第1章激活多CONTEXT
模式
1.1安全的上下文概述3 1.2M ULTIPLE CONTEXT的使用环境3 1.
2.1ISP想把一台ASA给更多的客户提供保护.那么实施MULTIPLE CONTEXT能够为更多的客户提供独立的安全策略,更多的保护.并且节省的花费. 3 1.2.2在一个企业网或者是园区网中,想要保证各个部门是绝对独立的3 1.2.3你的网络需要不止一台防火墙3 1.3不支持的特性3 1.
3.1动态路由协议3 1.3.2VPN 4 1.3.3组播路由和组播桥接4 1.3.4威胁检查4 1.4虚拟墙的配置文件4 1.
4.1C ONTEXT配置4 1.4.2系统配置4 1.4.3管理CONTEXT配置4 1.5ASA对数据包的分类4 1.
5.1有效的分类标准5 1.5.2分类的例子5 1.6重叠安全CONTEXT9 1.7管理接入安全的虚拟墙10 1.7.1系统管理员访问10 1.8开启和关闭防火墙的MULTIPLE CONTEXT模式11 1.8.1激活虚拟墙11 1.8.2恢复到单一模式11
第1章激活多context模式
1.1 安全的上下文概述
ASA可以把单一的安全设备分割成多个虚拟的防火墙.叫做安全的context.每一个context就是一个独立的设备,拥有自己的安全策略,接口,管理.
多个context有点类似于多个独立真实的防火墙一样.包括路由表,防火墙特性,IPS,管理.一些特性是不支持的,例如:动态路由协议,VPN等
1.2 Multiple context的使用环境
1.2.1 ISP 想把一台ASA给更多的客户提供保护.那么实施
multiple context能够为更多的客户提供独立的安全策略,更
多的保护.并且节省的花费.
1.2.2 在一个企业网或者是园区网中,想要保证各个部门是绝
对独立的
1.2.3 你的网络需要不止一台防火墙
1.3 不支持的特性
Multiple context不支持的特性:
1.3.1 动态路由协议
虚拟墙只能够支持静态路由协议,动态(OSPF,RIP,EIGRP)不被支持
1.3.2 VPN
1.3.3 组播路由和组播桥接
1.3.4 威胁检查
1.4 虚拟墙的配置文件
每一个虚拟墙都会有它独立的配置,具体分为3种:
1.4.1 Context配置
ASA包括每一个context的配置目的为了区分安全策略,接口,几乎配置单独ASA的所有配置.可以存储context配置在内部或者外部的flash上,或者上传下载到TFTP,FTP,HTTPS服务器上
1.4.2 系统配置
这个系统配置文件是通过配置每一个context的配置文件来管理
context(虚拟墙),例如分配接口,其他的context的操作.类似于一个单一模式的配置.
1.4.3 管理context配置
这个admin context有点类似于其他的context.主要用于对虚拟墙进行管理.
1.5 ASA对数据包的分类
每一个数据包进入ASA的话是必须要被分类的,以至于ASA能够决定哪个虚拟墙去转发数据包.
1.5.1 有效的分类标准
1.5.1.1 唯一的接口
如果只有一个虚拟墙互联了一个进入的接口,那么ASA会把数据包分给这个context.在透明模式下,唯一的接口是必须的.
1.5.1.2 唯一的MAC地址
如果多个context共享一个接口的话, 不管是共享物理接口还是子接口.默认的共享接口那么这个分类器会使用共享接口的MAC地址,ASA会让你指定不通的MAC地址给每一个context.
1.5.1.3 NAT配置
如果没有唯一的MAC地址,分类器会截获数据包,发起一个目的IP地址的查找.只使用IP数据包中的目的地址字段.如果有context NAT的地址是改数据包的目的地址,那么分类器就会把该数据包分配给这个context.
1.5.2 分类的例子
多个虚拟墙共享一个OUTSIDE接口,分类器把数据包分配给了context B,因为context B包含了改数据包的目的MAC地址.
数据包分配给了context B.因为数据包的目的地址是context B转换后的地址.
所有新进入的流量必须被分类,及时是从内部网络.如下图:分类器指定了该数据包去context B,因为内部接口gi0/1.3被指定了contextB.
对于透明模式,必须设置使用唯一接口.
1.6 重叠安全context
把一个context放置在另外一个context的前面叫做重叠安全context.一个context的外部接口和另外一个context的内部接口是同一个接口.
1.7 管理接入安全的虚拟墙
在multiple模式下ASA提供了系统管理,和管理单一防火墙是一样的.
1.7.1 系统管理员访问
可以用两种方法以系统管理员的身份访问防火墙:
1.7.1.1 采用console线连接ASA的console口
1.7.1.2 采用telnet,SSH,ASDM登入防火墙
做为系统管理员,可以接入所有的context
1.8 开启和关闭防火墙的multiple context模式
1.8.1 激活虚拟墙
上下文模式(single or multiple)并没有存储在配置文件中.
当从单一模式转换成多重模式的时候,ASA将会把当前配置转换到两个文件:一个新的启动配置(包含系统配置),另外一个文件为admin.cfg(包括admin配置).原来的running-config被保存成了old_running.cfg(内部flash根文件夹中).原来的startup配置不会被保存,ASA会针对系统配置的管理context自动加入一个条目,名字为admin.
激活虚拟墙:
需要重启生效.
1.8.2 恢复到单一模式
如果从多重模式转换到单一模式的时候,需要将以前的完整startup-config 恢复过来.也就是old_running.cfg文件.
1.8.
2.1 将old_running.cfg恢复到当前的startup-config
1.8.
2.2 改变多重模式为单一模式