Назад | Перейти на главную страницу

Защита ASA в многопользовательской среде

Мне интересно узнать, каковы передовые методы установки ограничений и политик на ASA для защиты устройства для поддержки обслуживания при использовании в качестве многопользовательского межсетевого экрана. Например, после нескольких недавних инцидентов со взломом серверов у нас теперь есть ограничения пропускной способности и ограничения на соединения для всех интерфейсов.

В этом сценарии предпочтительнее, чтобы один арендатор столкнулся со стеной, а не все клиенты отключились из-за перегрузки или ограничений лицензии.

редактировать

Рассматриваемый ASA - это пара 5525-X в отказоустойчивом HA, работающая под управлением ASA9.0 (1), но было бы хорошо знать общие ответы для любой платформы ASA.

В мульти-контекстном режиме (вы не сказали, но мульти-арендатор => мульти-контекст будет разумным) вы можете распределять ресурсы по контексту. Они могут быть как процентными, так и абсолютными ограничениями и охватывать множество ресурсов - одновременные соединения, сеансы ipsec ...

В какой-то момент времени, которое брандмауэр тратит на определение того, превысил ли арендатор свое выделение, будет достаточно, чтобы замедлить его для всех, хотя при действительно серьезном количестве входящих подключений.