淺析防火墻ASA特性及其和NAT技術結合的合理性

【摘要】隨著我國科技的進步網絡技術也在飛快的發展，網絡的安全問題也日益受到各大企業的關注。因此網絡防火墻技術Cisco ASA也應運而生，并且在企業網站的NAT技術即廣域網接入和網絡地址轉換中起到重大的作用。下面本篇就為您淺析防火墻ASA的特性以及它和NAT技術結合的合理性。

【關鍵詞】Cisco ASA防火墻網絡安全QoS技術NAT技術合理性

一、介紹防火墻ASA的特性

防火墻ASA是Cisco公司的一款集防火墻、VPN集中器和入侵檢測（IDS）于一體的安全產品。Cisco ASA防火墻是一款很出色的企業級的防火墻，不僅提供了防火墻的基本功能，還適用于各種的網絡環境，方便企業的管理、監控和維護。以下就是我們為您介紹防火墻Cisco ASA的特性：

（1）防火墻Cisco ASA基本網絡訪問控制。防火墻Cisco ASA的應用層感知狀態包過濾，對應用層的數據進行深度過濾，對穿越的用戶進行認證，在只有通過認證的情況下，用戶才能訪問網絡資源，并且可以對用戶進行授權限制其對特定資源的訪問，對系統配置的修改和對穿越防火墻的流量進行細致的審計，并且可以把審計信息發到外部服務器，這對于企業內部網絡安全的穩定起到很大的作用。

（2）防火墻Cisco ASA高級網絡訪問控制。防火墻Cisco ASA高級網絡訪問控制中其安全服務模塊，可以擴展IPS和有著內容過濾功能。它把IPS模塊內嵌到防火墻中，操作時只需授權激活就能使用。Cisco ASA還利用第三方的URL地址過濾服務器，對企業內用戶上網流量進行過濾，Cisco ASA使用TCP Intercept技術對DoS進行攻擊防護，使用MPF技術對特定的流量連接數進行限制。這就可以保障公司的關鍵應用在60個節點中可以穩定運行，其流量不受阻礙。而且在防火墻Cisco ASA高級網絡訪問控制中還可以用威脅檢查技術，發現試圖穿越ASA的可疑行為，并且對攻擊產生自動的抵御的功能，維護企業網絡的安全。

（3）防火墻Cisco ASA網絡整合性。防火墻Cisco ASA網絡整合性，防火墻Cisco ASA可以為一個小型網絡中的客戶分配地址，也可以為一個DHCP和PPPoE的客戶動態獲取地址。Cisco ASA支持多種路由協議（RIP，OSPF和EIGRP），這都是為保障公司機房、網絡設備、服務器等安全穩定運行；和60個節點的大型企業網絡部署VPN的正常運行。防火墻Cisco ASA還能夠把一個物理防火墻劃分為多個虛擬防火墻，支持路由和透明兩種類型的防火墻操作模式。而且防火墻還具有冗余Failover技術，實現了防火墻的冗余。公司60個節點運行時，當一個防火墻出現故障后，防火墻Cisco ASA就會有備用的防火墻，以此來滿足公司網絡的安全和穩定。

（4）防火墻Cisco ASA管理特性。防火墻Cisco ASA管理特性中，有強大的AAA管理功能，可支持多種AAA協議對撥入ASA的各類遠程訪問VPN、登錄ASA的管理會話和穿越ASA的網絡流量進行AAA的認證、授權。防火墻Cisco ASA配備了專用的帶外網管口，可以通過這個接口實現帶外網管，還支持Object技術對網絡地址和服務進行歸類，提高了配置的靈活與擴展性，可以重復的被訪問控制列表和NAT策略調用，提高了企業的網絡服務質量。

二、網絡中NAT技術的優點

NAT技術也稱為IP偽裝，是網絡地址轉換，它可以將內部主機的IP地址翻譯到外部網絡中，在維護企業的網絡安全中起到很重要的作用。我們在企業的網絡組建時，可以安裝一些代理服務器和包過濾，這樣不僅不用增加管理上的開銷，還能使企業的網絡獲取很好的安全性。NAT技術可以節約IP地址，讓內網共享Internet資源，還可以使外網隱藏內網的體系結構，增強了企業內部網絡的安全性。

還有一個優點就是，可以代替DNS系列服務器實現真正的負載平衡。基于NAT技術的負載平衡就可以避免消弱DNS服務器的作用，NAT技術設備可以負載平衡多個內部IP地址將其轉化為一個合法的IP，再把每個IP分配連接一個TCP，然后把TCP再送到NAT設備中的下一個IP地址。NAT技術減緩了地址耗盡和縮小了路由規模，提供了解決私有網絡和Internet互聯問題的方法，維護了企業內部網絡的安全。

三、防火墻ASA和NAT技術相結合的好處

防火墻在企業網絡的安全管理上起到了很大的作用，防火墻技術和NAT技術的結合，而NAT技術可以使外部網絡無法了解企業內部網絡的內部結構，極大的提高了企業內部網絡的安全性。下面就為您介紹防火墻ASA和NAT技術相結合，對企業內部網絡的好處。

3.1增強企業網絡的安全性

防火墻Cisco ASA設備就是專為中小企業（SMB）和大型企業應用開發的，它支持更多的并發連接數、支持更多的VLAN，還有最多25個IPSec VPN用戶，以及能夠為更多區域提供安全服務。Cisco ASA防火墻作為專用VPN平臺，用于基于防火墻、入侵防御系統（IPS）、網絡防病毒功能。在NAT內部網絡、公網、中立區中都連接各自的防火墻端口，當數據懂端口流入企業網絡內部的時候，防火墻就會對其進行過去和篩選。防火墻也將轉換網絡地址，進一步的保證企業內部網絡安全和正常運行。

3.2保證企業網絡的VPN部署

防火墻ASA和NAT技術相結合，Cisco ASA防火墻不僅支持多種永續性，還可以實現VPN部署的可靠性和最高性能。在Cisco ASA防火墻中，永續性集群功能可以把VPN會話均勻地分布到Cisco ASA設備中，因而可以實現高效地擴展遠程接入部署。Cisco ASA防火墻的集中器不同型號也可以共存同一個集群，高度靈活的容量消除了單故障點，保護客戶的投資，它不需要外部負載的分布，就能夠分布遠程接入。防火墻ASA和NAT技術相結合保證VPN部署不會變成網絡攻擊的導體，如病毒、蠕蟲、壞件、黑客等，還可以控制VPN的流量和應用的訪問策略，讓個人和用戶組可以訪問他們有權的應用和網絡資源。也可以用來部署外部的無線AP，擴展網絡的移動性，保障公司的關鍵應用在60個節點中可以穩定運行。

3.3節省網絡的地址資源

防火墻ASA技術和NAT技術的結合，使得企業內部網絡的大量主機可以順利的訪問Internet網絡，節省了網絡的地址資源。在NAT作用下的內部網絡中，通過防火墻的地址轉換，內部網絡的真實IP地址得以隱藏，黑客在不知道防火墻地址轉換表的情況下是不能知道企業內部網絡數據的，因此也無法向內網中發送攻擊包，降低了黑客的入侵率，保障公司機房還有網絡設備和服務器的安全穩定運行，使公司的內部網絡得以正常。

3.4網絡的安全管理更靈活

在Cisco ASA防火墻設備中，其提供16個可以定制的管理角色，這樣使企業內部的管理員和操作員分別授予不同的訪問等級，比如對于每種設備只允許執行VPN服務配置，或者只允許執行防火墻的服務配置，或許監控和對配置對象的只讀訪問等。這樣使得企業內部網絡的管理上，顯得更加靈活，使得在安排管理人員和操作人員時有更大的選擇空間?？梢赃x擇更好的人員通過QoS技術提高網絡服務質量，管理公司SAP企業管理系統的不間斷服務。

3.5公司應用的穩定性得到保障

防火墻ASA技術和NAT技術的結合，使得公司網絡的基礎設施建設中公司機房、網絡設備、服務器都能安全穩定的運行；采用防火墻Cisco ASA在Internet平臺上實現的VPN鏈接。在NAT技術中，每一條進入內部網絡的信息都要經過防火墻的過濾，防火墻的網絡綜合性、高級訪問控制、VPN特性等此時都將發揮作用，故此，防火墻可以防止未經授權應用對主機的訪問，確保企業內部網絡的安全運行，保障了公司的關鍵應用在60個節點上的穩定運行。

四、結論

由上可知，防火墻ASA技術和NAT技術的結合，是非常合理的，防火墻ASA技術作為一種安全防護設備，維護了企業網絡的安全運行。而且防火墻ASA技術和NAT技術的結合，不僅使企業內部的主機可以順利接入Internet節省了大量的網絡地址資源，還增強了防火墻的的防御策略，大大降低了外部網絡對企業內網的攻擊和破壞。

參考文獻

[1]龔曉華.基于NAT的網絡防護技術及安全網關的研究[J].電腦知識與技術. 2009，（21）

[2]曹淼，李健，張燁，李園花.基于SIP的VoIP穿透NAT方法的研究與實現[J].網絡安全技術與應用. 2009，（04）

[3]張園園，郭裕順.流量監管和流量整形技術的實現和應用[J].中國水運（下半月刊）. 2010，（11）

[4]王建新，王捷，徐濤，郭振華，董蘋蘋.廣域網加速網關設計與實現[J].中南大學學報（自然科學版）. 2012，（10）

[5]陳鵬.基于排隊技術的網絡傳輸質量控制[J].計算機與數字工程. 2011，（01）