思科ASA虚拟防火墙学习总结

第1章激活多CONTEXT

模式

1.1安全的上下文概述3 1.2M ULTIPLE CONTEXT的使用环境3 1.

2.1ISP想把一台ASA给更多的客户提供保护.那么实施MULTIPLE CONTEXT能够为更多的客户提供独立的安全策略,更多的保护.并且节省的花费. 3 1.2.2在一个企业网或者是园区网中,想要保证各个部门是绝对独立的3 1.2.3你的网络需要不止一台防火墙3 1.3不支持的特性3 1.

3.1动态路由协议3 1.3.2VPN 4 1.3.3组播路由和组播桥接4 1.3.4威胁检查4 1.4虚拟墙的配置文件4 1.

4.1C ONTEXT配置4 1.4.2系统配置4 1.4.3管理CONTEXT配置4 1.5ASA对数据包的分类4 1.

5.1有效的分类标准5 1.5.2分类的例子5 1.6重叠安全CONTEXT9 1.7管理接入安全的虚拟墙10 1.7.1系统管理员访问10 1.8开启和关闭防火墙的MULTIPLE CONTEXT模式11 1.8.1激活虚拟墙11 1.8.2恢复到单一模式11

第1章激活多context模式

1.1 安全的上下文概述

ASA可以把单一的安全设备分割成多个虚拟的防火墙.叫做安全的context.每一个context就是一个独立的设备,拥有自己的安全策略,接口,管理.

多个context有点类似于多个独立真实的防火墙一样.包括路由表,防火墙特性,IPS,管理.一些特性是不支持的,例如:动态路由协议,VPN等

1.2 Multiple context的使用环境

1.2.1 ISP 想把一台ASA给更多的客户提供保护.那么实施

multiple context能够为更多的客户提供独立的安全策略,更

多的保护.并且节省的花费.

1.2.2 在一个企业网或者是园区网中,想要保证各个部门是绝

对独立的

1.2.3 你的网络需要不止一台防火墙

1.3 不支持的特性

Multiple context不支持的特性:

1.3.1 动态路由协议

虚拟墙只能够支持静态路由协议,动态(OSPF,RIP,EIGRP)不被支持

1.3.2 VPN

1.3.3 组播路由和组播桥接

1.3.4 威胁检查

1.4 虚拟墙的配置文件

每一个虚拟墙都会有它独立的配置,具体分为3种:

1.4.1 Context配置

ASA包括每一个context的配置目的为了区分安全策略,接口,几乎配置单独ASA的所有配置.可以存储context配置在内部或者外部的flash上,或者上传下载到TFTP,FTP,HTTPS服务器上

1.4.2 系统配置

这个系统配置文件是通过配置每一个context的配置文件来管理

context(虚拟墙),例如分配接口,其他的context的操作.类似于一个单一模式的配置.

1.4.3 管理context配置

这个admin context有点类似于其他的context.主要用于对虚拟墙进行管理.

1.5 ASA对数据包的分类

每一个数据包进入ASA的话是必须要被分类的,以至于ASA能够决定哪个虚拟墙去转发数据包.

1.5.1 有效的分类标准

1.5.1.1 唯一的接口

如果只有一个虚拟墙互联了一个进入的接口,那么ASA会把数据包分给这个context.在透明模式下,唯一的接口是必须的.

1.5.1.2 唯一的MAC地址

如果多个context共享一个接口的话, 不管是共享物理接口还是子接口.默认的共享接口那么这个分类器会使用共享接口的MAC地址,ASA会让你指定不通的MAC地址给每一个context.

1.5.1.3 NAT配置

如果没有唯一的MAC地址,分类器会截获数据包,发起一个目的IP地址的查找.只使用IP数据包中的目的地址字段.如果有context NAT的地址是改数据包的目的地址,那么分类器就会把该数据包分配给这个context.

1.5.2 分类的例子

多个虚拟墙共享一个OUTSIDE接口,分类器把数据包分配给了context B,因为context B包含了改数据包的目的MAC地址.

数据包分配给了context B.因为数据包的目的地址是context B转换后的地址.

所有新进入的流量必须被分类,及时是从内部网络.如下图:分类器指定了该数据包去context B,因为内部接口gi0/1.3被指定了contextB.

对于透明模式,必须设置使用唯一接口.

1.6 重叠安全context

把一个context放置在另外一个context的前面叫做重叠安全context.一个context的外部接口和另外一个context的内部接口是同一个接口.

1.7 管理接入安全的虚拟墙

在multiple模式下ASA提供了系统管理,和管理单一防火墙是一样的.

1.7.1 系统管理员访问

可以用两种方法以系统管理员的身份访问防火墙:

1.7.1.1 采用console线连接ASA的console口

1.7.1.2 采用telnet,SSH,ASDM登入防火墙

做为系统管理员,可以接入所有的context

1.8 开启和关闭防火墙的multiple context模式

1.8.1 激活虚拟墙

上下文模式(single or multiple)并没有存储在配置文件中.

当从单一模式转换成多重模式的时候,ASA将会把当前配置转换到两个文件:一个新的启动配置(包含系统配置),另外一个文件为admin.cfg(包括admin配置).原来的running-config被保存成了old_running.cfg(内部flash根文件夹中).原来的startup配置不会被保存,ASA会针对系统配置的管理context自动加入一个条目,名字为admin.

激活虚拟墙:

需要重启生效.

1.8.2 恢复到单一模式

如果从多重模式转换到单一模式的时候,需要将以前的完整startup-config 恢复过来.也就是old_running.cfg文件.

1.8.

2.1 将old_running.cfg恢复到当前的startup-config

1.8.

2.2 改变多重模式为单一模式