
ترتیب پردازش بسته ها در Cisco ASA FirePOWER
درباره Modular Policy Framework در فایروال سیسکو فایرپاور
زمانیکه ماژول Cisco ASA FirePOWER متصل میشود، سیسکو ASA مسئوليت تمام بسته های اطلاعاتی ورودی از ACLS، NAT، جداول اتصال ها و بررسی ترافیک نرم افزارها را قبل از ارسال آن به ماژول بر عهده دارد. به منظور آنكه سیسکو ASA بسته های اطلاعاتی را به ماژول ارسال کند، ملزم به اعمال سیاست گذاری های تعیین مسیر از طریق MPF یا همان Modular Policy Framework ميباشيم.
شکل – هدایت ترافیک به ماژول Cisco ASA FirePOWER از طریق MFP در سیسکو ASA
شکل زیر ترتيب فرآیند پردازش بسته ها در سیسکو ASA را نشان میدهد.
شکل – ترتيب فرآیند پردازش بسته ها در سیسکو ASA
مراحل پردازش نشان داده شده در شکل بالابه شرح ذیل ميباشد:
گام اول: پکت توسط واسط ورودی سیسکو ASA دریافت میشود، چنانچه پیکربندی VPN صورت گرفته باشد پکت در این مرحله رمزگشایی شده و اگر تنظیمات گذر از ACL نیز انجام شده باشد سیسکو ASA فرآیند پردازش را به گام پنجم انتقال میدهد.
گام دوم: سیسکو ASA وجود ارتباط مابین میزبان های مبدا و مقصد ترافیک را بررسی میکند و در صورتيكه ارتباط وجود داشته باشد، سیسکو ASA از تست ACL صرف نظر کرده و پس از انجام بررسی های نرم افزاری به گام پنجم میرود.
گام سوم: اگر ارتباطی میان مبدا و مقصد ترافیک وجود نداشته باشد، سیسکو ASA تست NAT را انجام میدهد .
گام چهارم: سیسکو ASA بر اساس قوانین ACL به طور خودكار به قبول و یا رد ترافیک ورودی میپردازد.
گام پنجم: اگر ترافیک اجازه عبور داشته باشد، سیسکو ASA به بازرسی و بازبینی نرم افزاری آن میپردازد.
گام ششم: سیسکو ASA پکت را به سمت ماژول Cisco ASA FirePOWER هدایت میکند. هنگامي كه تنظیمات در حالت Promiscuous باشد، فقط یک کپی از پکت به ماژول ارسال می شود؛ چنانچه ماژول در حالت Inline پیکربندی شده باشد، پکت شناسایی بررسی و در صورت عدم مطابقت با سیاست گذاری های امنیتی پکت رها خواهد شد، پکت در صورت دارا بودن تمام شرایط امنیتی ماژول Cisco ASA FirePOWER به سیسکو ASA جهت ادامه فرایند پردازش بازگرداننده میشود.
گام هفتم: سیسکو ASA بر اساس NAT و یا روتینگ لایه ۳ صورت گرفته و واسط خروجی پکت را مشخص میکند.
گام هشتم: روتینگ صورت میگیرد.
گام نهم: در این مرحله آدرس لایه ۲ جستجو میشود.
گام دهم: پکت ارسال میشود.
شکل زیر جریان ارسال پکت در سیسکو ASA 5585-X را نشان میدهد.
شکل- روند انتقال پکت در سیسکو ASA 5585-X
درباره Security Services Processor (سرویس پردازش امنیتی) در فایروال فایرپاور سیسکو
SSP یا همان Security Services Processor (سرویس پردازش امنیتی) موجود در سیسکو ASA 5585-X پردازش کل پکتهای ورودی و خروجی را بر عهده دارد؛ به جز پکت های پورت Management ماژول Cisco ASA FirePOWER، هیچ یک از پکت ها مستقیما توسط SSP ماژول پردازش نخواهند شد.