多模式防火墙


部署建议

1.一个ASA虚拟多个防火墙Security context

2.子墙能共享物理接口(也可分子接口给不同防火墙)

3.每个子墙都有配置文件,ASA还有个系统配置文件(关于各个子墙分配)

4.防火墙模式设置会影响整个Cisco 防火墙,不能一部分路由,一部分透明

5.先改变防火墙模式(如改为透明模式),再创建子墙

6.透明模式的防火墙不能够使用共享接口

7.当使用共享接口时,要为每个子墙的共享接口指定不同的MAC地址

8.注意资源管理,防止一个子墙耗尽资源


局限性

使用子墙(多模式),不支持如下特性:

– Dynamic routing protocol (动态路由协议)
– Multicast IP routing (组播路由)
– Threat detection (威胁检测)
– ×××
– Phone proxy (电话代理)



配置

  1. 单转多时,单模式的 running configuration 将会转换到system configuration(系统配置) 和 admin.cfg(admin子墙配置,应用单模的running configuration),且保存原配置文件为old_running.cfg
  2. 在单一模式被激活接口指派到admin context。在单一模式关闭的接口将不会被指定到任何子墙。
  3. 一个新的子墙,默认没有关联接口。必须在系统配置下指派接口到子墙。在系统配置下激活一个接口。在路由模式,能够指派相同的接口到多个子墙。
  4. 一个新的子墙在你指定startup configuration存盘位置之前是不能够操作的(disk0,ftp,tftp,https)
  5. admin context可以管理其他子墙和整个系统,也可当一个普通防火墙用,通常作为管理者


一个共享接口,对数据包分类送往不同子墙

  1. 独享
  2. 共享出接口----对从该接口出去的数据包的源ip做PAT,回来就可以根据目的IP分类
  3. 共享入接口----为每个子墙手动或动态设置mac,根据不同mac进入不同子墙


ASA-1
ASA/stby/pri(config)# show runn failover
failover
failover lan unit primary                //将ASA-1作为primary设备
failover lan interface fo GigabitEthernet3
failover key *****
failover mac address GigabitEthernet1 0001.0001.0001 0001.0001.0002
failover mac address GigabitEthernet0 0001.0002.0001 0001.0002.0002
failover mac address GigabitEthernet2 0001.0003.0001 0001.0003.0002
failover link fo GigabitEthernet3
failover interface ip fo 10.1.1.11 255.255.255.0 standby 10.1.1.22
failover group 1
  secondary
  preempt
failover group 2
  preempt
  
  
------------------------------------------------------------------------  
  
ASA-2
ASA/act/sec(config)# show runn failover
failover
failover lan unit secondary            //将ASA-2作为secondary
failover lan interface fo GigabitEthernet3
failover key *****
failover link fo GigabitEthernet3
failover interface ip fo 10.1.1.11 255.255.255.0 standby 10.1.1.22
failover group 1        //注意group 1 的primary是ASA-1
  secondary
  preempt
failover group 2        //group 2 的primary是ASA-2
  primary
  preempt



   完结了   又要面临选择,是否继续还是跟随热潮,有点不舍


转载于:https://blog.51cto.com/woodcutter/1795209