Cisco ASA 能否成为另一个公共 IP 的防火墙?

网络工程 思科 防火墙
2021-07-31 21:52:16

思科的新手,想知道我的 ASA 5506-X(9.5 版)是否可以实现一个想法。

ASA 具有(例如)为 zzz3 的公共/外部 IP。目前,它正在为我的内部 LAN 执行 SNAT,处理站点到站点 VPN 等(我相信在 Cisco 术语中它称为 PAT。)

我有另一台机器,我们将其称为主机 X。它在与 ASA 相同的子网上也有一个公共 IP (zzz4)。下图显示了当前的设置方式。

显示路由器连接到 ASA 和“主机 X”的网络图

我的问题是:
我可以让 ASA 成为主机 X 的防火墙,并具有以下限制吗?

  • 主机 X 必须保留它的公共 IP(我没有对主机 X 的管理员访问权限)
  • 我在 ASA 上有额外的空物理接口。
  • ASA 必须能够继续为内部 LAN 执行源 NAT,以便它们能够访问 Internet。
  • ASA 必须保留其当前的外部 IP 地址,以便它可以继续作为站点到站点 VPN(未图示)的终结点。

这样我就可以使用 ASA 访问列表来锁定对主机 X 的访问,而不是依赖主机 X 的防火墙。我知道在 Linux 上这种事情会很容易,但我无法完全理解 ASA 应该如何配置。

2个回答

是的,ASA 可以作为另一个公共 IP 的防火墙。

为路由器上的 host_x 写一条指向防火墙的特定路由,同样将 host_x 上的默认网关更改为指向防火墙 IP zzz3 

Router(config)# ip route z.z.z.4 255.255.255.255 z.z.z.3

此外,您需要same-security-level intra-interface traffic在防火墙上启用命令命令。

这样,您就可以通过防火墙上连接到交换机的接口上定义的访问列表来控制来回流量。

我知道更改 host_x 中的默认网关需要管理员访问权限。我认为所有场景都需要更改 host_x 上的默认网关。

您可以使用多上下文模式,内部有 2 个实例,一个用于您当前的配置,第二个用于 ip-less 的透明防火墙模式。您可以在这里阅读:http : //www.cisco.com/c/en/us/td/docs/security/asa/asa91/configuration/general/asa_91_general_config/ha_contexts.html

小心,不要忘记备份您的配置。

其它你可能感兴趣的问题
上一篇DSL 测试中的“Tx Power”是什么意思? 下一篇同时分配 ULA 和全局地址