深度剖析思科ASA多环境模式的优缺点

ZDNet安全频道原创翻译 转载请注明作者以及出处

在本文中，洛里·海德将对思科自适应安全设备（ASA）多环境安全模式或多环境模式的使用条件进行说明，让大家了解什么时间应该使用它，什么时间不应该选择它。
--------------------------------------------------------------------------------------------

　　思科ASA提供的多防火墙环境模式，也可以被称作多防火墙模式。在选择部署这种模式前，我们需要进行全面的分析，了解它的优缺点。

　　多环境模式可以被看着在同一台硬件设备上包含了多种不同的(虚拟)防火墙。每一种环境下，都包含了独立的安全实体，拥有单独的安全策略和使用环境。尽管，思科ASA中的大多数功能都是支持在多环境模式下使用的，但也有一部分功能不属于这样的情况。

　　什么时间应该使用多环境安全模式?

　　· 如果你希望使用双主机故障自动切换功能的话。请务必记住，在双主机故障自动切换的时间，你不能使用半数以上的可用带宽。

　　· 如果你属于互联网服务提供商并且需要为每个客户提供不同的安全环境的话。

　　· 如果你需要为不同的部门、用户或者供应商提供不同的安全策略的话，就需要为它们创建单独的环境。

　　· 如果你希望将数量众多功能各异的防火墙整合为一个，降低硬件方面的需求的话。

　　什么时间不应该使用多环境安全模式?

　　· 如果你需要提供远程访问或者点对点的虚拟专用网连接之类的虚拟专用网服务的话。

　　· 如果你需要使用动态路由协议的话。因为在多环境模式下，你只能使用静态路由。

　　· 如果你希望使用服务质量(QoS)技术的话。

　　· 如果你需要支持组播路由的话。

　　· 如果你需要提供威胁检测技术的话。

　　防火墙管理

　　表面上看起来，一个防火墙是比多个防火墙更容易进行管理。而且，在你了解了单环境模式和多防火墙配置之间的主要区别后，就会相信这确实是真的。

　　在多环境安全模式下，并没有包含单独的配置文件，而是有三种不同类型的配置文件：

　　· 系统配置就是启动配置，和标准单环境模式下的配置文件类似，只是没有包含网络接口，而是采用了一个专门的容错接口。对于网络管理员来说，系统配置就是对安全环境进行调整和管理的地方。

　　· 环境管理功能是不受限制的，可以在所有的安全环境下使用。只要以admin的身份登陆，就可以看到所有安全环境的情况，并且可以对包括系统配置在内的信息进行管理。为了保持工作，环境管理功能必须驻留在快闪记忆体中。

　　· 环境配置功能是为每个单独的安全环境而创建的。这些配置包含了安全策略、接口配置等方面的信息。它们只在单独的环境中发挥作用。

　　还有一个区别是数据包的分类方式。在多环境配置下，在环境之间接口可以实现共享，因此，ASA可以将相应的数据包发送到对应的环境中。ASA在对数据包进行分类的时间，可以依据各种标准，举例来说，MAC地址、目的地址或NAT映射作为参数都是可行的。根据网络的实际情况，你可以需要指定一个唯一的MAC地址作为共享的接口，以减轻路由方面的压力，但这会让防火墙管理变得更复杂一点。

　　需要注意的一些其它问题

　　当在单环境模式和多环境模式之间进行转换的时间，必须通过命令行界面运行命令来实现，而不能通过ASA管理器提供的图形用户界面进行处理。当从单环境模式进行多环境模式的时间，ASA将会把运行配置分成两个文件，创建一个新的启动配置(系统配置)和管理环境文件(admin.cfg)。原有的启动配置将不会保留，但原有的运行配置将保存为old_running.cfg 文件。

　　在默认情况下，所有的安全环境在使用ASA的资源时都不会遇到任何限制。但考虑到实际环境的不同，你可能会发现需要对资源进行管理，以防止一些环境大量占用资源导致其他环境受到影响这种情况的出现。这时，就需要对资源进行配置，限制使用的环境。

　　在某些情况下，多环境模式可以提供一些独特的优势，但在实施相关的解决方案时，你需要对需求进行仔细分析。多环境模式也是存在缺点的，尽管管理的设备数量可能下降，但对设备进行配置操作的工作量却是上升的。