Мне интересно узнать, каковы передовые методы установки ограничений и политик на ASA для защиты устройства для поддержки обслуживания при использовании в качестве многопользовательского межсетевого экрана. Например, после нескольких недавних инцидентов со взломом серверов у нас теперь есть ограничения пропускной способности и ограничения на соединения для всех интерфейсов.
В этом сценарии предпочтительнее, чтобы один арендатор столкнулся со стеной, а не все клиенты отключились из-за перегрузки или ограничений лицензии.
редактировать
Рассматриваемый ASA - это пара 5525-X в отказоустойчивом HA, работающая под управлением ASA9.0 (1), но было бы хорошо знать общие ответы для любой платформы ASA.
В мульти-контекстном режиме (вы не сказали, но мульти-арендатор => мульти-контекст будет разумным) вы можете распределять ресурсы по контексту. Они могут быть как процентными, так и абсолютными ограничениями и охватывать множество ресурсов - одновременные соединения, сеансы ipsec ...
В какой-то момент времени, которое брандмауэр тратит на определение того, превысил ли арендатор свое выделение, будет достаточно, чтобы замедлить его для всех, хотя при действительно серьезном количестве входящих подключений.