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。

還有一個(gè)優(yōu)點(diǎn)就是，可以代替DNS系列服務(wù)器實(shí)現(xiàn)真正的負(fù)載平衡。基于NAT技術(shù)的負(fù)載平衡就可以避免消弱DNS服務(wù)器的作用，NAT技術(shù)設(shè)備可以負(fù)載平衡多個(gè)內(nèi)部IP地址將其轉(zhuǎn)化為一個(gè)合法的IP，再把每個(gè)IP分配連接一個(gè)TCP，然后把TCP再送到NAT設(shè)備中的下一個(gè)IP地址。NAT技術(shù)減緩了地址耗盡和縮小了路由規(guī)模，提供了解決私有網(wǎng)絡(luò)和Internet互聯(lián)問題的方法，維護(hù)了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。

三、防火墻ASA和NAT技術(shù)相結(jié)合的好處

防火墻在企業(yè)網(wǎng)絡(luò)的安全管理上起到了很大的作用，防火墻技術(shù)和NAT技術(shù)的結(jié)合，而NAT技術(shù)可以使外部網(wǎng)絡(luò)無法了解企業(yè)內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，極大的提高了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。下面就為您介紹防火墻ASA和NAT技術(shù)相結(jié)合，對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的好處。

3.1增強(qiáng)企業(yè)網(wǎng)絡(luò)的安全性

防火墻Cisco ASA設(shè)備就是專為中小企業(yè)（SMB）和大型企業(yè)應(yīng)用開發(fā)的，它支持更多的并發(fā)連接數(shù)、支持更多的VLAN，還有最多25個(gè)IPSec VPN用戶，以及能夠?yàn)楦鄥^(qū)域提供安全服務(wù)。Cisco ASA防火墻作為專用VPN平臺(tái)，用于基于防火墻、入侵防御系統(tǒng)（IPS）、網(wǎng)絡(luò)防病毒功能。在NAT內(nèi)部網(wǎng)絡(luò)、公網(wǎng)、中立區(qū)中都連接各自的防火墻端口，當(dāng)數(shù)據(jù)懂端口流入企業(yè)網(wǎng)絡(luò)內(nèi)部的時(shí)候，防火墻就會(huì)對(duì)其進(jìn)行過去和篩選。防火墻也將轉(zhuǎn)換網(wǎng)絡(luò)地址，進(jìn)一步的保證企業(yè)內(nèi)部網(wǎng)絡(luò)安全和正常運(yùn)行。

3.2保證企業(yè)網(wǎng)絡(luò)的VPN部署

防火墻ASA和NAT技術(shù)相結(jié)合，Cisco ASA防火墻不僅支持多種永續(xù)性，還可以實(shí)現(xiàn)VPN部署的可靠性和最高性能。在Cisco ASA防火墻中，永續(xù)性集群功能可以把VPN會(huì)話均勻地分布到Cisco ASA設(shè)備中，因而可以實(shí)現(xiàn)高效地?cái)U(kuò)展遠(yuǎn)程接入部署。Cisco ASA防火墻的集中器不同型號(hào)也可以共存同一個(gè)集群，高度靈活的容量消除了單故障點(diǎn)，保護(hù)客戶的投資，它不需要外部負(fù)載的分布，就能夠分布遠(yuǎn)程接入。防火墻ASA和NAT技術(shù)相結(jié)合保證VPN部署不會(huì)變成網(wǎng)絡(luò)攻擊的導(dǎo)體，如病毒、蠕蟲、壞件、黑客等，還可以控制VPN的流量和應(yīng)用的訪問策略，讓個(gè)人和用戶組可以訪問他們有權(quán)的應(yīng)用和網(wǎng)絡(luò)資源。也可以用來部署外部的無線AP，擴(kuò)展網(wǎng)絡(luò)的移動(dòng)性，保障公司的關(guān)鍵應(yīng)用在60個(gè)節(jié)點(diǎn)中可以穩(wěn)定運(yùn)行。

3.3節(jié)省網(wǎng)絡(luò)的地址資源

防火墻ASA技術(shù)和NAT技術(shù)的結(jié)合，使得企業(yè)內(nèi)部網(wǎng)絡(luò)的大量主機(jī)可以順利的訪問Internet網(wǎng)絡(luò)，節(jié)省了網(wǎng)絡(luò)的地址資源。在NAT作用下的內(nèi)部網(wǎng)絡(luò)中，通過防火墻的地址轉(zhuǎn)換，內(nèi)部網(wǎng)絡(luò)的真實(shí)IP地址得以隱藏，黑客在不知道防火墻地址轉(zhuǎn)換表的情況下是不能知道企業(yè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的，因此也無法向內(nèi)網(wǎng)中發(fā)送攻擊包，降低了黑客的入侵率，保障公司機(jī)房還有網(wǎng)絡(luò)設(shè)備和服務(wù)器的安全穩(wěn)定運(yùn)行，使公司的內(nèi)部網(wǎng)絡(luò)得以正常。

3.4網(wǎng)絡(luò)的安全管理更靈活

在Cisco ASA防火墻設(shè)備中，其提供16個(gè)可以定制的管理角色，這樣使企業(yè)內(nèi)部的管理員和操作員分別授予不同的訪問等級(jí)，比如對(duì)于每種設(shè)備只允許執(zhí)行VPN服務(wù)配置，或者只允許執(zhí)行防火墻的服務(wù)配置，或許監(jiān)控和對(duì)配置對(duì)象的只讀訪問等。這樣使得企業(yè)內(nèi)部網(wǎng)絡(luò)的管理上，顯得更加靈活，使得在安排管理人員和操作人員時(shí)有更大的選擇空間?？梢赃x擇更好的人員通過QoS技術(shù)提高網(wǎng)絡(luò)服務(wù)質(zhì)量，管理公司SAP企業(yè)管理系統(tǒng)的不間斷服務(wù)。

3.5公司應(yīng)用的穩(wěn)定性得到保障

防火墻ASA技術(shù)和NAT技術(shù)的結(jié)合，使得公司網(wǎng)絡(luò)的基礎(chǔ)設(shè)施建設(shè)中公司機(jī)房、網(wǎng)絡(luò)設(shè)備、服務(wù)器都能安全穩(wěn)定的運(yùn)行；采用防火墻Cisco ASA在Internet平臺(tái)上實(shí)現(xiàn)的VPN鏈接。在NAT技術(shù)中，每一條進(jìn)入內(nèi)部網(wǎng)絡(luò)的信息都要經(jīng)過防火墻的過濾，防火墻的網(wǎng)絡(luò)綜合性、高級(jí)訪問控制、VPN特性等此時(shí)都將發(fā)揮作用，故此，防火墻可以防止未經(jīng)授權(quán)應(yīng)用對(duì)主機(jī)的訪問，確保企業(yè)內(nèi)部網(wǎng)絡(luò)的安全運(yùn)行，保障了公司的關(guān)鍵應(yīng)用在60個(gè)節(jié)點(diǎn)上的穩(wěn)定運(yùn)行。

四、結(jié)論

由上可知，防火墻ASA技術(shù)和NAT技術(shù)的結(jié)合，是非常合理的，防火墻ASA技術(shù)作為一種安全防護(hù)設(shè)備，維護(hù)了企業(yè)網(wǎng)絡(luò)的安全運(yùn)行。而且防火墻ASA技術(shù)和NAT技術(shù)的結(jié)合，不僅使企業(yè)內(nèi)部的主機(jī)可以順利接入Internet節(jié)省了大量的網(wǎng)絡(luò)地址資源，還增強(qiáng)了防火墻的的防御策略，大大降低了外部網(wǎng)絡(luò)對(duì)企業(yè)內(nèi)網(wǎng)的攻擊和破壞。

參考文獻(xiàn)

[1]龔曉華.基于NAT的網(wǎng)絡(luò)防護(hù)技術(shù)及安全網(wǎng)關(guān)的研究[J].電腦知識(shí)與技術(shù). 2009，（21）

[2]曹淼，李健，張燁，李園花.基于SIP的VoIP穿透NAT方法的研究與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2009，（04）

[3]張園園，郭裕順.流量監(jiān)管和流量整形技術(shù)的實(shí)現(xiàn)和應(yīng)用[J].中國水運(yùn)（下半月刊）. 2010，（11）

[4]王建新，王捷，徐濤，郭振華，董蘋蘋.廣域網(wǎng)加速網(wǎng)關(guān)設(shè)計(jì)與實(shí)現(xiàn)[J].中南大學(xué)學(xué)報(bào)（自然科學(xué)版）. 2012，（10）

[5]陳鵬.基于排隊(duì)技術(shù)的網(wǎng)絡(luò)傳輸質(zhì)量控制[J].計(jì)算機(jī)與數(shù)字工程. 2011，（01）