思科ASA数据包追踪工具：调试防火墙的好助手

ZDNet安全频道原创翻译 转载请注明作者以及出处

在本文中，洛里·海德将说明数据包追踪工具是怎样帮助你对防火墙的配置进行调试。你可以利用这个快捷工具对数据包的处理情况进行跟踪，看看在ASA目前设置下，它的处理过程是什么样的。
--------------------------------------------------------------------------------------------

　　对防火墙配置进行调试可能会是一件非常棘手的工作。特别是在你认为包括网络地址转换统计、路由统计以及存取控制列表在内的所有部分都设置正确，而系统就是不象预计的那样工作时。不要害怕，数据包追踪工具能解决这样的问题。

　　思科ASA数据包追踪工具是一个非常出色的工具，可以找出在ASA目前设置下，数据包的处理过程是什么样的。数据包追踪工具可以让你在一个界面下，查看一组网络地址和端口的情况，它可以跟踪数据包通过防火墙的路径，并提供详细的统计结果。

　　在ASDM中，该工具可以通过多种不同的方式启用。其中的一种方式就是防火墙设置窗口中和NAT规则选项。你会发现它位于顶部右侧。

　　数据包追踪工具的设置界面截图

　　图 A

　　在图B中，我已经开始对一个内部网络地址到外部网站的数据包进行跟踪。由于数据包会被防火墙进行处理，个别步骤在实时显示时需要选择动画窗口。步骤的详细信息并没有全部显示出来。在这个例子中，由于所有的处理过程都是绿色的对号，说明防火墙容许了数据包的传输，最后的结果是成功的。

　　图 B

　　你可以对整个处理过程的每个部分进行深入的研究，看看防火墙都采取了什么措施，访问控制列表是怎么对数据包进行处理的，使用了哪些路径。在图C、D、E中显示的就是例子中数据包的处理过程和实际传输路径。

　　在图C中。我们看到数据包经过了一个访问控制列表，进行了匹配流量的监测，并对有效路径进行了检查。

　　图 C

　　在图D中，我们看到了网络地址转换传输规则应用到数据包上，过程分析技术在这时被使用。

　　图 D

　　在图E中，你可以看到一条流水线信息被创建，它包含了流水线信息用户数字和已经被选定为最终结果的路径。

　　图 E

　　最后的例子显示的是没有被防火墙容许通过的流水线信息。

　　图 F

　　正如你在文章中看到的，这个梦幻般的简洁工具可以提供大量的有用信息。在它的帮助下，关键位置调试、访问控制列表检查、防火墙数据包处理过程分析之类的工作将变得非常方便。