多模式防火墙
部署建议
1.一个ASA虚拟多个防火墙Security context
2.子墙能共享物理接口(也可分子接口给不同防火墙)
3.每个子墙都有配置文件,ASA还有个系统配置文件(关于各个子墙分配)
4.防火墙模式设置会影响整个Cisco 防火墙,不能一部分路由,一部分透明
5.先改变防火墙模式(如改为透明模式),再创建子墙
6.透明模式的防火墙不能够使用共享接口
7.当使用共享接口时,要为每个子墙的共享接口指定不同的MAC地址
8.注意资源管理,防止一个子墙耗尽资源
局限性
使用子墙(多模式),不支持如下特性:
– Dynamic routing protocol (动态路由协议)
– Multicast IP routing (组播路由)
– Threat detection (威胁检测)
– VPN
– Phone proxy (电话代理)
配置
- 单转多时,单模式的 running configuration 将会转换到system configuration(系统配置) 和 admin.cfg(admin子墙配置,应用单模的running configuration),且保存原配置文件为old_running.cfg
- 在单一模式被激活接口指派到admin context。在单一模式关闭的接口将不会被指定到任何子墙。
- 一个新的子墙,默认没有关联接口。必须在系统配置下指派接口到子墙。在系统配置下激活一个接口。在路由模式,能够指派相同的接口到多个子墙。
- 一个新的子墙在你指定startup configuration存盘位置之前是不能够操作的(disk0,ftp,tftp,https)
- admin context可以管理其他子墙和整个系统,也可当一个普通防火墙用,通常作为管理者
一个共享接口,对数据包分类送往不同子墙
- 独享
- 共享出接口----对从该接口出去的数据包的源ip做PAT,回来就可以根据目的IP分类
- 共享入接口----为每个子墙手动或动态设置mac,根据不同mac进入不同子墙
没法做,ASAv931没有激活这玩意,asa842 卡的不行,死了好几回
时间: 2024-10-06 23:04:36