企业官网建设流程全解析

一个主机多个网站,多语种网站,做外贸学英语从哪里开始学,微信网站模板源码下载18.2 配置防火墙和安全环境模式 18.2.1 配置透明或路由防火墙 1. 透明防火墙模式 图 18-3 所示为典型的透明防火墙网络#xff0c;外部设备与内部设备位于同一子网。内部的路由器和主机就像直接连接到外部路由器上一样。 2. 透明防火墙配置策略  环境模式配置策略 在…18.2 配置防火墙和安全环境模式18.2.1 配置透明或路由防火墙1. 透明防火墙模式图 18-3 所示为典型的透明防火墙网络外部设备与内部设备位于同一子网。内部的路由器和主机就像直接连接到外部路由器上一样。2. 透明防火墙配置策略 环境模式配置策略在配置 ASA 系统的环境模式时应当遵循以下策略 ASA 默认模式为路由模式。 对于 ASA 5500 系列而言防火墙模式的设置是针对整个系统和所有虚拟防火墙而言的不能分别为每个虚拟防火墙分别设置模式。 在改变模式时由于许多命令不能同时支持两种模式因此 ASA 将清除运行配置同时也将移除所有虚拟防火墙。如果此时重新添加已有配置的虚拟防火墙那么在创建时将处于错误模式虚拟防火墙配置可能无法正确工作。因此在重新添加虚拟防火墙时应当确认是在正确的模式下重新创建或者是在新的路径下以新的配置添加新的虚拟防火墙。 透明防火墙配置策略在规划透明防火墙网络时应当遵循以下策略 在透明防火墙模式中管理接口与数据接口一样以同样的方式更新 MAC 地址表。因此不要同时将管理接口和数据接口连接至同一台交换机除非将其中一个配置为路由端口默认情况下 Cisco Catalyst 交换机为所有的 VLAN 交换端口共享 MAC地址。否则在通信从物理连接交换机到达管理接口时 ASA 将更新 MAC 地址表并使用管理接口而不是数据接口访问交换机从而将导致通信的暂时中断。由于安全方面的原因在至少 30 s 的时间内 ASA 将不能再次从连接数据接口的交换机更新 MAC 地址表。 每个直连网络必须在同一子网。 不能指定桥组的管理 IP 地址作为默认网关以连接设备而是应当指定 ASA 另一侧的路由器作为默认网关。 为透明防火墙指定默认路由从而为管理通信提供返回路径。如果管理通信来自于多个桥组网络必须指定静态路由以标识网络。3. 配置步骤使用 firewall transparent 命令即可将 ASA 设置为透明模式。系统不会显示有关 ASA 模式改变的提示修改将即刻生效。ASA(config)# firewall transparent若欲将 ASA 改变为路由模式可以使用 no firewall transparent 命令。ASA(config)# no firewall transparent18.2.2 配置多环境模式可以将一台 ASA 划分为若干虚拟设备即所谓的安全环境即虚拟防火墙。每个虚拟防火墙都是一个自主设备有自己的安全策略、接口和管理员。 ASA 会为每个虚拟防火墙保存一个配置文件以分别保存其策略和配置。这些配置文件既可以保存在本地也可以保存在外部服务器上。多环境 Multiple Context与多个独立设备非常相似。多环境模式能够支持的功能很多包括路由表、防火墙、 IPS 和管理。同样也有一些功能不被支持如 VPN 和动态路由协议。当 ASA 被配置为安全环境 Security Context时 IPsec 或 SSL VPN 不能被启用。因此这些功能将是无效的。1. 多环境模式配置限制在配置多环境模式时应当遵守以下限制性规定 防火墙模式——在路由和透明防火墙模式下均可支持。 失效备援 Failover——在多环境模式下只支持 Active/Active 模式失效备援。 型号——不支持 ASA 5505。 不支持功能——在多环境模式下不支持动态路由协议、 VPN、多播路由、威胁侦测 Threat Detection、电话代理服务器 Phone Proxy、 QoS 和统一通信。 其他——环境模式单一或多个不存储在配置文件中即使其可以重新引导。如果需要将配置文件拷贝至另一个设备应当在新设备上设置与其相匹配的模式。2. 配置多环境模式操作流程若欲配置多环境模式应当执行下述操作① 启用多环境模式。②可选配置资源管理等级。③ 在系统中配置接口。④ 配置安全环境。⑤可选自动将 MAC 地址分配至环境接口。⑥ 在环境中完成接口配置。3. 启用或禁用多环境模式默认情况下 ASA 处于单一环境模式。当将单一模式转换为多模式时 ASA 会将运行配置转变为两个一个是包含系统配置的新的启动配置另一个是包含 admin 环境在内置闪存的根目录中的 admin.cfg 文件。原有的运行配置被保存为 old_running.cfg在内置闪存的根目录中。原有的启动配置不被保存。ASA 自动为 admin 环境添加至系统配置的入口名称为“ admin”。借助 mode multiple 命令可以将 ASA 由单一模式改变为多模式环境并根据提示重新引导 ASA。ASA(config)# mode multiple若欲将 ASA 恢复至单一环境模式应当先将旧的运行配置复制为启动配置并将环境模式修改为单一模式。① 将备份的原运行配置文件拷贝至当前启动配置。ASA(config)# copy flash:old_running.cfg startup-config② 将 ASA 设置为单一模式。ASA(config)# mode single4. 配置资源管理级别资源管理级别的配置操作应当在系统执行空间中完成。使用 show resource types 命令可以查看资源类型及限制。表 18-1 所示为资源名称和限制。资源管理级别的配置过程如下① 指定级别名称进入级别配置模式。 name 最多可以包括 20 个字符。若欲将限制设置为默认级别可以使用 default 关键字。hostname(config)# class name② 设置所有资源为无限制。默认情况下所有资源的默认级别为无限制。hostname(config)# limit-resource all 0或者设置特别的资源限制。对于指定的资源来说该限制设置将覆盖由 all 设置的限制配置。 rate 字段用于设置某个资源的每秒速率。hostname(config)# limit-resource [rate] resource_name number[%]5. 配置安全环境安全环境在系统配置中由环境名称、配置文件 URL 和虚拟防火墙使用的接口进行定义。在进行配置时注意以下几点。 该操作必须在系统配置界面下进行。 对于 ASA 5500 而言配置物理接口参数、 VLAN 子接口和冗余接口建议参考下述“接口配置”部分内容。 如果没有 admin 环境例如已清除配置那么必须首先使用 admin-context name命令指定 admin 环境名称。尽管该环境名称在现有配置中并不存在但是可以稍后使用 context name 命令匹配指定的名称以完成 admin 环境配置。具体操作如下① 添加或修改环境。 Name 最多 32 个字符且对大小写敏感。可以使用字母、数字、连字符但是不能以连字符开始或结束。“ System”或“ Null”是保留名称不能使用。ASA(config)# context administrator② 可选添加对该环境的描述。ASA(config)# description text③ 指定该环境使用的接口。在接口类型和端口号之间不要有空格。输入该命令多次可以指定不同的范围。使用 no 结构命令移除分配的接口时包括接口在内的环境命令都将被从运行配置中移除。透明防火墙模式允许少量接口直通通信可以使用专用的管理接口 Managentet slot/port物理接口、子接口、冗余接口或 EtherChannel作为附加接口管理通信。即使包在 MAC 地址表中没有匹配项管理接口也不会将包泛洪 Flood出该接口。在路由模式中如果需要可以将同一个接口指定至多个环境。mapped_name 是为接口指定别名包括文字和数字用于在环境中替代接口 ID。换言之如果不为接口指定映射名称就需要在环境中直接使用接口 ID。而为安全起见可能并不想某些环境管理员知晓该环境中使用的具体接口因此指定别名就成为必要。映射名称必须以字母开头以字母或数字结尾中间可以是字母、数字或下画线如 int0, inta, int_0 均是正确的别名。如果指定的是一个子接口范围那么也可以为其指定一个映射名称以进行匹配。映射名称中所指定接口范围的字母部分两端必须匹配如接口范围为 int0-int10如果输入gig0/1.1-gig0/1.5 happy1-sad5就是无效的命令数字部分则必须包含与子接口相同的数量如 gigabitethernet0/0.100-gigabitethernet0/0.199 int1-int100 所指定的范围都包含 100 个接口是正确的表达而 gig0/0.100-gig0/0.199 int1-int15 则所指定的范围不同就是错误的。设置映射名称后在 show interface 命令中使用 visible 关键字可以查看真实的接口 ID。默认情况下 invisible 关键字只有在映射名称中可见。分配一个物理接口。ASA(config-ctx)# allocate-interface physical_interface [mapped_name] [visible| invisible]分配一个或多个子接口。ASA(config-ctx)# allocate-interface physical_interface.subinterface [-physical_interface.subinterface] [mapped_name[-mapped_name]] [visible | invisible]④ 确定从哪个系统下载环境配置。在添加环境 URL 时如果配置有效系统将立即装载环境配置作为其运行配置。应当在 config-url 之前输入 allocate-interface 命令。如果先输入 config-url 命令 ASA 将立即装载环境配置。如果环境配置中包含任何有关接口命令尚未配置这些命令都将失败。文件名无需文件扩展名尽管推荐使用扩展名“ .cfg”。必须能够从 admin 环境到达保存配置文件的服务器。如果配置文件无效将看到如下提示消息WARNING: Could not fetch the URL disk:/urlINFO: Creating context with default config对于非 HTTP S位置在指定 URL 后可以切换至该虚拟防火墙并在 CLI 下进行配置输入 write memory 命令将文件写至 URL 位置。 HTTP S为只读。有效的 URL 类型包括 disk number (闪存),ftp, http, https 或 tftp如 ftp://user1:passw0rd10.1.1.1/configlets/test.cfg。若欲变更 URL需要再次输入 config-url 命令。ASA(config-ctx)# config-url urlAdmin 虚拟防火墙文件必须存储在内置闪存中。⑤ 可选为该虚拟防火墙指定资源级别 Resource Class。如果没有指定级别虚拟防火墙将属于默认级别。只能为虚拟防火墙指定一个资源级别。ASA(config-ctx)# member class_name⑥ 可选在 Active/Active 失效备援中为该虚拟防火墙分配一个失效备援组。默认情况下虚拟防火墙处于 group 1。 Admin 环境必须处于 group 1。ASA(config-ctx)# join-failover-group {1 | 2)⑦ 可选如果安装有 AIP SSM为该虚拟防火墙分配一个 IPS 虚拟传感器。ASA(config-ctx)# allocate-ips sensor_name [mapped_name] [default]6. 在环境和系统间切换使用 Telnet 或 SSH 登录至系统执行空间 System Execution Space或 admin 环境后可以在环境 Context之间进行切换以进行配置和执行监控操作。运行配置就是在配置模式中正在编辑的配置或者使用 copy 或 write 命令复制和写入的配置。当处于系统执行空间时运行配置只由系统配置构成。例如不能以 show running-config 命令查看所有运行配置系统及所有环境只能显示当前配置。若欲在系统执行空间和环境即虚拟防火墙之间以及不同环境之间进行切换应当执行下述操作切换至环境系统提示符将改变为 hostname/name#。changeto context name切换至系统系统提示符将改变为 hostname #。changeto system7. 多模式配置示例该配置示例的相关设置如下 在虚拟防火墙中自动设置 MAC 地址。 设置默认级别限制为 10%而不是没有限制。 创建 gold 资源级别。 设置 Admin Context 为“administrator”。 在内置闪存上创建名为“ administrator”的虚拟环境作为默认资源级别的一部分。 从 FTP 服务器添加两个环境作为 gold 资源级别的一部分。具体配置过程如下hostname(config)# mac-address auto prefix 19hostname(config)# class defaulthostname(config-class)# limit-resource conns 10%hostname(config)# class goldhostname(config-class)# limit-resource mac-addresses 10000hostname(config-class)# limit-resource conns 15%hostname(config-class)# limit-resource rate conns 1000hostname(config-class)# limit-resource rate inspects 500hostname(config-class)# limit-resource hosts 9000hostname(config-class)# limit-resource asdm 5hostname(config-class)# limit-resource ssh 5hostname(config-class)# limit-resource rate syslogs 5000hostname(config-class)# limit-resource telnet 5hostname(config-class)# limit-resource xlates 36000hostname(config)# admin-context administratorhostname(config)# context administratorhostname(config-ctx)# allocate-interface gigabitethernet0/0.1hostname(config-ctx)# allocate-interface gigabitethernet0/1.1hostname(config-ctx)# config-url flash:/admin.cfghostname(config-ctx)# context testhostname(config-ctx)# allocate-interface gigabitethernet0/0.100 int1hostname(config-ctx)# allocate-interface gigabitethernet0/0.102 int2hostname(config-ctx)# allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115 int3-int8hostname(config-ctx)# config-url ftp://user1:passw0rd10.1.1.1/configlets/test.cfghostname(config-ctx)# member goldhostname(config-ctx)# context samplehostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int1hostname(config-ctx)# allocate-interface gigabitethernet0/1.212 int2hostname(config-ctx)# allocate-interfacegigabitethernet0/1.230-gigabitethernet0/1.235 int3-int8hostname(config-ctx)# config-url ftp://user1:passw0rd10.1.1.1/configlets/sample.cfghostname(config-ctx)# member gold