ASA多模式防火墙_06


多模式防火墙

部署建议

1.一个ASA虚拟多个防火墙Security context

2.子墙能共享物理接口(也可分子接口给不同防火墙)

3.每个子墙都有配置文件,ASA还有个系统配置文件(关于各个子墙分配)

4.防火墙模式设置会影响整个Cisco 防火墙,不能一部分路由,一部分透明

5.先改变防火墙模式(如改为透明模式),再创建子墙

6.透明模式的防火墙不能够使用共享接口

7.当使用共享接口时,要为每个子墙的共享接口指定不同的MAC地址

8.注意资源管理,防止一个子墙耗尽资源

局限性

使用子墙(多模式),不支持如下特性:

– Dynamic routing protocol (动态路由协议)
– Multicast IP routing (组播路由)
– Threat detection (威胁检测)
– VPN
– Phone proxy (电话代理)

配置

  1. 单转多时,单模式的 running configuration 将会转换到system configuration(系统配置) 和 admin.cfg(admin子墙配置,应用单模的running configuration),且保存原配置文件为old_running.cfg
  2. 在单一模式被激活接口指派到admin context。在单一模式关闭的接口将不会被指定到任何子墙。
  3. 一个新的子墙,默认没有关联接口。必须在系统配置下指派接口到子墙。在系统配置下激活一个接口。在路由模式,能够指派相同的接口到多个子墙。
  4. 一个新的子墙在你指定startup configuration存盘位置之前是不能够操作的(disk0,ftp,tftp,https)
  5. admin context可以管理其他子墙和整个系统,也可当一个普通防火墙用,通常作为管理者

一个共享接口,对数据包分类送往不同子墙

  1. 独享
  2. 共享出接口----对从该接口出去的数据包的源ip做PAT,回来就可以根据目的IP分类
  3. 共享入接口----为每个子墙手动或动态设置mac,根据不同mac进入不同子墙

没法做,ASAv931没有激活这玩意,asa842 卡的不行,死了好几回

时间: 2024-10-06 23:04:36

ASA多模式防火墙_06的相关文章

ASA 5500系列防火墙忘记密码之后的恢复步骤

由于各种原因,如果忘记了ASA的enable密码,就无法进入特权模式,因此也就无法对ASA进行配置.前面已经介绍了路由交换的密码恢复,而ASA的密码恢复方法与路由器相似,修改配置寄存器的值,启动时绕过startup-config配置文件,重新配置密码 密码恢复的步骤如下: (1)重新插拔电源线,重启ASA (2)按ESC键或Ctrl+Break键进入ROM Monitor模式,可以看到提示符rommon #0> (3)输入命令confreg回车,查看当前的寄存器的值 rommon #0> co

基于GNS3的ASA 5520虚拟防火墙功能测试

目的:测试基于GNS3的ASA 8.4(2)的部分功能配置:1 内网客户端访问外网;2 外网访问内网服务器;3 Lan-to-Lan IPSEC ×××; ####################################################################################实验拓扑: ##################################################################################

5540 asa 8.4 防火墙

配置等级策略,保证outside端口可以访问inside端口 access-list 100 extended permit icmp any any access-list 100 extended permit ip any any access-group 100 in interface outside 做PAT: object network nat subnet 192.168.1.0 255.255.255.0 nat (inside,ouside) dynamic interfa

ASA Failover模式

根据运行模式来划分 The two units in a failover configuration must have the same hardware configuration. They must be the same model, have the same number and types of interfaces, and the same amount of RAM.   1.Active/Active Failover Active/active 有什么优势? 1.2个

cisco ASA 551X系列防火墙限速

asa 551X 网络限速 对整个网段限速 也可对单个ip 实例中为对网段限速4M asa846-k8.bin 测试ok object-group network rate_limit network-object 192.168.0.0 255.255.255.0 access-list rate_limit extended permit ip object-group rate_limit any access-list rate_limit extended permit ip any

防火墙(ASA)高级配置之URL过滤、日志管理、透明模式

对于防火墙产品来说,最重要的一个功能就是对事件进行日志记录.本篇博客将介绍如何对ASA进行日志管理与分析.ASA透明模式的原理与配置.利用ASA防火墙的IOS特性实施URL过滤. 一.URL过滤 利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的. 实施URL过滤一般分为以下三个步骤: (1)创建class-map(类映射),识别传输流量. (2)创建policy-map(策略映射),关联class-map. (3)应用policy-map到接口上. 案例:

24-思科防火墙:ASA透明防火墙实验

一.实验拓扑:二.实验要求:1.show mode:单模式:show firewall:路由模式-->firewall transparent:ASA清除所有配置:切换透明模式是不需要重启的:透明模式的ASA是二层设备,所以这里的接口不能在配IP地址了,按Tab键也没有效果的:2.要配置一个管理IP地址,其实所谓的管理IP地址就是桥的主IP:配置:interface bvi 1,并配置IP地址:100.1.1.100,组是可以配IP地址的:3.因为有2个组,所以网管IP必须是有2个,增加B2组管

Cisco的ASA防火墙和路由器上实现IPSec虚拟专用网

博文目录一.IPSec 虚拟专用网故障排查二.配置防火墙和路由器实现IPSec 虚拟专用网三.总结 关于IPSec 虚拟专用网工作原理及概念,前面写过一篇博文:Cisco路由器IPSec 虚拟专用网原理与详细配置,博客里都有详细介绍,前面是在公司网关使用的是Cisco路由器的情况下来搭建虚拟专用网的,今天来配置一下在ASA防火墙上实现IPSec 虚拟专用网. 由于"Virtual Private Network"(请看首字母,就知道是什么了)是敏\感词,所以在博文中使用它的中文名字&q

思科ASA基础理论与配置

思科的ASA防火墙是一个状态化防火墙,维护一个关于用户信息的连接表(conn),默认情况下ASA对TCP和UDP的流量提供状态化连接,对ICMP协议是非状态化的. 思科ASA的报文穿越过程如下: 一个新来的TCP报文视图建立连接 1.ASA检查ACL是否允许连接 2.ASA执行路由查询如果有路由则ASA创建一个conn条目 3.ASA在检测引擎中检测预定义的一套规则,根据检测引擎检测结果确定是否转发 4.ASA接收到返回报文进行conn表比对是否有条目有就允许没有就丢弃 如果从安全级别低的端口要