ASA多模式防火墙_06-创新互联

10年积累的成都做网站、网站设计经验,可以快速应对客户对网站的新想法和需求。提供各种问题对应的解决方案。让选择我们的客户得到更好、更有力的网络服务。我虽然不认识你,你也不认识我。但先建设网站后付款的网站建设流程,更有台江免费网站建设让你可以放心的选择与我们合作。

多模式防火墙

部署建议

1.一个ASA虚拟多个防火墙Security context

2.子墙能共享物理接口(也可分子接口给不同防火墙)

3.每个子墙都有配置文件,ASA还有个系统配置文件(关于各个子墙分配)

4.防火墙模式设置会影响整个Cisco 防火墙,不能一部分路由,一部分透明

5.先改变防火墙模式(如改为透明模式),再创建子墙

6.透明模式的防火墙不能够使用共享接口

7.当使用共享接口时,要为每个子墙的共享接口指定不同的MAC地址

8.注意资源管理,防止一个子墙耗尽资源

局限性

使用子墙(多模式),不支持如下特性:

– Dynamic routing protocol (动态路由协议)
– Multicast IP routing (组播路由)
– Threat detection (威胁检测)
– ×××
– Phone proxy (电话代理)

配置

  1. 单转多时,单模式的 running configuration 将会转换到system configuration(系统配置) 和 admin.cfg(admin子墙配置,应用单模的running configuration),且保存原配置文件为old_running.cfg

  2. 在单一模式被激活接口指派到admin context。在单一模式关闭的接口将不会被指定到任何子墙。

  3. 一个新的子墙,默认没有关联接口。必须在系统配置下指派接口到子墙。在系统配置下激活一个接口。在路由模式,能够指派相同的接口到多个子墙。

  4. 一个新的子墙在你指定startup configuration存盘位置之前是不能够操作的(disk0,ftp,tftp,https)

  5. admin context可以管理其他子墙和整个系统,也可当一个普通防火墙用,通常作为管理者

一个共享接口,对数据包分类送往不同子墙

  1. 独享

  2. 共享出接口----对从该接口出去的数据包的源ip做PAT,回来就可以根据目的IP分类

  3. 共享入接口----为每个子墙手动或动态设置mac,根据不同mac进入不同子墙

ASA-1
ASA/stby/pri(config)# show runn failover
failover
failover lan unit primary                //将ASA-1作为primary设备
failover lan interface fo GigabitEthernet3
failover key *****
failover mac address GigabitEthernet1 0001.0001.0001 0001.0001.0002
failover mac address GigabitEthernet0 0001.0002.0001 0001.0002.0002
failover mac address GigabitEthernet2 0001.0003.0001 0001.0003.0002
failover link fo GigabitEthernet3
failover interface ip fo 10.1.1.11 255.255.255.0 standby 10.1.1.22
failover group 1
  secondary
  preempt
failover group 2
  preempt
  
  
------------------------------------------------------------------------  
  
ASA-2
ASA/act/sec(config)# show runn failover
failover
failover lan unit secondary            //将ASA-2作为secondary
failover lan interface fo GigabitEthernet3
failover key *****
failover link fo GigabitEthernet3
failover interface ip fo 10.1.1.11 255.255.255.0 standby 10.1.1.22
failover group 1        //注意group 1 的primary是ASA-1
  secondary
  preempt
failover group 2        //group 2 的primary是ASA-2
  primary
  preempt

  完结了  又要面临选择,是否继续还是跟随热潮,有点不舍

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


文章名称:ASA多模式防火墙_06-创新互联
链接分享:http://hbruida.cn/article/eddsg.html