多虚拟防火墙 ASA Multiple Context Mode.pdfVIP

多虚拟防火墙——ASA Multiple Context Mode Security Context Overview 我们可以将一个单一的物理防火墙逻辑上分为多个虚拟防火墙，每个虚拟 防火墙都是独立的设备，它们有自己独立的安全策略、接口和管理接口；ASA 会为每个虚拟防火墙保存一个配置文件，以保存每个虚拟防火墙的这些策略和 配置；这些配置文件可以保存在本地，可以保存在外部服务器上；许多特性在 多虚拟防火墙模式下都被支持，包括routing table、防火墙特性、IPS 以及管 理，但是也有一些特性不被支持，包括VPN 、组播以及动态路由协议；系统配 置 在系统配置下，我们可以创建、删除、修改以及管理虚拟防火墙。比如我 们在系统配置下面创建虚拟防火墙，并且指定将哪些接口分配给哪些虚拟防火 墙等，只有在系统配置下创建了虚拟防火墙后，我们才可以使用changeto 命令 到单个虚拟防火墙下对其进行配置，虚拟防火墙的配置和物理防火墙的配置方 法一样，只不过不支持动态路由协议、组播以及VPN ；系统配置中除了包含有 指定的Failove 接口外，不包含任何接口； Admin Context Admin context 和其他虚拟防火墙一样，只是用户登录到该虚拟防火墙上以 后，就拥有了系统管理员的权限，并能够访问系统以及其他虚拟防火墙；虚拟 防火墙必须存储在Flash 中，不能够存储在外部服务器上； Admin context 必须先于其他的虚拟防火墙进行创建和配置，如果系统已经 在多模式或从single 模式切换到多模式下的时候，admin context 会在Flash 中自 动创建一个admin.cfg 文件。 如果不想使用admin.cfg 作为admin context，你可以使用admin-context 命 令改变； 2.流量分类 1 / 4 将一个物理防火墙划分为多个虚拟的防火墙，那么就要涉及到一个对流量 分类的问题，物理防火墙收到一个流量/连接后，要能够区分出该连接是属于哪 个虚拟防火墙的；ASA 对流量的分类有三中方法： 将一个接口唯一的划分到一个虚拟防火墙中（基于接口） 如果一个接口唯一的只属于一个虚拟防火墙，那么所有从这个接口进入的 流量都应该只属于这一个防火墙。在透明模式下，一个接口唯一属于一个虚拟 防火墙是必须的； 基于MAC 地址 多虚拟防火墙中，如果一个接口同时属于多个虚拟防火墙（即共享接 口），那么可以使用基于MAC 地址来对流量进行分类。这时候就要求在每个虚 拟防火墙上，为该共享接口指定一个不同的MAC 地址，该MAC 地址可以自动 产生，也可以手工指定； 基于NAT 除了基于MAC 地址分类以外，还可以基于NAT 来对流量进行分类；分类器 会截取流量，并执行一个目的地址查找，所有其他域都被忽略，只有目的地址 被使用。为了使用目的地址对流量进行分类，那么分类器就必须知道每个虚拟 防火墙后面的子网。分类器根据NAT 的配置，来决定每个虚拟防火墙后面的子 网；分类器将目的地址和static 命令或global 做匹配；以下的方法不被用于包的 分类： NAT 免除 路由表——如果一个虚拟防火墙包含一个到达一个子网（A ）的指向外部 路由器的静态路由，并且同时包含一个关于子网A 的static 路由，那么分类器使 用static 命令来对包进行分类； 以下是包分类的例子： 基于MAC 地址进行分类： 如图，为共享接口，被同时分配给多个虚拟防火墙，Context B 后面的主机 2 / 4 下图展示了多个虚拟防火墙共享outside 接口，并且不使用MAC 地址分 类，而使用配置的NAT 表进行分类，图中分类器会将包转发给Context B，因为 Context B 包含有目的地址转换连接； 3 .配置多虚拟防火墙 我们可以按照以下步骤配置多虚拟防火墙： 全局下改变防火墙的运行模式为多模式； 使用命令： show mode 查看当前路由器运行的模式，如果是single 模式，那么使用 mode multiple 命令启用多虚拟防火墙；