18.2.3 管理安全环境
1. 移除安全环境
可以通过编辑系统配置移除一个虚拟防火墙。不能移除当前 admin 环境,除非使用 clear
context 命令移除所有环境。
移除单个环境时,该环境下的所有环境命令都将被移除。
no context name
移除所有环境(包括 Admin Context)。
clear context
2. 修改为 Admin Context
系统配置中不包括任何网络接口或网络设置。当系统需要访问网络资源(如从服务器下
载环境)时,会使用指派为 Admin Context 的环境。
Admin Context 像其他虚拟防火墙一样,除了用户登录至 Admin Context 之外,即拥有系
统管理权限和访问系统及其他环境的权限。任何情况下, Admin Context 都不受限制,并且能
够跟其他虚拟防火墙一样使用。不过,因为登录到 Admin Context 后将被授予高于其他虚拟防
火墙的管理特权,因此,应当严格控制访问 Admin Context 的用户。
可以将任何环境设置为 Admin Context,只要其配置文件存储于内部闪存即可。任何能够
连接到 Admin Context 的远程管理进程都可以设置,如 Telnet、 SSH 或 HTTPS。只是在配置了
新的 Admin Context 后,需要重新连接。
ASA(config)# admin-context context_name
少数命令,包括 ntp server,标识接口名称等只属于 Admin Context。如果将
某个环境改变为 Admin Context,接口名称在新的 Admin Context 中将不存在,
应当确认更新涉及该接口的所有系统命令。
3. 修改安全环境 URL
除非从新的 URL 重新装载配置,否则,不能修改安全环境 URL。 ASA 将混合新的配置
和当前运行配置。再次输入相同的 URL 时,也将混合已经保存的配置和当前运行配置。
混合时,将从新配置中添加所有新命令至运行配置。如果配置相同,则不会做任何修改。
如果命令冲突,或者命令会影响当前环境的运行,那么,混合的结果将依命令而定。或许会得
到错误提示,或许会产生无法预料的结果。如果运行配置为空(如服务器无效,导致配置从未
下载),将使用新的配置。
如果不想混合配置,可以清除运行配置。当然,在从新的 URL 重新装载配置之前,任何
通过该虚拟防火墙的通信都将被中断。
① (可选,如果不想混合配置)切换至指定虚拟防火墙,并清除其配置。
hostname(config)# changeto context name
hostname/ctx1(config)# clear configure all
② 切换至系统执行空间。
hostname/ctx1(config)# changeto system
hostname(config)#
③ 切换至欲修改 URL 的虚拟防火墙。
hostname(config)# context name
④ 输入新的 URL,系统将立即装载环境并开始运行。
hostname(config)# config-url new_url
4. 重新装载安全环境
可以通过两种方式重新装载:
清除运行配置,并导入启动配置。该操作将最大限度地清除与环境有关的属性,如连
接和 NAT 表。
从系统配置中移除环境。该操作将清除附加属性,如内存分配,在发生故障时可能会
有作用。不过,再将该环境添加回系统时,需要指定 URL 和接口。
借助下述操作,可以清除环境配置并重新装载虚拟防火墙,将从 URL 重新装载配置。
① 切换至欲重新装载的虚拟防火墙。
hostname(comfig)# changeto context name
hostname/ctx1(comfig)#
② 清除运行配置,并清除所有连接。
hostname/ctx1(config)# clear configure all
③ 重新装载配置。 ASA 从系统配置中指定的 URL 复制配置。不能在虚拟防火墙中修改
URL。
hostname/ctx1(config)# copy startup-config running-config
若欲移除并重新添加环境后再重新装载虚拟防火墙,则需要执行以下操作:
① 移除安全环境。
② 配置安全环境。
具体操作,请参见上述相关内容,此处不复赘述。
18.2.4 监控安全环境
1. 查看环境信息
在系统执行空间,可以查看包括名称、分配接口和配置文件 URL 在内的环境列表。
查看所有环境。 detail 选项用于查看添加信息。若欲查看某个虚拟防火墙的信息,应当指
定其名称。 count 选项用于查看虚拟防火墙的总数。
hostname# show context
Context Name Interfaces URL
*admin GigabitEthernet0/1.100 disk0:/admin.cfg
GigabitEthernet0/1.101
Context GigabitEthernet0/1.200 disk0:/contexta.cfg
GigabitEthernet0/1.201
Context GigabitEthernet0/1.300 disk0:/contextb.cfg
GigabitEthernet0/1.301
Total active Security Contexts: 3
其中, Context Name 列为所有虚拟防火墙名称,名称前带有*号的环境为 Admin Context。
Interface 列为指定至虚拟防火墙的接口。 URL 列为 ASA 从哪个 URL 装载环境配置。
2. 查看资源分配
在系统执行空间,可以查看分配的每个资源的所有级别及其成员。 detail 选项用于查看添
加信息。
hostname# show resource allocation [detail]
Resource Total % of Avail
Conns [rate] 35000 N/A
Inspects [rate] 35000 N/A
Syslogs [rate] 10500 N/A
Conns 305000 30.50%
Hosts 78842 N/A
SSH 35 35.00%
Telnet 35 35.00%
Xlates 91749 N/A
All unlimited
其中, Resource 列为可以限制的资源名称。 Total 列为分配至所有环境的资源总量,该量
为同时发生的实例或每秒发生的实例的总数。如果在级别定义中指定的是百分比, ASA 将在
显示时将转换其为绝对数值。 % of Avail 列为分配至所有环境的总系统资源的百分比。如果资
源已经被硬件系统限制,则显示为百分数;如果资源未被系统限制,将显示为 N/A。
3. 监视 SYN 攻击
ASA 使用 TCP 拦截阻止 SYN 攻击。 TCP 拦截使用 SYN Cookies 算法阻止 TCP SYN 泛洪
攻击。 SYN 泛洪攻击通常由持续的来自被哄骗 IP 地址的 SYN 包所构成。 SYN 包持续泛洪导致服务器 SYN 队列注满,从而阻止来自服务连接的请求。当连接到达阈值初期, ASA 将作为
服务器的代理服务器,为客户端的 SYN 请求产生一个 SYN-ACK 应答。当 ASA 接收到来自客
户端的 ACK back 时,能够鉴定客户端并允许其连接至服务器。
借助以下命令,可以监视 SYN 攻击。
监视某个虚拟防火墙攻击速率。
show perfmon
监视某个虚拟防火墙使用 TCP 拦截的来源数量。
show resource usage detail
监视整个系统使用 TCP 拦截的来源数量。
show resource usage summary detail
18.3 配置接口
18.3.1 接口默认配置
1. 默认接口状态
接口默认状态与产品型号和环境模式有关。
在多环境模式中,所有指派的接口默认都处于启用状态。当然,既然通信要通过该接口,
系统执行空间中的接口状态也应当处于启用状态。如果宕掉系统执行空间中的接口,那么,该
接口在共享它的所有环境中都将被宕掉。
在单一模式或系统执行空间中,接口处于下述默认状态:
物理接口——Disable(未启用)。
冗余接口——Enable(启用)。若欲通信能够通过冗余接口,成员物理接口必须处于
启用状态。
子接口——Enable(启用)。若欲通信通过子接口,物理接口必须处于启用状态。
EtherChannel 接口——Enable(启用)。若欲通信通过 EtherChannel,端口汇聚组中的
成员物理接口必须处于启用状态。
2. 默认速率和双工模式
默认情况下,铜缆接口( RJ-45)速度和双工模式被设置为自适应。
ASA 5550(插槽 1)的光纤接口和 4GE SSM 为固定速率,且不支持双工,不过,可以设
置接口协商链路参数(默认)或不协商。
ASA 5580 和 5585-X 的光纤接口,速率被设置为自动链路协商。
3. 默认连接器类型
ASA 5550(插槽 1)、 ASA 5510 及更高产品的 4GE SSM 提供两种类型的连接器,铜缆 RJ-45
和光纤 SFP。 RJ-45 为默认连接类型,当然,也可以配置 ASA 使用光纤 SFP 连接器。
4. 默认 MAC 地址
默认情况下,物理接口使用烧录的 MAC 地址,所有物理接口的子接口使用相同的烧录
MAC 地址。
18.3.2 配置策略和限制
1. 防火墙模式策略
在透明模式下,每个虚拟防火墙或单模式设备最多可以配置 8 个桥组。
每个桥组可以容纳最多 4 个接口。
多环境模式下,处于透明模式的每个虚拟防火墙必须使用不同的接口,不能跨环境共
享接口。
2. 失效备援策略
当使用冗余或 EtherChannel 接口作为失效备援链路时,必须在失效备援时对每个单元
中事先进行配置。
如果使用冗余或 EtherChannel 接口作为正式链路,无需进行特殊配置,配置能够正常
从主单元复制。
可以使用 monitor-interface 命令监视冗余或 EtherChannel 接口的失效备援,但是,应
当确认引用了正确的逻辑冗余接口名称。
如果使用 EtherChannel 接口作为失效备援或正式链路,将阻止 out-of-order 包,
EtherChannel 中将只有一个接口被使用。如果该接口失败, EtherChannel 中的下一个
接口将被使用。在 EtherChannel 用于失效备援链路时,不能修改其配置。若欲修改,
需要宕掉 EtherChannel,或暂时禁用失效备援。
尽管可以在一个端口汇聚链路上配置失效备援和正式链路,但是,该端口组不能与其
他防火墙通信共享。
3. 冗余接口策略
可以配置最多 8 个冗余接口对。
在进行所有 ASA 配置时,都是引用逻辑冗余接口而不是成员物理接口。
既不能将冗余接口作为 EtherChannel 的一部分,也不能将 EtherChannel 作为冗余接口
的一部分。不能使用冗余接口和 EtherChannel 接口中的同一物理接口,但是,如果
它们不使用同一物理接口,可以在 ASA 上同时配置这两种类型。
如果宕掉活跃( Active)接口,备用( Standby)接口将改变为活跃状态。
Management slot/port 接口不能作为冗余接口成员,也不能设置由非管理接口组成的
冗余接口作为只管理接口( Management-only)。
4. EtherChannel 策略
可以最多配置 48 个 EtherChannel。
每个 EtherChannel 可以最多有 8 个活跃接口。可以将最多 16 个接口指定至一个端口
汇聚组,其中只有 8 个接口处于活跃状态,其他接口可以作为现有接口失败时的备
用链接。
端口汇聚中的所有接口必须拥有相同的类型和速率。第一个加入端口组的接口确定了
相应的类型和速率标准。
连接至 ASA 5500 EtherChannel 的设备必须支持 802.3ad EtherChannel。例如,不能连
接至 Catalyst 6500 系列交换机。
在所有 ASA 配置中,都将引用逻辑 EtherChannel 接口以代替成员物理接口。
不能使用冗余连接作为 EtherChannel 的一部分,同样,也不能使用 EtherChannel 作为
冗余接口的一部分。不能使用冗余接口和 EtherChannel 接口中的同一物理接口,但
是,可以在 ASA 上同时配置这两种类型,如果它们不使用同一物理接口。
在 4GE SSM 上不能使用接口作为 EtherChannel 的一部分。
如果已经进行过配置,再想转换使用中的冗余接口或 EtherChannel 接口,建议离线进行配置,以将由此而导致的通信中断减小到最低程度。
18.3.3 接口配置操作流程
在配置接口时,建议执行以下操作流程:
① (多环境模式)在系统执行空间中完成所有任务。输入 changeto system 命令,可以从
环境切换至系统执行空间。
② 启用物理接口,并根据需要修改其以太网参数。物理接口默认为 disable。
③ (可选)配置冗余接口对。一个逻辑冗余接口对由一个活跃物理接口和一个备用物理
接口组成。当活动接口失败时,备用接口将改变为活跃状态,并开始传输数据。
④ (可选)配置 EhterChannel。 EhterChannel 将多个以太网接口绑定至一个逻辑接口。
⑤ (可选)配置 VLAN 子接口。
⑥ (可选)在 ASA 5580 和 5585-X 上启用巨型帧支持。
⑦ (只适用多环境模式)在系统执行空间完成接口配置,将接口分配至虚拟防火墙,将
MAC 地址自动分配至虚拟防火墙接口。 MAC 地址用于虚拟防火墙内部的包分类。如果共享
接口,但是没有为每个虚拟防火墙指定唯一的 MAC 地址,将使用目的 IP 地址进行包分类。
做为选择,可以手工为虚拟防火墙指定 MAC 地址。
⑧ 完成接口配置。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
暂无评论...