防火墙多模式
概述
Multiple mode , 多模式,是防火墙的一种虚拟化技术,类似 MPLS 里面的 VRF,可以将一台防火墙虚拟成多台防火墙。
原理
多模式的每一个虚拟防火墙有独立的路由表、独立的协议、独立的接口、独立的转发策略……
不同虚拟防火墙之间是互相隔离的,一般应用在 IDC 运营商环境,可以给租户提供更加安全的防护措施,与此同时,也可以节省 IDC 运营商的成本。
部署
1、mode multiple //修改为多模式
2、创建实例
admin-context admin
context admin
config-url flash:/admin.cfg //管理实例的配置放入 flash 中
context virtual1
allocate-interface Ethernet0
allocate-interface Ethernet3
config-url flash:/virtual1.cfg //将配置放在不同位置以区分不同实例
context virtual2
allocate-interface Ethernet2
allocate-interface Ethernet3
config-url flash:/virtual2.cfg
3、切换到不同的实例做不同的配置
changeto context virtual1
changeto context system //切换回全局
为子接口配置地址前需要将父接口打卡
changeto context virtual1
interface e0
no shutdown
nameif inside
security-level 100
ip address 192.168.1.254 255.255.255.0
interface e3
no shutdown
nameif outside
security-level 0
ip address 100.1.1.254 255.255.255.0
fixup protocal icmp
route outside 0.0.0.0 0.0.0.0 100.1.1.3
access-list PAT permit ip 192.168.1.0 255.255.255.0 any
nat (inside) 1 access-list PAT
global (outside) 1 interface
write