启用ASA和PIX上的虚拟防火墙
前言
有鉴于许多读者纷纷来信与Ben讨论防火墙的相关设定，并希望能够针对近两年防火墙的两大新兴功能：虚拟防火墙(Virtual Firewall or Security Contexts) 以及通透式防火墙(Transparent or Layer 2 Firewall) ，多做一点介绍以及设定上的解说，是以Ben特别在本期以Cisco的ASA，实做一些业界上相当有用的功能，提供给各位工程师及资讯主管们，对于防火墙的另一种认识。

再者，近几期的网管人大幅报导资讯安全UTM方面的观念，显示网路安全的需要与日遽增，Cisco ASA 5500为一个超完全的UTM，这也是为什么Ben选择ASA，来详细的介绍UTM的整体观念。

本技术文件实验所需的设备清单如下：
1Cisco PIX防火墙或是ASA (Adaptive Security Appliance) 网路安全整合防御设备。

本技术文件实验所需的软体及核心清单如下：
2Cisco PIX或是ASA 5500系列，韧体版本7.21，管理软体ASDM 5.21。

3Cisco 3524 交换器。

本技术文件读者所需基本知识如下：
4VLAN协定802.1Q。

5路由以及防火墙的基础知识。

6Cisco IOS 基础操作技术。

什么是虚拟防火墙跟通透式防火墙
虚拟防火墙(Virtual Firewall or Security Contexts)：
就一般大众使用者而言，通常买了一个防火墙就只能以一台来使用，当另外一个状况或是环境需要防火墙的保护时，就需要另外一台实体的防火墙；如此，当我们需要5台防火墙的时候，就需要购买5台防火墙；虚拟防火墙的功能让一台实体防火墙，可以虚拟成为数个防火墙，每个虚拟防火墙就犹如一台实体的防火墙，这解决了企业在部署大量防火墙上的困难，并使得操作及监控上更为简便。

通透式防火墙(Transparent or Layer 2 Firewall)：
一般的防火墙最少有两个以上的介面，在每个介面上，我们必须指定IP位址以便让防火墙正常运作，封包到达一个介面经由防火墙路由到另一个介面，这种状况下，防火墙是处在路由模式(Routed mode)；试想，在服务提供商(Internet Service Provider) 的环境中，至少有成千上万的路由器组成的大型网路，如果我们要部署数十个以上的防火墙，对于整体网路的IP位址架构，将会有相当大的改变，不仅容易造成设定路由的巨大麻烦，也有可能会出现路由回圈，部署将会旷日费时，且极容易出错。

举例来说，如果有两个路由器A及B，我们想在A跟B之间部署路由模式的防火墙，必须重新设计路由器介面的IP位址，以配合防火墙的IP位址，另外，如果路由器之间有跑路由通讯协定(ie. RIP、OSPF、BGP等)，防火墙也必须支援这些通讯协定才行，因此相当的麻烦；通透式防火墙无须在其介面上设定IP 位址，其部署方式就犹如部署交换器一样，我们只需直接把通透式防火墙部署于路由器之间即可，完全不需要烦恼IP位址的问题，因此，提供此类功能的防火墙，亦可称为第二层防火墙。

一般而言，高级的防火墙(Cisco、Juniper等)都支援这些功能；就Cisco的ASA 或是PIX而言(版本7.0以上)，都已支援虚拟防火墙以及通透式防火墙这两个功能。

如何设定虚拟防火墙(Security Contexts)
在Cisco的防火墙中，有些专有名词必须先让读者了解，以便继续以下的实验及内容。

专有名词解释
Context ASA/PIX在虚拟防火墙的模式下，每一个虚拟防火墙就可以称为一个context。

System context 这一个context是用来设定每一个虚拟防火墙所能使用的资源，例如所能使用的介面以及CPU资源等，而不会让某一个context过度使用系统资源，另外，提供给防火墙管理员一个集中式且阶层性的管理；此context 并不能被用来当成防火墙使用。

Administration context (admin-context) 可以被用来当成虚拟防火墙使用，除此之外，只有此context才有权限，这个context并不受授权的限制内。

Context <虚拟防火墙的名称> 一般的虚拟防火墙，并没有对于防火墙硬体有任何的设定权限，只能设定该虚拟防火墙内的设定。

接下来读者们可以在EXEC的模式下，下达『show version』指令而得知该ASA/PIX能够支援多少个contexts，以下的范例显示了该设备最多支援了5个contexts。

在八月份的网管人杂志中，Ben已经详细的介绍ASA/PIX的初始过程，通常来说，如果没有特殊设定的话，预设的防火墙模式为单一模式(Single Mode)，因此，我们必须熟悉一些指令来转换以及显示模式；在EXEC模式下，下达指令show mode即可以显示目前是处于单一模式(Single Mode) 或是虚拟模式
(Multiple Mode)。

如果要转换模式的话，必须进入Configuration Mode下达mode的指令；以下的例子显示了由单一模式转换到虚拟模式，经过两次的确认(confirm) 后，必须重新启动ASA/PIX以便让功能即时生效。

重新开机后，进入EXEC模式检视目前的模式，应该为虚拟模式了。

如何设定通透式防火墙
通透式防火墙的设定也是相当的简单，ASA平台是可让通透式的功能跟虚拟防火墙的功能并存，刚刚读者们已经将ASA5510转换成为Multiple模式了，这里请特别注意，启动通透式功能的时候，因为原本的contexts设定内容已经不符合通透式功能的需求，因此会把所有的contexts移除，所以，我们必须在转换通透模式后，再一一加入每个虚拟防火墙(context)；另外，转换通透或是路由模式，不需要重新启动防火墙设备即可生效。

现在，Ben已经把ASA5510设成虚拟及通透模式，接下来，让我们来建立几个虚拟的通透式防火墙；首先我们先来看看目前的设定内容，并没有设定任何IP
位址，因此我们必须建立一个IP位址，以便让我们使用ASDM来设定ASA5510。

我们可以在EXEC模式下，下达show context指令显示是否有context存在于此防火墙中，目前看来并没有任何的context。

在建立任何一个一般虚拟防火墙之前，admin-context必须先存在，所以让我们来建立名为admin的admin-context，以及5个通透式虚拟防火墙，依序命名为geego1、geego2、geego3、geego4、geego5。

每个虚拟防火墙都需要有其独立的设定档，但是在建立每个虚拟防火墙的设定档
前，要先配置介面给各个虚拟防火墙，因为目前防火墙为通透虚拟模式，在有限的实体介面限制下，ASA/PIX的介面提供了802.1Q通讯协定的支援，在显示授权的指令输出中，我们已知道此ASA可以设定25个VLANs，因此，Ben会建立12个VLANs，VLAN ID各为6、10、20、30、40、50、66、100、200、300、400、500，VLAN ID 6为admin的对外VLAN，VLAN ID 66为admin的内部VLAN，VLAN ID10的是geego1的外部VLAN ，VLAN ID100的是geego1的内部VLAN，其他context以此类推；因此，我们必须建立相关的VLAN介面在ASA平台上。

并且对每个VLAN介面设定相关的VLAN ID，如此，Ethernet0/3就会以802.1Q 的通讯协定方式与交换器沟通。

接下来，Ben就必须做两件事，1）对每个虚拟防火墙建立设定档。

2) 把刚刚建立的VLAN介面，分配到所有的虚拟防火墙上。

虽然我们设定了每一个context的组态档案名称及位置，但是到目前为止，这些档案必不存在于储存设备disk0:上，所以，我们还必须让这些档案建立出来，我们先以虚拟防火墙geego1为例，首先让我们先进入context system，然后下达『changeto context …』的指令把直接进入geego1虚拟防火墙，然后下达指令write来储存设定档，如此，我们就产生出一个在disk0:下名为geego1.cfg的组态档。

其他context的组态档设定，请各位读者根据上述的方式迳行设定。

再来Ben就要把所有的VLAN介面关连到相关的VLAN ID，接着再开始分配介面给各个context。

我们现在来看看如何在指令模式下切换system context及其他的contexts，在这里，我们用admin context来做一个范例。

进入admin context以后，我们就可以看到刚刚我们所配置给他的介面出现在admin context的设定中。

到此为止，我们已经完成了各个通透视虚拟防火墙的设定了。

各位读者可以在交换器连接到防火墙的连接埠上，下达802.1Q相关设定，以Cisco的交换器而言，我们可以先建立所有在防火墙上的VLAN ID，然后进入连
接埠设定介面下达802.1Q的指令。

在EXEC模式下，下达vlan database指令进入设定VLAN的命令提示字元（prompt），建立所需的VLAN。

再下达指令sh vlan brief即可看出刚刚建立的VLAN了。

在进入连接埠设定命令提示字元，下达802.1Q的相关指令就完成了交换器的设定。

再来使用Ethernet cable连接交换器及防火墙就可使两台设备互相沟通。