网络设计_CISCO防火墙

null内容内容 防火墙基础知识 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型组网方式 ASA5510防火墙配置规划 ASA5510防火墙配置步骤 ASA5510防火墙的维护 防火墙的概念 简单的说，防火墙是保护一个网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。防火墙具有如下基本特征： 经过防火墙保护的网络之间的通信必须都经过防火墙。 只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。 防火墙本身必须具有很强的抗攻击、渗透能力。 防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻 击。 硬件防火墙应该可以支持若干个网络接口，这些接口都是LAN接口（如Ethernet、Token Ring、FDDI），这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙，防火墙来控制这些连接，对连接进行验证、过滤。连接不受信网络区域连接受信网络区域在连接受信网络区域和非受信网络区域之间的区域，一般称为DMZ。防火墙的概念防火墙的发展历程防火墙的硬件发展过程： 1、一般是直接安装在PC上的一套软件，基于PC提供基本的安全防护，此时防火墙基本上就是一个应用软件。代产品有CheckPoint公司的防火墙产品。 2、采用PC硬件结构，基于linux等开发源代码的操作系统内核，开发了安全防护的一些基本特性构成硬件防火墙产品形态。国内大部分防火墙产品都是采用这种方式开发。从外观上面看，该种防火墙是一个硬件防火墙产品，但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。代表产品有天融信公司的防火墙产品 3、采用独立设计的硬件结构，在CPU、电源、风扇、PCI总线设计、扩展插卡等方面优化结构，保证防火墙产品可以得到最优的处理性能。代表产品有junipher公司的CISCO 208产品、CISCO 500等防火墙产品。防火墙的发展历程防火墙和路由器的差异路由器的特点： 保证互联互通。 按照最长匹配算法逐包转发。 路由是核心特性。防火墙的特点： 逻辑子网之间的访问控制，关注边界安全 基于连接的转发特性。 安全防范是防火墙的核心特性。 由于防火墙具有基于连接监控的特性，因此防火墙对业务支持具有非常强的优势。而路由器基于逐包转发的特点，因此路由器设备不适合做非常复杂的业务，复杂的业务对路由器的性能消耗比较大。防火墙支持的接口不如路由器丰富，支持的路由协议不如路由器丰富，因此防火墙不适合做为互联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备，支持高速、安全、丰富的业务特性。防火墙和路由器的差异防火墙的分类按照防火墙实现的方式，一般把防火墙分为如下几类： 包过滤防火墙(Packet Filtering) 包过滤防火墙简单，但是缺乏灵活性。另外包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧下降。 代理型防火墙（application gateway） 代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是一个Server，对Server来说防火墙是一个Client。代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。 状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。 现在防火墙的主流产品为状态检测防火墙。防火墙的分类IP包过滤技术IP包过滤技术 包过滤利用定义的特定规则过滤数据包。对防火墙需要转发的数据包，防火墙直接获得其IP源地址、目的地址、TCP/ UDP的源端口、目的端口等包头信息。然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制策略(policy)。 Internet公司总部内部网络未授权用户办事处访问控制policy访问控制policy一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）：状态检测技术 状态防火墙通过检测基于TCP/UDP连接的连接状态，来动态的决定报文是否可以通过防火墙。在状态防火墙中，会维护着一个Session表项，通过Session表项就可以决定哪些连接是合法访问，哪些是非法访问。状态检测技术状态防火墙包处理状态防火墙包处理流程防火墙基础—区域防火墙基础—区域防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域 Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4防火墙基础—区域防火墙基础—区域防火墙上主要有4个安全区域： 非受信区（Untrust）：低级的安全区域.通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。 非军事化区（DMZ）：中度级别的安全区域。停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器，Mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。 受信区（Trust）：较高级别的安全区域. 通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。 管理区域（MGT）：管理区 此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。防火墙基础—区域防火墙基础—区域Ethernet外部网络EthernetCISCOASA5510ServerServerTrustUntrustDMZethernet3/1ethernet3/2ethernet2/1内部网络防火墙基础—转发规则防火墙基础—转发规则路由器的安全规则定义在接口上，而防火墙的安全规则定义在安全区域之间不允许来自10.0.0.1 的数据报从这个接口出去Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4禁止所有从DMZ区域的数据报 转发到UnTrust区域防火墙基础—转发规则防火墙基础—转发规则域间的数据流分两个方向： 入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向； 出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。InOutInOutInOutInOut防火墙基础—转发规则防火墙基础—转发规则本域内不同接口间不过滤直接转发 进、出接口相同的报文被丢弃 接口没有加入域之前不能转发报文InOutInOutInOutInOut防火墙基础—模式分类防火墙基础—模式分类路由模式 透明模式 混合模式防火墙基础—路由模式防火墙基础—路由模式可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。防火墙基础—透明模式防火墙基础—透明模式透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址，整个设备处于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。防火墙基础—混合模式防火墙基础—混合模式混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址，而透明模式无法实现这一点。 目前很多新型防火墙已经支持透明模式下的双机热备。防火墙基础—双机热备防火墙基础—双机热备什么是双机热备？ 所谓双机热备其实是双机状态备份，当两台防火墙，在确定主从防火墙后，由主 防火墙进行业务的转发，而从防火墙处于监控状态，同时主防火墙会定时向从防 火墙发送状态信息和需要备份的信息，当主防火墙出现故障后，从防火墙会及时 接替主防火墙上的业务运行。内容内容 防火墙基础知识 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型组网方式 ASA5510防火墙配置规划 ASA5510防火墙配置步骤 ASA5510防火墙的维护 CISCO ASA5500系列防火墙简介CISCO ASA5500系列防火墙简介Cisco ASA 5500 系列自适应安全设备是思科专门设计的解决，能够将最高的安全性和VPN服务与全新的自适应识别和防护（AIM）有机的结合在一起。 Cisco ASA 5500 系列能夠在一个平台中提供多种已经过市场验证的技术，无论从技术角度还是从经济角度看，都能夠为多个地点部署各种安全服务。利用其多功能安全元件，企业几乎不需要作任何两难选择，既可以提供强有力的安全保护，又可以降低在多个地点部署多台设备的运营成本。 ASA5500 系列特性与优势ASA5500 系列特性与优势专用的实时嵌入式操作系统 ( 不易被攻击)， ASA 自适应安全算法。 经过市场验证的安全性VPN功能 – 全特性、高性能的防火墙，入侵防范 (IPS), 网络防病毒和IPSec/SSL VPN 技术提供了强大的应用安全性，基于用户和应用的访问控制，蠕虫与病毒抑制，恶意代码防护以及远端用户/站点连接。 独特的自适应识别与防护架构－利用高度可定制的针对流的安全策略，企业能夠适应和扩展 Cisco ASA 5500系列的安全服务组合。安全策略允许企业根据应用要求定制安全需求，并通过用户可安裝的安全服务模块（SSM）提供性能和安全服务可扩展性， 降低部署和运营成本– 这种多功能的设备可实现平台、配置和管理的化，从而降低部署与日常运营成本。 CISCO ASA5500系列防火墙简介CISCO ASA5500系列防火墙简介Interface Module Bays4个 EthernetManagementConsole2个USBASA5500 系列性能参数ASA5500 系列性能参数ASA5500 系列技术规格ASA5500 系列技术规格内容内容 防火墙基础知识 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型组网方式 ASA5510防火墙配置规划 ASA5510防火墙配置步骤 ASA5510防火墙的维护 ISMP平台防火墙的典型组网方式ISMP平台防火墙的典型组网方式内容内容 防火墙基础知识 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型组网方式 ASA5510防火墙配置规划 ASA5510防火墙配置步骤 ASA5510防火墙的维护 ASA5510防火墙配置规划ASA5510防火墙配置规划 主机名规划 区域及接口用途规划 IP地址规划 路由规划 地址映射规划 安全策略规划 SNMP、NTP、DNS、LOG及其它 主机名规划主机名规划ISMP工程中防火墙设备主机名命名方案统一规划为： [省名]+ISMP+[设备型号]_To[外网名]_[序号] 本次工程中CISCO防火墙型号只有ASA5510一种。 例：安徽电信ISMP平台连接163公网的2台防火墙分别命名为 AH_ISMP_ASA5510_To163_1 AH_ISMP_ASA5510_To163_2区域及接口用途规划区域及接口用途规划区域（Zones）：简单网络只需要trust、untrust、DMZ、HA等。在ISMP系统防火墙上，可以把ISMP系统放置于Trust区，ISMP平台所连接的电信外围设备放置于DMZ区，Internet放置于Untrust区。 接口（Interface）：ASA5510共有 1个业务插槽，接口命名及用途规划参考IP地址规划。规划接口用途时应考虑双机热备的心跳接口。IP地址规划IP地址规划路由规划路由规划 简单情况只需要配置inside/outside 方向的静态路由，复杂情况，可启用动态路由协议。地址映射规划地址映射规划 在ISMP平台应用中，各接口机和门户服务器需做地址映射以提供网外访问。 示例如下：安全策略规划一安全策略规划一设备登录控制 网络设备配置需要保护，防止非授权访问非常重要。各种登录账户、权限需求在实施配置前也必须进行详细调研规划。 可主要考虑console、telnet、SSH、WEBUI等授权访问方式中的登录账户、权限及密码规划。 安全策略规划二安全策略规划二业务访问控制 SNMP、NTP、DNS、LOG等SNMP、NTP、DNS、LOG等SNMP：简单网络管理协议。需要规划确认只读、可写字符串（community），SNMP trap的IP地址等信息。 NTP：时钟同步。ntp server最好设置一个主用时钟，一个备用时钟。 Logging：日志系统。需要规划确认日志服务器的IP地址及日志接收级别。 DNS：域名系统。ISMP平台一般不需要。 设备域名后缀。ISMP平台一般不需要。 其他（略）内容内容 防火墙基础知识 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型组网方式 ASA5510防火墙配置规划 ASA5510防火墙配置步骤 ASA5510防火墙的维护 ASA5510防火墙基本配置步骤ASA5510防火墙基本配置步骤 配置模式 常用管理性配置 接口配置 地址转换配置（NAT） 路由配置 静态地址影射（static） 访问控制列表（ACL） 安全策略配置（Policy） 双机冗余配置（Failover）防火墙配置模式防火墙配置模式ASA5500系列防火墙装载Cisco ASA 7.0或更高版本，在配置模式上和以前的PIX系列有很大的不同。它更接近于Cisco IOS，也提供5种配置模式： 1）非特权模式 防火墙开机自检后，就是处于这种模式。系统显示为firewall> 2）特权模式 输入enable进入特权模式，可以改变当前配置。显示为firewall# 3）配置模式 输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。显示为firewall(config)# 。后文如无特殊说明，均指在此配置模式下的命令操作。 4）子接口模式 和大多交换机路由器一样，ASA5500系列具有interface、class-map、policy-map等子接口模式。(config)# interface GigabitEthernet1/1 (config-if)# 5）监视模式 防火墙在开机或重启过程中，按住Escape键或发送一个“Break”字符，进入监视模式。这里可以更新操作系统映象和口令恢复。显示为monitor> 常用管理性配置 I常用管理性配置 IHostname: hostname AH-ISMP-ASA5510-ToDCN-1 Password: enable password ******* encrypted //默认密码已被加密 Http Server: http server enable //开启web配置界面 http 192.168.1.0 255.255.255.0 management http 172.18.129.0 255.255.255.0 inside //inside区可web访问网段 常用管理性配置 II常用管理性配置 IILogging：至少需要配置日志服务器的IP地址及日志接收级别。 logging enable //开启log服务 logging timestamp //log信息带时间戳 logging standby //Log双机信息 logging trap warnings // 设置Log信息级别 logging asdm warnings // asdm模块硬件故障 logging console warnings // 设置console口log信息级别 logging host inside 172.18.129.100 //设置接受Log信息的主机IP …… Telnet： telnet 172.18.129.0 255.255.255.0 inside //指定允许访问的网段 telnet 202.18.118.0 255.255.255.0 outside telnet timeout 5 //定义超时时间注：当从外部接口要telnet到防火墙时，telnet数据流需要用ipsec提供保护，也就是说用户必须配置一条到另外一台防火墙，路由器或vpn客户端的ipsec隧道。 常用管理性配置 III常用管理性配置 IIISSH： 默认ssh服务是打开的 ssh scopy enable //session复制功能 ssh 172.18.128.0 255.255.255.0 inside //定义内网可访问网段 ssh 0.0.0.0 0.0.0.0 outside //定义外网可访问网段 ssh timeout 45 //定义超时时间 ssh version 2 //定义版本信息 ssh disconnect session_id // 断开特定的ssh会话 SNMP： snmp-server enable //打开服务 snmp-server community ********** //snmp公用字符串 snmp-server host inside 172.18.129.100 community ********* //snmp专用字符串 snmp-server listen-port ***** // 1~65535可选，默认端口为161 snmp-server enable traps [all/entity/ipsec/snmp/syslog/remote-access] snmp deny version 1 //拒绝版本为1 的snmp流量常用管理性配置 IV常用管理性配置 IVDHCP Server：在内部网络，为了集中管理和使用IP地址，可能会启用动态主机分配IP地址服务器（DHCP Server），Cisco ASA5500系列具有这种功能。简单示例如下。 例. dhcpd enable inside //开启dhcp服务 dhcpd address 192.168.10.1-192.168.10.50 inside //定义地址池 dhcpd dns 202.96.109.5 203.95.1.1 //指定DNS地址 dhcpd domain abc.com.cn //指定主域名称 常用管理性配置 V常用管理性配置 VOthers： console timeout 0 //console口超时时间 arp timeout 14400 //arp表的超时时间 domain-name abcdef.com //本地域名服务器，通常用作为外部访问 names //解析本地主机名到ip地址，在配置中可以用名字代替ip地址，如果没有设置，列表为空 pager lines 24 // 每24行分页 clock timezone CST 8 //时区配置 mtu outside 1500 //以太网标准的MTU长度 timeout xlate 3:00:00 //某个内部设备向外部发出的ip包经过翻译(global)后，在缺省3个小时之后此数据包若没有活动，此前创建的表项将从翻译表中删除，释放该设备占用的全局地址 timeout uauth 0:05:00 absolute //AAA认证的超时时间，absolute表示连续运行uauth定时器，用户超时后，将强制重新认证 aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius //AAA服务器的两种协议。AAA是指认证，授权，审计。Pix防火墙可以通过AAA服务器增加内部网络的安全 。 …… 接口配置 I接口配置 I外网出口： interface GigabitEthernet1/1 //外口接口 no shutdown //必须开启，关闭为shutdown description “To DCN8F-7609 g3/15“ //接口描述 media-type sfp //接口介质类型，sfp/rj45两种可 选，逻辑端口复用 nameif outside //接口名称 security-level 0 //接口区域定义，范围0~100，数值 越小，安全级别越低 speed nonegotiate //关闭速率自协商功能 ip address 134.64.104.1 255.255.255.248 //IP地址定义 内网入口： interface GigabitEthernet1/0 description "To AH-ISMP-7750SR7 g1/1/2" media-type sfp nameif inside security-level 100 //接口区域定义，100为最高安全区 ip address 172.18.128.17 255.255.255.248 接口配置 II接口配置 IIDMZ接口： interface GigabitEthernet1/2 //DMZ区接口 description “To Cisco3750 g3/1 “ media-type sfp nameif dmz security-level 50 //定义50为DMZ区 ip address 192.168.0.1 255.255.255.0带外管理口： interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-onlyNAT配置 INAT配置 I网络地址翻译（NAT）作用是将内网的私有IP转换为外网的公有IP。NAT跟路由器基本是一样的，首先必须定义global IP Pool，提供给内部IP地址转换的地址段，接着定义内部需要转换的网段。 Nat命令必须与global命令一起使用。 Nat命令 指定一台主机或一段范围的主机可以访问外网。这些主机私有地址将转换为global命令定义的公有IP。 nat命令配置语法：nat (if_name) nat_id local_ip [netmark] 其中（if_name）表示内网接口名字，例如inside。 Nat_id用来标识全局地址池，使它与其相应的global命令相匹配，local_ip表示内网被分配的ip地址。[netmark]表示内网ip地址的子网掩码。 Global命令 定义内部私有地址需要转化为的公有IP或IP池。多台内部主机公用一个公有IP，此转化亦称为PAT（端口转换），PAT是NAT的特例。 global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask] 其中（if_name）表示外网接口名字，例如outside。Nat_id用来标识全局地址池，使它与其相应的nat命令相匹配，ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表示全局ip地址的网络掩码。 NAT配置 IINAT配置 II例: global (outside) 1 interface //使用外网接口地址作为转换后的公网IP（PAT） global (outside) 10 61.144.51.42-61.144.51.48 //防火墙将使用61.144.51.42-48这段ip地址池为要访问外网的主机分配一个全局ip地址 global (outside) 20 61.144.51.42 //使用61.144.51.4这个单一公网IP （PAT） nat (inside) 1 0.0.0.0 0.0.0.0 //表示启用nat,内网的所有主机都可以访问 外网，用0可以代表0.0.0.0 nat (inside) 10 172.16.5.0 255.255.0.0 //表示只有172.16.5.0这个网段 内的主机可以访问外网。 no global (outside) 20 61.144.51.42 //删除配置表项路由配置路由配置定义静态路由：防火墙需要配置缺省路由以及内网、DMZ区的回程路由。ASA5500系列亦支持OSPF等路由协议。视情况使用。 route命令配置语法：route (if_name) 0 0 gateway_ip [metric] 其中（if_name）表示接口名字，例如inside，outside。Gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。 例． route outside 0.0.0.0 0.0.0.0 134.64.104.2 1 //表示一条指向边界路由器（ip地址34.64.104.2）的出口缺省路由 route inside 172.18.128.0 255.255.128.0 172.18.128.18 1 //表示一条指向内部网络的回程路由 注：如果内部网络或DMZ区只有一个网段，设置一条回程路由即可；如果内部或DMZ区存在多个网络，回程路由需要包括全部网段。静态地址映射（static ）静态地址映射（static ） Static 把一个内部地址及端口映射成一个指定的公网IP及端口亦称为静态端口重定向(Port Redirection with Statics)，允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到指定的内部服务器。常作为发布内部WWW、FTP、Mail等服务器使用。这种方式并不是直接连接，而是通过端口重定向，使得内部服务器很安全。配置语法： static [(internal_if,external_if) ]{tcp|udp}{global_ip|interface} local_ip [netmask mask][max_cons[max_cons[emb_limit[norandomseq]]] 其中internal_if 表示内部网络接口，安全级别较高，如inside。 external_if 为外部网络接口，安全级别较低，如outside等。outside_ip为正在访问的较低安全级别的接口上的ip地址。 例. static (inside,outside) 134.64.104.10 172.18.129.10 netmask 255.255.255.255 static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0 访问控制列表（ACL）I访问控制列表（ACL）I Access-list 此功能与Cisco IOS基本上是相似的，也是防火墙的主要部分之一，有permit和deny两个功能，网络协议一般有IP|TCP|UDP|ICMP等等。定义访问控制列表，可控制各区域之间的访问。顺序匹配执行，列表最后一句默认规则仍然为deny all。配置语法： access-list acl_id [standard/extended] [permit/deny] protocol_number src_ip src_ip_netmask dst_ip dst_ip_netmask standard列表只有目的主机和网络可匹配参数 例. access-list 111 extended permit ip any host 222.20.16.254 eq www access-list 111 extended permit ip 134.64.0.0 255.224.0.0 134.64.104.0 255.255.255.0 log access-list 111 extended permit icmp any any 访问控制列表（ACL）II访问控制列表（ACL）II Access-group命令 应用访问控制列表，一般将其绑定在接口上。 配置语法： access-group name extended [permit/deny] outside_ip inside_ ip 其中internal_if 表示内部网络接口，安全级别较高，如inside。 external_if 为外部网络接口，安全级别较低，如outside等。outside_ip为正在访问的较低安全级别的接口上的ip地址。inside_ ip为内部网络的私有ip地址。 例： access-group 222 in interface inside access-group 111 in interface outside access-group 111 in interface management //in为输入流向，out为输出流向。一般应用在input traffic。 Policy配置 Policy配置 1）根据数据流特性区分定义流类（class-map） 可基于ACL、IP、port、IP precedence等参数定义。 例. class-map 111 //class-map name match access-list 111 //匹配参数条件 2）定义策略（policy-map） policy-map 2222 //策略名 class 111 //类匹配 police 100000 //定义限速策略， Bits per second inspect icmp error //定义检测icmp error的策略 3）应用策略 service-policy 3333 global //定义一个全局策略 service-policy 2222 interface inside //策略只绑定在内部区域 双机冗余配置I双机冗余配置I Failover 概念及分类 Cisco ASA5500系列的双机冗余配置比以前的PIX系列有了明显的改进。主防火墙进行业务的转发，而从防火墙处于监控状态，同时主防火墙会定时通过心跳链路向从防火墙发送状态信息和需要备份的信息，心跳链路上传递的信息包括：设备的当前状态、电源状态、Hello信息包、 配置同步等等。当主防火墙出现故障后，从防火墙会及时接替主防火墙上的业务运行。参考案例如下：Primary Unit ASA5510_1 Outside g1/1 134.64.104.4/29Secondary Unit ASA5510_2Cisco3750-48G Vlan10 g1/0/49 -50 134.64.104.1/29Failover e0/3: 192.168.254.1 192.168.254.2 State e0/2: 192.168.253.1 192.168.253.2 Inside g1/0 172.18.128.49/29Vlan10 g1/0/1 172.18.128.53/29 Hsrp:172.18.128.50Vlan10 g1/0/1 172.18.128.54/29 Hsrp:172.18.128.50f1/0/19 trunk双机冗余配置II双机冗余配置II1）常规Failover（Regular Failover）：发生Failover事件时，所有当前活动的连接都会丢弃，用户需要重新刷新连接。 2）全状态Failover（Stateful Failover）：在双机正常工作时，Active设备不断地把连接的状态信息发送给standby设备。当failover事件发生时，由于在新的Active设备上已经有了这些连接状态信息，所以用户不用重新连接就能继续通讯。设备传递的状态信息包括： NAT表 、TCP连接状态 、H.323, SIP, MGCP UDP等连接 。 Failover的实现方式： 1）LAN failover：ASA5500系列基于以太网的 failover为必配项，可以使用两设备上任意未占用的同类型以太口直接互联，但仅使用lan failover为常规failover。 2）State Link ：在全状态Failover中，需要使用一个以太连接(Ethernet link)来传递状态信息。两设备的state link端口直接相连。推荐和lan failover使用不同链路。双机冗余配置III双机冗余配置III Failover双机冗余配置步骤 1）两台防火墙的lan failover和state link端口分别物理互联 2）配置主防火墙 interface Ethernet0/2 //lan failover使用端口 description STATE Failover Interface //该描述会自动添加，不用配置 no shut //打开端口 interface Ethernet0/3 //state link使用端口 description LAN Failover Interface //该描述会自动添加 no shu 双机冗余配置IV双机冗余配置IV failover on //打开服务 failover lan unit primary //指定该防火墙为主防火墙 failover lan interface failover Ethernet0/3 //指定lan failover所用端口 failover key ismp //指定通信的认证key，如果配置两台必须配置相同 failover link state Ethernet0/2 //指定 state link 所用端口 failover interface ip failover 192.168.254.1 255.255.255.0 standby 192.168.254.2 //指定lan failover的主备通讯地址 failover interface ip state 192.168.253.1 255.255.255.0 standby 192.168.253.2 //指定state link的主备通信地址，此处地址可变，网内唯一即可，不影响其他 任何业务 双机冗余配置V双机冗余配置V 3）配置从防火墙 （除以下配置外，从防火墙不需要其他任何预配置） interface Ethernet0/2 //激活lan failover端口 no shutdown interface ethernet0/3 //激活state link 端口 no shutdown failover on //打开服务 failover lan unit secondary //指定该防火墙为从防火墙 failover lan interface failover ethernet0/3 //指定lan failover端口 failover key ismp //指定通信key，两台配置必须相同，亦可不配置 failover link state Ethernet0/2 //指定state link 端口 failover interface ip failover 192.168.254.1 255.255.255.0 standby 192.168.254.2 failover interface ip state 192.168.253.1 255.255.255.0 standby 192.168.253.2 //指定state link的主备通信地址。此处地址不影响其他任何业务 双机冗余配置VI双机冗余配置VI 关于配置同步 1） 当standby设备完成初始化启动时，会自动从active设备同步配置；如果两设备的startup-config不同，在设备启动后，Secondary设备会根据Primary设备的running-config同步自己的running-config； 2）在Active设备上输入的指令会立刻被同步到Standby设备上；在Standby设备上输入的指令也会被同步到Active设备； 3）配置同步改变running-config，不会把配置存到Flash memory中； 但在active设备上输入write memory命令时，standby设备将把配置写入Flash memory；在active设备上输入write standby命令时，standby设备会从active设备同步配置。 双机冗余配置VII双机冗余配置VII检查双机启动状态 用sh failover命令查看双机的启动、主备、链路、数据流传输等情况是否正常。 检查配置同步情况 检查主备机的配置是否同步的，可以通过比较配置来实现 检查双机切换对业务的影响 切断主机上行或下行连接，观察主备状态切换及内外网通断情况，优化failover参数以达到更好效果。例： failover polltime unit msec 600 holdtime 4 failover polltime interface 3 内容内容 防火墙基础知识 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型组网方式 ASA5510防火墙配置规划 ASA5510防火墙配置步骤 ASA5510防火墙的维护 ASA5510防火墙的维护ASA5510防火墙的维护Cisco ASA7.0及更高版本的维护基本上类似于Cisco IOS。 #show run //查看配置信息 #write memory //保存配置 #show version //查看各种设备软硬件信息 #show cpu #show memory #sh processes memory #show route //查看路由表信息 #show traffic //查看流量信息 #show failover //查看双机运行状态 #show interface ip brief //查看接口信息 #debug icmp trace //跟踪显示icmp信息 #debug …… null谢 谢!