6.5 虚拟防火墙的管理访问
Cisco防火墙
在学习了如何将防火墙的操作模式从单防火墙模式修改为多防火墙模式,并介绍了虚拟防火墙的一些设置之后,在下面的内容中,本书会着重介绍虚拟防火墙的管理访问。
在前面的一节中,本书已经介绍了系统分区和admin-context对于访问物理成份的重要作用。那一节也介绍了命令changeto context可以让授权用户访问admin-context以查看(并修改)所有普通虚拟防火墙的配置信息。虽然这已经可以满足大多数环境的管理需求,但是在有些情况下,直接访问某一个普通虚拟防火墙也是十分重要的。下面是两类需要直接访问某一个虚拟防火墙的情形。
分配给服务提供商某一个客户的虚拟防火墙:客户可以访问他们自己的普通虚拟防火墙,同时不会访问到其他任何的虚拟防火墙。
分配给企业中某一个部门的虚拟防火墙:有一个管理组负责设置虚拟防火墙并为它们分配相应的接口及资源。此后,每个部门都需要创建并管理它们各自的参数(ACL、NAT、监控规则、路由策略等)。
图6-6所示为一台ASA设备的ASDM系统查看界面,可以看到这台ASA上配置了多个虚拟防火墙。该图分别显示了各个虚拟防火墙的接口状态、CPU、内存和连接等信息。
在图6-7所示的ASDM界面中,可以看到与该ASA设备上配置的虚拟防火墙有关的汇总信息。该图基本上就是(在系统分区中执行)show context命令的图形界面版输出信息。
图6-8所示为ASA设备上一个名为LAB2的虚拟防火墙上配置的防火墙规则表。图中所示为一个特权用户被许可(穿越admin虚拟防火墙)从远程访问系统分区并在各虚拟防火墙之间切换。
图6-9所示为用户直接访问ASA上某一虚拟防火墙的ASDM界面。这需要管理员在相应虚拟防火墙中设置特定的管理参数才能实现(与我们在第3章中介绍物理防火墙时的方式类似)。在ASDM界面中使用CLI工具可以查看以下内容:
命令show context显示出这就是虚拟防火墙LAB2。
通过命令changeto context admin尝试访问admin-context的结果,说明在一台普通的虚拟防火墙上是无法通过该命令访问admin-context的。这与尝试通过Telnet或SSH命令进行访问的结果别无二致。