启用ASA和PIX上的虚拟防火墙

启用ASA和PIX上的虚拟防火墙

前言

有鉴于许多读者纷纷来信与Ben讨论防火墙的相关设定，并希望能够针对近两年防火墙的两大新兴功能：虚拟防火墙(Virtual Firewall or Security Contexts) 以及通透式防火墙(Transparent or Layer 2 Firewall) ，多做一点介绍以及设定上的解说，是以Ben特别在本期以Cisco的ASA，实做一些业界上相当有用的功能，提供给各位工程师及资讯主管们，对于防火墙的另一种认识。

再者，近几期的网管人大幅报导资讯安全UTM方面的观念，显示网路安全的需要与日遽增，Cisco ASA 5500为一个超完全的UTM，这也是为什么Ben选择ASA，来详细的介绍UTM的整体观念。

本技术文件实验所需的设备清单如下：

1Cisco PIX防火墙或是ASA (Adaptive Security Appliance) 网路安全整合防御设备。

本技术文件实验所需的软体及核心清单如下：

2Cisco PIX或是ASA 5500系列，韧体版本7.21，管理软体ASDM 5.21。

3Cisco 3524 交换器。

本技术文件读者所需基本知识如下：

4VLAN协定802.1Q。

5路由以及防火墙的基础知识。

6Cisco IOS 基础操作技术。

什么是虚拟防火墙跟通透式防火墙

虚拟防火墙(Virtual Firewall or Security Contexts)：

就一般大众使用者而言，通常买了一个防火墙就只能以一台来使用，当另外一个状况或是环境需要防火墙的保护时，就需要另外一台实体的防火墙；如此，当我们需要5台防火墙的时候，就需要购买5台防火墙；虚拟防火墙的功能让一台实体防火墙，可以虚拟成为数个防火墙，每个虚拟防火墙就犹如一台实体的防火墙，这解决了企业在部署大量防火墙上的困难，并使得操作及监控上更为简便。

通透式防火墙(Transparent or Layer 2 Firewall)：

一般的防火墙最少有两个以上的介面，在每个介面上，我们必须指定IP位址以便让防火墙正常运作，封包到达一个介面经由防火墙路由到另一个介面，这种状况下，防火墙是处在路由模式(Routed mode)；试想，在服务提供商(Internet Service Provider) 的环境中，至少有成千上万的路由器组成的大型网路，如果我们要部署数十个以上的防火墙，对于整体网路的IP位址架构，将会有相当大的改变，不仅容易造成设定路由的巨大麻烦，也有可能会出现路由回圈，部署将会旷日费时，且极容易出错。

举例来说，如果有两个路由器A及B，我们想在A跟B之间部署路由模式的防火墙，必须重新设计路由器介面的IP位址，以配合防火墙的IP位址，另外，如果路由器之间有跑路由通讯协定(ie. RIP、OSPF、BGP等)，防火墙也必须支援这些通讯协定才行，因此相当的麻烦；通透式防火墙无须在其介面上设定IP 位址，其部署方式就犹如部署交换器一样，我们只需直接把通透式防火墙部署于路由器之间即可，完全不需要烦恼IP位址的问题，因此，提供此类功能的防火墙，亦可称为第二层防火墙。

一般而言，高级的防火墙(Cisco、Juniper等)都支援这些功能；就Cisco的ASA 或是PIX而言(版本7.0以上)，都已支援虚拟防火墙以及通透式防火墙这两个功能。

如何设定虚拟防火墙(Security Contexts)

在Cisco的防火墙中，有些专有名词必须先让读者了解，以便继续以下的实验及内容。

专有名词解释

Context ASA/PIX在虚拟防火墙的模式下，每一个虚拟防火墙就可以称为一个context。

System context 这一个context是用来设定每一个虚拟防火墙所能使用的资源，例如所能使用的介面以及CPU资源等，而不会让某一个context过度使用系统资源，另外，提供给防火墙管理员一个集中式且阶层性的管理；此context 并不能被用来当成防火墙使用。

Administration context (admin-context) 可以被用来当成虚拟防火墙使用，除此之外，只有此context才有权限，这个context并不受授权的限制内。

Context <虚拟防火墙的名称> 一般的虚拟防火墙，并没有对于防火墙硬体有任何的设定权限，只能设定该虚拟防火墙内的设定。

接下来读者们可以在EXEC的模式下，下达『show version』指令而得知该ASA/PIX能够支援多少个contexts，以下的范例显示了该设备最多支援了5个contexts。

在八月份的网管人杂志中，Ben已经详细的介绍ASA/PIX的初始过程，通常来说，如果没有特殊设定的话，预设的防火墙模式为单一模式(Single Mode)，因此，我们必须熟悉一些指令来转换以及显示模式；在EXEC模式下，下达指令show mode即可以显示目前是处于单一模式(Single Mode) 或是虚拟模式

(Multiple Mode)。

如果要转换模式的话，必须进入Configuration Mode下达mode的指令；以下的例子显示了由单一模式转换到虚拟模式，经过两次的确认(confirm) 后，必须重新启动ASA/PIX以便让功能即时生效。

重新开机后，进入EXEC模式检视目前的模式，应该为虚拟模式了。

如何设定通透式防火墙

通透式防火墙的设定也是相当的简单，ASA平台是可让通透式的功能跟虚拟防火墙的功能并存，刚刚读者们已经将ASA5510转换成为Multiple模式了，这里请特别注意，启动通透式功能的时候，因为原本的contexts设定内容已经不符合通透式功能的需求，因此会把所有的contexts移除，所以，我们必须在转换通透模式后，再一一加入每个虚拟防火墙(context)；另外，转换通透或是路由模式，不需要重新启动防火墙设备即可生效。