思科ASA虚拟防火墙学习总结(昊昊)
PDF 文件使用 \"pdfFactory Pro\" 试用版本创建 www.fineprint.cn
第1章 激活多CONTEXT模式
1.1 安全的上下文概述
1.2 MULTIPLE CONTEXT的使用环境
多的客户提供独立的安全策略,更多的保护.并且节省的花费. 1.2.2 在一个企业网或者是园区网中,想要保证各个部门是绝对独立的 1.2.3 你的网络需要不止一台防火墙 1.3 不支持的特性 1.3.1 动态路由协议 1.3.2 VPN
1.3.3 组播路由和组播桥接 1.3.4 威胁检查 1.4 虚拟墙的配置文件 1.4.1 CONTEXT配置 1.4.2 系统配置
1.4.3 管理CONTEXT配置 1.5 ASA对数据包的分类 1.5.1 有效的分类标准 1.5.2 分类的例子 1.6 重叠安全CONTEXT 1.7 管理接入安全的虚拟墙 1.7.1 系统管理员访问
1.8 开启和关闭防火墙的MULTIPLE CONTEXT模式 1.8.1 激活虚拟墙 1.8.2 恢复到单一模式
3 3 3 3 3 3 3 4 4 4 4 4 4 4 4 5 5 9 10 10 11 11 11
1.2.1 ISP 想把一台ASA给更多的客户提供保护.那么实施MULTIPLE CONTEXT能够为更
PDF 文件使用 \"pdfFactory Pro\" 试用版本创建 www.fineprint.cn
第1章 激活多context模式
1.1 安全的上下文概述
ASA可以把单一的安全设备分割成多个虚拟的防火墙.叫做安全的context.每一个context就是一个独立的设备,拥有自己的安全策略,接口,管理. 多个context有点类似于多个独立真实的防火墙一样.包括路由表,防火墙特性,IPS,管理.一些特性是不支持的,例如:动态路由协议,VPN等
1.2 Multiple context的使用环境
1.2.1 ISP 想把一台ASA给更多的客户提供保护.那么实施multiple context能够为更多的客户提供独立的安全策略,更多的保护.并且节省的花费.
1.2.2 在一个企业网或者是园区网中,想要保证各个部门是绝对独立的
1.2.3 你的网络需要不止一台防火墙
1.3 不支持的特性
Multiple context不支持的特性: 1.3.1 动态路由协议
虚拟墙只能够支持静态路由协议,动态(OSPF,RIP,EIGRP)不被支持
PDF 文件使用 \"pdfFactory Pro\" 试用版本创建 www.fineprint.cn
1.3.2 VPN
1.3.3 组播路由和组播桥接 1.3.4 威胁检查
1.4 虚拟墙的配置文件
每一个虚拟墙都会有它独立的配置,具体分为3种:
1.4.1 Context配置
ASA包括每一个context的配置目的为了区分安全策略,接口,几乎配置单独ASA的所有配置.可以存储context配置在内部或者外部的flash上,或者上传下载到TFTP,FTP,HTTPS服务器上
1.4.2 系统配置
这个系统配置文件是通过配置每一个context的配置文件来管理
context(虚拟墙),例如分配接口,其他的context的操作.类似于一个单一模式的配置.
1.4.3 管理context配置
这个admin context有点类似于其他的context.主要用于对虚拟墙进行管理.
1.5 ASA对数据包的分类
每一个数据包进入ASA的话是必须要被分类的,以至于ASA能够决定哪个虚拟墙去转发数据包.
PDF 文件使用 \"pdfFactory Pro\" 试用版本创建 www.fineprint.cn
1.5.1 有效的分类标准
1.5.1.1 唯一的接口
如果只有一个虚拟墙互联了一个进入的接口,那么ASA会把数据包分给这个context.在透明模式下,唯一的接口是必须的.
1.5.1.2 唯一的MAC地址
如果多个context共享一个接口的话, 不管是共享物理接口还是子接口.默认的共享接口那么这个分类器会使用共享接口的MAC地址,ASA会让你指定不通的MAC地址给每一个context.
1.5.1.3 NAT配置
如果没有唯一的MAC地址,分类器会截获数据包,发起一个目的IP地址的查找.只使用IP数据包中的目的地址字段.如果有context NAT的地址是改数据包的目的地址,那么分类器就会把该数据包分配给这个context.
1.5.2 分类的例子
多个虚拟墙共享一个OUTSIDE接口,分类器把数据包分配给了context B,因为context B包含了改数据包的目的MAC地址.
PDF 文件使用 \"pdfFactory Pro\" 试用版本创建 www.fineprint.cn
多个虚拟墙共享一个子接口,但是并没有指定context的MAC地址.分类器把数据包分配给了context B.因为数据包的目的地址是context B转换后的地址.
PDF 文件使用 \"pdfFactory Pro\" 试用版本创建 www.fineprint.cn
所有新进入的流量必须被分类,及时是从内部网络.如下图:分类器指定了该数据包去context B,因为内部接口gi0/1.3被指定了contextB.
PDF 文件使用 \"pdfFactory Pro\" 试用版本创建 www.fineprint.cn
对于透明模式,必须设置使用唯一接口.
PDF 文件使用 \"pdfFactory Pro\" 试用版本创建 www.fineprint.cn
1.6 重叠安全context
把一个context放置在另外一个context的前面叫做重叠安全context.一个context的外部接口和另外一个context的内部接口是同一个接口.
PDF 文件使用 \"pdfFactory Pro\" 试用版本创建 www.fineprint.cn
1.7 管理接入安全的虚拟墙
在multiple模式下ASA提供了系统管理,和管理单一防火墙是一样的.
1.7.1 系统管理员访问
可以用两种方法以系统管理员的身份访问防火墙: 1.7.1.1 采用console线连接ASA的console口 1.7.1.2 采用telnet,SSH,ASDM登入防火墙
做为系统管理员,可以接入所有的context
PDF 文件使用 \"pdfFactory Pro\" 试用版本创建 www.fineprint.cn
1.8 开启和关闭防火墙的multiple context模式
1.8.1 激活虚拟墙
上下文模式(single or multiple)并没有存储在配置文件中.
当从单一模式转换成多重模式的时候,ASA将会把当前配置转换到两个文件:一个新的启动配置(包含系统配置),另外一个文件为admin.cfg(包括admin配置).原来的running-config被保存成了old_running.cfg(内部flash根文件夹中).原来的startup配置不会被保存,ASA会针对系统配置的管理context自动加入一个条目,名字为admin. 激活虚拟墙:
需要重启生效.
1.8.2 恢复到单一模式
如果从多重模式转换到单一模式的时候,需要将以前的完整startup-config恢复过来.也就是old_running.cfg文件.
1.8.2.1 将old_running.cfg恢复到当前的startup-config
1.8.2.2 改变多重模式为单一模式
PDF 文件使用 \"pdfFactory Pro\" 试用版本创建 www.fineprint.cn
因篇幅问题不能全部显示,请点此查看更多更全内容