安全環(huán)境(Security Context)
創(chuàng)新互聯專注于企業(yè)營銷型網站、網站重做改版、薊州網站定制設計����、自適應品牌網站建設、html5�、商城網站建設、集團公司官網建設�、外貿網站制作、高端網站制作�、響應式網頁設計等建站業(yè)務,價格優(yōu)惠性價比高����,為薊州等各大城市提供網站開發(fā)制作服務。
1��、安全環(huán)境概述
ASA從7.0版本開始支持虛擬防火墻�����,也稱為單一設備內的安全環(huán)境��。多環(huán)境與含有多個獨立設備相似,每個環(huán)境具有自己的一套安全策略(NAT�����、ACL����、路由等)。多環(huán)境模式幾乎支持在獨立設備上可配置的所有選項�����,但不支持某些特性��,如×××�����、動態(tài)路由選擇協議等���。
ASA 5505不支持多環(huán)境�,5510及以上型號才支持多環(huán)境�����,但僅免費提供2個環(huán)境。
ASA默認處于單模式����,要使用多環(huán)境需要切換到多模式��。
(1)系統(tǒng)執(zhí)行空間
當切換到多模式時�,就進入了系統(tǒng)執(zhí)行空間。系統(tǒng)執(zhí)行空間用來進行一些全局性的配置�����,例如接口的物理特性�、配置TRUNK、限制資源使用����、創(chuàng)建環(huán)境等。
(2)環(huán)境特性
每個環(huán)境需要有一個名字���、接口分配�����、配置文件用于存儲配置和環(huán)境自身的配置����。ASA會自動創(chuàng)建一個環(huán)境,叫做admin context����,用于管理特性。
2安全環(huán)境的配置
(1)切換到多模式
ciscoasa(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
Convert the system configuration? [confirm]
The old running configuration file will be written to disk0
The admin context configuration will be written to disk0
The new running configuration file was written to disk0
Security context mode: multiple
…………………………………………………….
切換到多模式后ASA需要重新啟動����。
重新啟動后的默認配置如下。
ciscoasa# show run
: Saved
:
ASA Version 8.0(2)
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto
interface Ethernet0/0
shutdown
interface Ethernet0/1
shutdown
interface Ethernet0/2
shutdown
interface Ethernet0/3
shutdown
interface Management0/0
shutdown
class default
limit-resource All 0
limit-resource ASDM 5
limit-resource SSH 5
limit-resource Telnet 5
ftp mode passive
pager lines 24
no failover
asdm p_w_picpath disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
console timeout 0
admin-context admin
context admin
config-url disk0:/admin.cfg
prompt hostname context
Cryptochecksum:410be16e875b7302990a831a5d91aefd
: end
查看當前的模式
ciscoasa# show mode
Security context mode: multiple
(2)系統(tǒng)執(zhí)行空間的配置
1)配置接口
接口是物理接口或子接口�����。從6.3版本開始支持TRUNK�����,但只支持802.1q封裝����。ASA 5510及以上型號配置TRUNK是通過子接口來實現的,ASA 5505不支持子接口����。
配置示例
ciscoasa(config)# interface ethernet0/1
ciscoasa(config-subif)# no shutdown
ciscoasa(config)# interface ethernet0/1.10
ciscoasa(config-subif)# vlan 10
ciscoasa(config)# interface ethernet0/1.20
ciscoasa(config-subif)# vlan 20
2)共享接口的MAC地址
多環(huán)境可以共享同一個接口(物理接口或子接口)����,在這種情況下����,每個環(huán)境應該為共享接口分配不同的MAC地址,可以手工分配也可以自動分配�。
路由模式的多環(huán)境可以共享接口���,透明模式不允許共享接口��。
自動分配MAC地址的命令
ciscoasa(config)# mac-address auto
3)創(chuàng)建環(huán)境
切換到多模式后ASA自動創(chuàng)建admin context����,在之前所述的默認配置中可以看到����。根據需要,管理員可以創(chuàng)建其他的環(huán)境�����。
n 創(chuàng)建名為context_name的環(huán)境
ciscoasa(config)# contextcontext_name
n 給環(huán)境分配接口
ciscoasa(confix-ctx)# allocate-interfacephysical_if_name[.subif] [map_name]
參數map_name允許為接口配置別名����,用于在環(huán)境中使用�����。
n 指定配置文件
ciscoasa(config-ctx)# config-urlURL
配置示例
ciscoasa(config)# context CTX1
ciscoasa(config-ctx)# allocate-interface ethernet0/1.10 int1
ciscoasa(config-ctx)# allocate-interface ethernet0/1.20 int2
ciscoasa(config-ctx)# config-url disk0:/CTX1.cfg
n 查看環(huán)境配置
ciscoasa# show context
4)限制資源使用
所有的環(huán)境都共享設備的資源��,可以限制每個環(huán)境對資源的使用�����,防止各個環(huán)境相互影響���。
資源限制使用類來定義,所有的環(huán)境都使用默認類�,但可以為某個環(huán)境定義一個特定的類,它將覆蓋默認類���。
n 定義并配置類
ciscoasa(config)# class{default| resource_class_name}
ciscoasa(config-class)# limit-resource all 0
ciscoasa(config-class)# limit-resource asdmsessions
ciscoasa(config-class)# limit-resource sshsessions
ciscoasa(config-class)# limit-resource telnetsessions
ciscoasa(config-class)# limit-resource hostshosts
ciscoasa(config-class)# limit-resource mac-addressesaddresses
ciscoasa(config-class)# limit-resource rate inspectinspects/second
ciscoasa(config-class)# limit-resource[rate] conns{conns | xx%}
ciscoasa(config-class)# limit-resource rate syslogslogs/second
ciscoasa(config-class)# limit-resource xlates{xlates | xx%}
limit-resource all 0表示所有資源不做限制��。
Telnet和SSH默認最大的會話數為5個��,MAC address默認最多65,535條目����。
n 將自定義的類分配給某個環(huán)境
ciscoasa(config)# contextcontext_name
ciscoasa(config-ctx)# memberresource_class_name
配置示例
ciscoasa(config)# class resource-CTX1
ciscoasa(config-class)# limit-resource asdm 3
ciscoasa(config-class)# limit-resource ssh 3
ciscoasa(config-class)# limit-resource conns 40%
ciscoasa(config)# context CTX1
ciscoasa(config-ctx)# member resource-CTX1
(3)環(huán)境管理
一旦創(chuàng)建了環(huán)境,就可以切換到環(huán)境進行配置���。
1)在系統(tǒng)執(zhí)行空間和環(huán)境之間切換
ciscoasa# changeto{system| contextcontext_name}
配置示例
ciscoasa# changeto context CTX1
ciscoasa/CTX1#
ciscoasa/CTX1# changeto system
ciscoasa#
2)保存配置
在特定環(huán)境中使用命令write memory或copy running-config startup-config只能保存當前環(huán)境的配置����,要保存所有環(huán)境及系統(tǒng)執(zhí)行空間的配置��,需要在系統(tǒng)執(zhí)行空間中使用以下命令���。
ciscoasa# write memory all
3)刪除環(huán)境
刪除某個特定環(huán)境��,需要在系統(tǒng)執(zhí)行空間中使用以下命令。
ciscoasa(config)# no contextcontext_name
要刪除所有環(huán)境�����,可以使用命令clear configure context�����。
3安全環(huán)境的配置案例
如圖5.3所示�,將ASA 5510配置為路由模式下的多環(huán)境,不同環(huán)境配置不同的策略���。用于NAT轉換的地址池為209.165.201.0/29�����。
圖5.3 ASA多環(huán)境網絡拓撲圖
ASA 5510的配置步驟如下�。
(1)切換到多模式
ciscoasa(config)# mode multiple
(2) 配置接口
ciscoasa(config)# interface e0/0
ciscoasa(config-if)# no shutdown
ciscoasa(config)# interface e0/1
ciscoasa(config-if)# no shutdown
ciscoasa(config)# interface e0/0.1
ciscoasa(config-subif)# vlan 2
ciscoasa(config)# interface e0/0.2
ciscoasa(config-subif)# vlan 4
ciscoasa(config)# interface e0/0.3
ciscoasa(config-subif)# vlan 6
ciscoasa(config)# interface e0/1.1
ciscoasa(config-subif)# vlan 3
ciscoasa(config)# interface e0/1.2
ciscoasa(config-subif)# vlan 5
ciscoasa(config)# interface e0/1.3
ciscoasa(config-subif)# vlan 7
ciscoasa(config-subif)# exit
(3) 創(chuàng)建環(huán)境
需要創(chuàng)建context1和context2,admin context已自動創(chuàng)建�,只需分配接口。
ciscoasa(config)# context context1
ciscoasa(config?ctx)# allocate?interface Ethernet0/0.1 outside_context1
ciscoasa(config?ctx)# allocate?interface Ethernet0/1.1 inside_context1
ciscoasa(config?ctx)# config?url disk0:/context1.cfg
ciscoasa(config?ctx)# exit
ciscoasa(config)# context context2
ciscoasa(config?ctx)# allocate?interface Ethernet0/0.2 outside_context2
ciscoasa(config?ctx)# allocate?interface Ethernet0/1.2 inside_context2
ciscoasa(config?ctx)# config?url disk0:/context2.cfg
ciscoasa(config)# context admin
ciscoasa(config?ctx)# allocate?interface Ethernet0/0.3 outside_admin
ciscoasa(config?ctx)# allocate?interface Ethernet0/1.3 inside_admin
(4)配置Admin Context
ciscoasa(config)# changeto context admin
ciscoasa/admin(config)# interfaceoutside_admin
ciscoasa/admin(config-if)# nameif outside
ciscoasa/admin(config-if)# security-level 0
ciscoasa/admin(config-if)# ip address 192.168.6.1 255.255.255.0
ciscoasa/admin(config-if)# no shutdown
ciscoasa/admin(config-if)# exit
ciscoasa/admin(config)# interfaceinside_admin
ciscoasa/admin(config-if)# nameif inside
ciscoasa/admin(config-if)# security-level 100
ciscoasa/admin(config-if)# ip address 192.168.7.1 255.255.255.0
ciscoasa/admin(config-if)# no shutdown
ciscoasa/admin(config-if)# exit
ciscoasa/admin(config)# route outside 0 0 192.168.6.2
ciscoasa/admin(config)# nat-control
ciscoasa/admin(config)# nat (inside) 1 0 0
ciscoasa/admin(config)# global (outside) 1 209.165.201.1
ciscoasa/admin(config)# access-list ACLoutside permit icmp any any
ciscoasa/admin(config)# access-group ACLoutside in interface outside
(5) 配置Context1 Context
ciscoasa/admin(config)# changeto context context1
ciscoasa/context1(config)# interfaceoutside_context1
ciscoasa/context1(config-if)# nameif outside
ciscoasa/context1(config-if)# security-level 0
ciscoasa/context1(config-if)# ip address 192.168.2.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# exit
ciscoasa/context1(config)# interfaceinside_context1
ciscoasa/context1(config-if)# nameif inside
ciscoasa/context1(config-if)# security-level 100
ciscoasa/context1(config-if)# ip address 192.168.3.1 255.255.255.0
ciscoasa/context1(config-if)# no shutdown
ciscoasa/context1(config-if)# exit
ciscoasa/context1(config)# route outside 0 0 192.168.2.2
ciscoasa/context1(config)# nat-control
ciscoasa/context1(config)# nat (inside) 1 0 0
ciscoasa/context1(config)# global (outside) 1 209.165.201.2-209.165.201.4
(6)配置Context2 Context
ciscoasa/context1(config)# changeto context context2
ciscoasa/context2(config)# interfaceoutside_context2
ciscoasa/context2(config-if)# nameif outside
ciscoasa/context2(config-if)# security-level 0
ciscoasa/context2(config-if)# ip address 192.168.4.1 255.255.255.0
ciscoasa/context2(config-if)# no shutdown
ciscoasa/context2(config-if)# exit
ciscoasa/context2(config)# interfaceinside_context2
ciscoasa/context2(config-if)# nameif inside
ciscoasa/context2(config-if)# security-level 100
ciscoasa/context2(config-if)# ip address 192.168.5.1 255.255.255.0
ciscoasa/context2(config-if)# no shutdown
ciscoasa/context2(config-if)# exit
ciscoasa/context2(config)# route outside 0 0 192.168.4.2
ciscoasa/context2(config)# nat-control
ciscoasa/context2(config)# nat (inside) 1 0 0
ciscoasa/context2(config)# global (outside) 1 209.165.201.5-209.165.201.6
ciscoasa/context2(config)# access-list INTERNET remark Inside users only access HTTP and HTTPS servers on the outside
ciscoasa/context2(config)# access-list INTERNET permit tcp any any eq http
ciscoasa/context2(config)# access-list INTERNET permit tcp any any eq https
ciscoasa/context2(config)# access-group INTERNET in interface inside
(7)保存配置
ciscoasa/context2(config)# changeto system
ciscoasa(config)# write memory all
(8) 其他配置及驗證
1)邊緣路由器的TRUNK接口也是通過配置子接口實現的����,還需要分別配置指向地址池209.165.201.0/29的明細路由及訪問Internet的默認路由。
2)驗證在3臺主機上均可訪問Internet�。
3)在ASA的系統(tǒng)執(zhí)行空間中查看FLASH
ciscoasa# sh flash
………………………………………………
11 -rw- 1973 00:42:03 Sep 16 2009 old_running.cfg
12 -rw- 1733 07:52:20 Sep 16 2009 admin.cfg
15 -rw- 1680 07:52:21 Sep 16 2009 context1.cfg
18 -rw- 1680 07:52:23 Sep 16 2009 context2.cfg
可以看到每個環(huán)境保存的配置文件。其中old_running.cfg為自動保存的原單模式下的配置文件�����。
4)恢復到單模式
ciscoasa(config)# copy flash:old_running.cfg startup-config
ciscoasa(config)# mode single
然后ASA會重新啟動�。
本文題目:安全環(huán)境(SecurityContext)
轉載來源:
http://weahome.cn/article/gieoej.html
重慶分公司
重慶分公司
