ASA多模式防火墙_06

多模式防火墙

部署建议

1.一个ASA虚拟多个防火墙Security context

2.子墙能共享物理接口（也可分子接口给不同防火墙）

3.每个子墙都有配置文件，ASA还有个系统配置文件（关于各个子墙分配）

4.防火墙模式设置会影响整个Cisco 防火墙，不能一部分路由，一部分透明

5.先改变防火墙模式（如改为透明模式），再创建子墙

6.透明模式的防火墙不能够使用共享接口

7.当使用共享接口时，要为每个子墙的共享接口指定不同的MAC地址

8.注意资源管理，防止一个子墙耗尽资源

局限性

使用子墙（多模式），不支持如下特性:

- Dynamic routing protocol （动态路由协议）
- Multicast IP routing （组播路由）
- Threat detection （威胁检测）
- ×××
- Phone proxy （电话代理）

配置

1. 单转多时，单模式的 running configuration 将会转换到system configuration（系统配置） 和 admin.cfg（admin子墙配置，应用单模的running configuration），且保存原配置文件为old_running.cfg

2. 在单一模式被激活接口指派到admin context。在单一模式关闭的接口将不会被指定到任何子墙。

3. 一个新的子墙，默认没有关联接口。必须在系统配置下指派接口到子墙。在系统配置下激活一个接口。在路由模式，能够指派相同的接口到多个子墙。

4. 一个新的子墙在你指定startup configuration存盘位置之前是不能够操作的（disk0,ftp,tftp,https）

5. admin context可以管理其他子墙和整个系统，也可当一个普通防火墙用，通常作为管理者
   

一个共享接口，对数据包分类送往不同子墙

1. 独享

2. 共享出接口----对从该接口出去的数据包的源ip做PAT，回来就可以根据目的IP分类

3. 共享入接口----为每个子墙手动或动态设置mac，根据不同mac进入不同子墙

ASA-1ASA/stby/pri(config)# show runn failoverfailoverfailover lan unit primary                //将ASA-1作为primary设备failover lan interface fo GigabitEthernet3failover key *****failover mac address GigabitEthernet1 0001.0001.0001 0001.0001.0002failover mac address GigabitEthernet0 0001.0002.0001 0001.0002.0002failover mac address GigabitEthernet2 0001.0003.0001 0001.0003.0002failover link fo GigabitEthernet3failover interface ip fo 10.1.1.11 255.255.255.0 standby 10.1.1.22failover group 1  secondary  preemptfailover group 2  preempt    ------------------------------------------------------------------------    ASA-2ASA/act/sec(config)# show runn failoverfailoverfailover lan unit secondary            //将ASA-2作为secondaryfailover lan interface fo GigabitEthernet3failover key *****failover link fo GigabitEthernet3failover interface ip fo 10.1.1.11 255.255.255.0 standby 10.1.1.22failover group 1        //注意group 1 的primary是ASA-1  secondary  preemptfailover group 2        //group 2 的primary是ASA-2  primary  preempt

完结了 又要面临选择，是否继续还是跟随热潮，有点不舍