思科有一个很好的文档，描述了您的确切场景：

为冗余或备份 ISP 链路配置 ASA

本文档介绍如何配置 Cisco ASA 5500 系列自适应安全设备 (ASA) 以使用静态路由跟踪功能，以使设备能够使用冗余或备份互联网连接。

回顾：因此，您有两个独立的防火墙，每个防火墙都具有 Internet 连接。您希望用户转到主要防火墙并使用主要 ISP，除非它关闭，在这种情况下，您希望用户转到第二个防火墙并使用第二个 ISP。是对的吗？

我能想到的唯一方法就是使用第 3 层核心交换机。您将配置指向备用 ASA 的浮动静态路由（管理距离极远的静态路由）。然后，您将在主 ASA 和核心交换机之间建立动态路由协议。可能是 OSPF 或 EIGRP。然后，您将在主防火墙上配置 IP SLA 以跟踪 Internet 上的 IP 地址，并在 Internet 启动时将默认路由注入 OSPF 或 EIGRP。这种动态路由将比静态路由更受欢迎。

这将导致您的核心交换机始终将流量发送到主 ASA 并发送到互联网。如果主 ISP 出现故障，则跟踪的 IP 地址将失败，默认路由将从 OSPF 或 EIGRP 中删除。然后，核心交换机安装指向第二个 ASA 的次优静态路由。然后，用户会走出第二个ISP。

但说实话，你不应该这样做。几乎任何两个 ASA 可以做的事情，也可以只用一个 ASA 来完成。如果我是你的话，我会将两个互联网电路放入一个 ASA 并按照 Ron 发布的文档进行操作。然后，我将使用第二个 ASA 并使其成为主防火墙的故障转移伙伴（如果硬件相同）。那么您将不需要 OSPF 或 EIGRP，并且您将拥有独立于您的硬件冗余的互联网冗余！