Contents

ASA Security-Context

   Mar 10, 2023     3 min read

Security-Context

  • 하나의 물리적 방화벽 장비를 다수의 논리적 방화벽으로 나눠서 사용하는 것을 의미한다.
  • 방화벽의 모델과 라이센스에 따라서 사용할 수 있는 가상 방화벽의 숫자가 다르다. (0개부터 최대 255가지 지원)
  • 각각의 ‘논리적 방화벽(Context)’은 서로 독립된 장비처럼 동작하고 다른 Context에게 영향을 주지 않는다.

사용 목적

  • 하나의 방화벽 장비를 다수의 고객 혹은 조직이 공유하면서 각각 다른 보안 정책을 구성하는 경우
  • 방화벽 이중화 구성시 Active/Active 방식으로 구성하는 경우

제한점

  • Dynamic Routing Protocol 지원X
  • VPN 지원X
  • Multicast X

실습 전 확인

  • # show mode 했을 때,
    single -> Security-Context 사용 X
    multiple -> Security-Context 사용 O

ASA)

(config)# mode multiple



명령어 입력 후 자동으로 재부팅,
재부팅 완료 후 # show mode 명령어 확인.

사진첨부

사진첨부

  • 현재 방화벽에 존재하는 논리적 방화벽(Context) 확인
  • Admin context의 경우 관리자가 별도로 생성하지 않아도 기본적으로 존재한다.
  • 만약 Admin Context가 확인되지 않는 경우 다음과 같이 관리자가 수동으로 생성해야 한다.

-Admin Context 수동 생성

admin-context admin
context admin
config-url admin.cfg
exit



Security-Context 기본 구성

사진첨부

방법

Switch)

int g0/1
switchport mode access
switchport access vlan 10

int g0/2
switchport mode access
switchport access vlan 20

int g0/0
switchport trunk encapsulation dot1q
switchport mode trunk



ASA)

mode multiple

int e0
no shutdown

int e0.10
vlan 10

int e0.20
vlan 20

int e1
no shutdown



Step 01.

사진첨부

방법

ASA)

context c1
allocate-interface e0.10
allocate-interface e1
config-url c1.cfg
exit

context c2
allocate-interface e0.20
allocate-interface e1
config-rul c2.cfg
exit

change context c1
ASA/c1# show interface ip brief
ASA/c1# changeto context c2

ASA/c2# show interface ip brief
ASA/c2# changeto context admin

ASA/admin# show interface ip brief

ASA/admin# changeto context system

show interface ip brief



Step 02.

ASA-c1)

changeto context c1

interface e0.10
nameif inside
security-level 100
ip address 192.168.10.1 255.255.255.0

interface e1
nameif outside
security-level 0
ip address 211.175.185.1 255.255.255.0
mac-address 0000.0000.1111

show route

ping 192.168.10.11
ping 211.175.185.3



ASA-c2)

changeto context c2

interface e0.20
nameif dmz
security-level 50
ip address 192.168.20.1 255.255.255.0

interface e1
nameif outside
security-level 0
ip address 211.175.185.2 255.255.255.0
mac-address 0000.0000.2222

show route

ping 192.168.20.22
ping 211.175.185.3



결과

사진첨부

사진첨부

사진첨부

사진첨부

사진첨부

Step 03.

사진첨부

방법

ASA-c1)

changeto context c1

route outside 3.0.0.0 255.0.0.0 211.175.185.3
route inside 1.0.0.0 255.0.0.0 192.168.10.11

object network c1_nat
subnet 1.0.0.0 255.0.0.0
nat (inside,outside) dynamic interface



ASA-c2)

changeto context c2

route outside 3.0.0.0 255.0.0.0 211.175.185.3
route dmz 2.0.0.0 255.0.0.0 192.168.20.22

policy-map global_policy
class inspection_default
inspect icmp



결과

사진첨부

사진첨부

참고

  • 모든 context 한 번에 저장
changeto system
write memory all