• 文章分类

  • ADC (1)
  • Hardware&Device (6)
  • Linux (10)
  • Program-Language (8)
  • Switch&Route&Firewall (31)
  • Uncategorized (15)
  • web-develop (18)
• Search for:

• 最近评论

  • SNONE'S BLOG » www.gracecode.com|精于心、简于形 on FollowMe:万网.com国际域名转出实例
  • tanghui on ARM开发板mini2440的按键控制LED小程序
  • Hans Adreaman on PPP,PPPoE,PPTP,L2TP-VPN简介（之三）- PPPoE协议与场景

• 热门标签

  A10 ADC ADSL Android APT ASA cisco CMS Debian DHCP filter Firewall Gartner Godaddy google http java Juniper L2TP Linux NAT NGFW Palo Alto PHP PIX PPP PPPoE PPTP Ubuntu web whitespace 协议 图片 域名 字符串 安装 思科 拨号 无线 服务器 算法 网络 认证 配置 防火墙

• Meta

  • Log in
  • Entries RSS
  • Comments RSS
  • WordPress.org

ASA8.2版本组播支持stub组播（即PIX上原有的类似igmp代理的组播）以及PIM组播（真正的组播选路），但是二者不能同时配置，即一台 ASA要么处于stub网络的igmp组播代理模式，要么处于pim功能模式（作为一个组播网络的节点）。本文仅介绍思科ASA8.2的stub multicast功能，不介绍pim功能。

思科ASA防火墙支持作为PPPoE客户端拨号，支持作为L2TP服务器接受拨入，并且，仅支持L2TP over IPsec方式拨入，不支持纯L2TP方式拨入。ASA思科文档中未介绍PPTP，并且命令行中也去掉了PPTP的部分，应该已经取消了对于PPTP的支持。

使能fixup时只有在PIX系统才指定协议的端口号，因为在PIX7.0系统中，还不存在MPF框架机制，配置在全局视图下进行，而在ASA和FWSM的MPF框架中，各Inspection（fixup）在定义之时已经在相应的策略和分类视图下（如上面的TFTP），有的协议还可以指定全局配置的策略视图（如上面的HTTP指定了名为http_pmap_name的策略，H323指定了名为h323_pmap_name的策略，这类协议的策略视图下面可以使用parameters命令配置一些高级参数，后面详细介绍），所以就无需在此再指定端口了，并且，MPF的策略和分类机制提供了更加复杂和灵活的流量分类方法。

MPF（Modular Policy Framework, 模块式策略框架）是思科ASA7.0版本引入的一套“对报文按规则分类并针对各分类灵活的应用不同策略”的机制。它由三部分组成，分类（class）、策略（policy）和应用（service），其中分类是将报文分类的机制，定义各种灵活的规则将报文划分为不同的“流”；策略是对“流”采取的“动作”；应用（service）是将策略在可指定的位置启用起来。思科ASA7.0版本之后的各种filter过滤功能和Inspect（即fixup）功能开始切换到这一框架之中实现并且功能上得到很大的强化和丰富（旧版本的fixup和filter过滤命令依然存在，以向后兼容）。Adreaman尝试通过本文对这一框架机制进行概要地基础性分析和总结。

思科的filter过滤可以分为内容过滤和URL地址过滤两个大的方面。内容过滤包括ActiveX和JavaApplet的过滤，功能是阻止用户浏览器获取到HTML标准的网页中的ActiveX控件或JavaApplet小程序，因为这些控件可能会在浏览器客户端运行而带来不可预知的风险。URL过滤是指检查用户的网络客户端访问外网时指定的外网URL地址，例如，用户浏览网页时，浏览器地址栏中输入的URL就是防火墙检查的对象，FTP工具访问FTP服务器时，用户指定的服务器地址（域名或IP）就是防火墙检查的URL。

我们的实验是：令外网那台linux pc的web浏览器发出http浏览请求，ASA在为其建立HTTP连接时，先向内网的LDAP服务器的认证，通过认证后linux pc即可浏览dmz网络的http服务器上的网页内容。