You are on page 1of 3

4/28/2017 ASA 8.

2: Packet Flow through an ASA Firewall ­ Cisco

Cisco ASA Packet Process Algorithm

Here is a diagram of how the Cisco ASA processes the packet that it

Here are the individual steps in detail:
1.  The packet is reached at the ingress interface.
2.  Once the packet reaches the internal buffer of the interface, the input
counter of the interface is incremented by one.
3.  Cisco ASA first looks at its internal connection table details in order to
verify if this is a current connection. If the packet flow matches a
current connection, then the Access Control List (ACL) check is
bypassed and the packet is moved forward.
If packet flow does not match a current connection, then the TCP state
is verified. If it is a SYN packet or UDP (User Datagram Protocol)
packet, then the connection counter is incremented by one and the
packet is sent for an ACL check. If it is not a SYN packet, the packet is
dropped and the event is logged.
4.  The packet is processed as per the interface ACLs. It is verified in
sequential order of the ACL entries and if it matches any of the ACL
entries, it moves forward. Otherwise, the packet is dropped and the
information is logged. The ACL hit count is incremented by one when
the packet matches the ACL entry.
5.  The packet is verified for the translation rules. If a packet passes
through this check, then a connection entry is created for this flow and
the packet moves forward. Otherwise, the packet is dropped and the
information is logged.
6.  The packet is subjected to an Inspection Check. This inspection­5500­x­series­next­generation­firewalls/113396­asa­packet­flow­00.html 1/3

9. 11. it is moved forward.html 2/3 . then the destination interface is decided based on the global route lookup.  On the egress interface. Additional security checks will be implemented if a Content Security (CSC) module is Layer 2 resolution is performed. 8.  Once a Layer 3 route has been found and the next hop identified.  The packet is forwarded to the egress interface based on the translation rules.  The packet is subjected to an Inspection Check. Otherwise.2 and earlier http://www. the egress interface is determined by the translation rule that takes the priority. The packet is forwarded to Advanced Inspection and Prevention Security Services Module (AIP­SSM)  for IPS related security checks when the AIP module is involved. This inspection verifies whether or not this specific packet flow is in compliance with the protocol. the interface route lookup is performed.­5500­x­series­next­generation­firewalls/113396­asa­packet­flow­00. If no egress interface is specified in the translation rule. Remember. Cisco ASA has a built­in inspection engine that inspects each connection as per its pre­defined set of application­level functionality. If it passed the inspection. The Layer 2 rewrite of the MAC header happens at this stage.  The IP header information is translated as per the Network Address Translation/ Port Address Translation (NAT/PAT) rule and checksums are updated accordingly. Explanation of NAT Refer to these documents for more details on the order of NAT operation: Cisco ASA Software Version 8. and interface counters increment on the egress interface.  The packet is transmitted on the wire. 7.2: Packet Flow through an ASA Firewall ­ Cisco 6.4/28/2017 ASA 8. the packet is dropped and the information is logged.

4/28/2017 ASA 8.2: Packet Flow through an ASA Firewall ­ Cisco Cisco ASA Software Version­5500­x­series­next­generation­firewalls/113396­asa­packet­flow­ and later Show Commands Here are some useful commands that help track the packet flow details at different stages in the process: show interface show conn show access­list show xlate show service­policy inspect show run static show run nat show run global show nat show route show arp http://www.html 3/3 .