本節書摘來自異步社群《cisco防火牆》一書中的第6章,第6.5節,作者 【巴西】alexandre m.s.p. moraes,更多章節内容可以通路雲栖社群“異步社群”公衆号檢視
cisco防火牆
在學習了如何将防火牆的操作模式從單防火牆模式修改為多防火牆模式,并介紹了虛拟防火牆的一些設定之後,在下面的内容中,本書會着重介紹虛拟防火牆的管理通路。
在前面的一節中,本書已經介紹了系統分區和admin-context對于通路實體成份的重要作用。那一節也介紹了指令changeto context可以讓授權使用者通路admin-context以檢視(并修改)所有普通虛拟防火牆的配置資訊。雖然這已經可以滿足大多數環境的管理需求,但是在有些情況下,直接通路某一個普通虛拟防火牆也是十分重要的。下面是兩類需要直接通路某一個虛拟防火牆的情形。
配置設定給服務提供商某一個客戶的虛拟防火牆:客戶可以通路他們自己的普通虛拟防火牆,同時不會通路到其他任何的虛拟防火牆。
配置設定給企業中某一個部門的虛拟防火牆:有一個管理組負責設定虛拟防火牆并為它們配置設定相應的接口及資源。此後,每個部門都需要建立并管理它們各自的參數(acl、nat、監控規則、路由政策等)。
圖6-6所示為一台asa裝置的asdm系統檢視界面,可以看到這台asa上配置了多個虛拟防火牆。該圖分别顯示了各個虛拟防火牆的接口狀态、cpu、記憶體和連接配接等資訊。
在圖6-7所示的asdm界面中,可以看到與該asa裝置上配置的虛拟防火牆有關的彙總資訊。該圖基本上就是(在系統分區中執行)show context指令的圖形界面版輸出資訊。
圖6-8所示為asa裝置上一個名為lab2的虛拟防火牆上配置的防火牆規則表。圖中所示為一個特權使用者被許可(穿越admin虛拟防火牆)從遠端通路系統分區并在各虛拟防火牆之間切換。
圖6-9所示為使用者直接通路asa上某一虛拟防火牆的asdm界面。這需要管理者在相應虛拟防火牆中設定特定的管理參數才能實作(與我們在第3章中介紹實體防火牆時的方式類似)。在asdm界面中使用cli工具可以檢視以下内容:
指令show context顯示出這就是虛拟防火牆lab2。
通過指令changeto context admin嘗試通路admin-context的結果,說明在一台普通的虛拟防火牆上是無法通過該指令通路admin-context的。這與嘗試通過telnet或ssh指令進行通路的結果别無二緻。