没有合适的资源?快使用搜索试试~ 我知道了~
启用ASA和PIX上的虚拟防火墙实用.pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 73 浏览量
2022-01-17
23:26:42
上传
评论
收藏 5.13MB PDF 举报
温馨提示
试读
16页
启用ASA和PIX上的虚拟防火墙实用.pdf
资源推荐
资源详情
资源评论
启用 ASA 和 PIX 上的虚拟防火墙
前言
有鉴于许多读者纷纷来信与 Ben 讨论防火墙的相关设定,并希望能够针对近两
年防火墙的两大新兴功能:虚拟防火墙 (Virtual Firewall or Security Contexts)
以及通透式防火墙 (Transparent or Layer 2 Firewall) ,多做一点介绍以及设定
上的解说,是以 Ben 特别在本期以 Cisco 的 ASA ,实做一些业界上相当有用的
功能,提供给各位工程师及资讯主管们,对于防火墙的另一种认识。
再者,近几期的网管人大幅报导资讯安全 UTM 方面的观念,显示网路安全的需
要与日遽增, Cisco ASA 5500 为一个超完全的 UTM ,这也是为什么 Ben 选择
ASA ,来详细的介绍 UTM 的整体观念。
本技术文件实验所需的设备清单如下:
Cisco PIX 防火墙或是 ASA (Adaptive Security Appliance) 网路安全整合
防御设备。
本技术文件实验所需的软体及核心清单如下:
Cisco PIX 或是 ASA 5500 系列,韧体版本 7.21 ,管理软体 ASDM 5.21 。
Cisco 3524 交换器。
本技术文件读者所需基本知识如下:
VLAN 协定 802.1Q 。
路由以及防火墙的基础知识。
Cisco IOS 基础操作技术。
什么是虚拟防火墙跟通透式防火墙
虚拟防火墙 (Virtual Firewall or Security Contexts) :
就一般大众使用者而言, 通常买了一个防火墙就只能以一台来使用, 当另外一个
状况或是环境需要防火墙的保护时, 就需要另外一台实体的防火墙; 如此,当我
们需要 5台防火墙的时候,就需要购买 5台防火墙;虚拟防火墙的功能让一台实
体防火墙,可以虚拟成为数个防火墙, 每个虚拟防火墙就犹如一台实体的防火墙,
这解决了企业在部署大量防火墙上的困难,并使得操作及监控上更为简便。
通透式防火墙 (Transparent or Layer 2 Firewall) :
一般的防火墙最少有两个以上的介面,在每个介面上,我们必须指定 IP 位址以
便让防火墙正常运作, 封包到达一个介面经由防火墙路由到另一个介面, 这种状
况下,防火墙是处在路由模式 (Routed mode) ;试想,在服务提供商 (Internet
Service Provider) 的环境中,至少有成千上万的路由器组成的大型网路,如果
我们要部署数十个以上的防火墙,对于整体网路的 IP 位址架构,将会有相当大
的改变,不仅容易造成设定路由的巨大麻烦, 也有可能会出现路由回圈, 部署将
会旷日费时,且极容易出错。
举例来说,如果有两个路由器 A 及 B,我们想在 A 跟 B 之间部署路由模式的防
火墙,必须重新设计路由器介面的 IP 位址,以配合防火墙的 IP 位址,另外,如
果路由器之间有跑路由通讯协定 (ie. RIP 、OSPF 、BGP 等),防火墙也必须支
援这些通讯协定才行,因此相当的麻烦;通透式防火墙无须在其介面上设定 IP
位址,其部署方式就犹如部署交换器一样, 我们只需直接把通透式防火墙部署于
路由器之间即可,完全不需要烦恼 IP 位址的问题,因此,提供此类功能的防火
墙,亦可称为第二层防火墙。
一般而言,高级的防火墙 (Cisco 、Juniper 等)都支援这些功能; 就 Cisco 的 ASA
或是 PIX 而言 (版本 7.0 以上),都已支援虚拟防火墙以及通透式防火墙这两个功
能。
如何设定虚拟防火墙 (Security Contexts)
在 Cisco 的防火墙中, 有些专有名词必须先让读者了解, 以便继续以下的实验及
内容。
专有名词 解释
Context
ASA/PIX 在虚拟防火墙的模式下, 每一个虚拟防火墙就
可以称为一个 context 。
System context
这一个 context 是用来设定每一个虚拟防火墙所能使用
的资源,例如所能使用的介面以及 CPU 资源等,而不
会让某一个 context 过度使用系统资源,另外,提供给
防火墙管理员一个集中式且阶层性的管理;此 context
并不能被用来当成防火墙使用。
Administration context
(admin-context)
可以被用来当成虚拟防火墙使用,除此之外,只有此
context 才有权限,这个 context 并不受授权的限制内。
Context < 虚拟防火墙的
名称>
一般的虚拟防火墙,并没有对于防火墙硬体有任何的设
定权限,只能设定该虚拟防火墙内的设定。
接下来读者们可以在 EXEC 的模式下,下达『 show version 』指令而得知该
ASA/PIX 能够支援多少个 contexts ,以下的范例显示了该设备最多支援了 5个
contexts 。
在八月份的网管人杂志中, Ben 已经详细的介绍 ASA/PIX 的初始过程,通常来
说,如果没有特殊设定的话,预设的防火墙模式为单一模式 (Single Mode) ,因
此,我们必须熟悉一些指令来转换以及显示模式;在 EXEC 模式下,下达指令
show mode 即可以显示目前是处于单一模式 (Single Mode) 或是虚拟模式
(Multiple Mode) 。
如果要转换模式的话,必须进入 Configuration Mode 下达 mode 的指令;以下
的例子显示了由单一模式转换到虚拟模式, 经过两次的确认 (confirm) 后,必须
重新启动 ASA/PIX 以便让功能即时生效。
重新开机后,进入 EXEC 模式检视目前的模式,应该为虚拟模式了。
如何设定通透式防火墙
通透式防火墙的设定也是相当的简单, ASA 平台是可让通透式的功能跟虚拟防
火墙的功能并存,刚刚读者们已经将 ASA5510 转换成为 Multiple 模式了,这里
请特别注意,启动通透式功能的时候,因为原本的 contexts 设定内容已经不符
合通透式功能的需求,因此会把所有的 contexts 移除,所以,我们必须在转换
通透模式后,再一一加入每个虚拟防火墙 (context) ;另外,转换通透或是路由模
式,不需要重新启动防火墙设备即可生效。
剩余15页未读,继续阅读
资源评论
xhr131452007
- 粉丝: 7
- 资源: 14万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功