思科自适应安全虚拟设备 (ASAv) 快速入门 指南
Bias-Free Language
The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
About Translation
Cisco may provide local language translations of this content in some locations. Please note that translations are provided for informational purposes only and if there is any inconsistency, the English version of the content will prevail.
- Updated:
- 2017年7月16日
Chapter: 在 Microsoft Azure 云上部署 ASAv
在 Microsoft Azure 云上部署 ASAv
您可以在 Microsoft Azure 云上部署 ASAv。
- 关于 Microsoft Azure 云上的 ASAv 部署
- ASAv 和 Azure 的先决条件和系统要求
- ASAv 和 Azure 的准则和限制
- Azure 上的 ASAv 网络拓扑示例
- 在部署期间创建的资源
- Azure 路由
- 虚拟网络中虚拟机的路由配置
- IP 地址
- DNS
- 在 Microsoft Azure 上部署 ASAv
关于 Microsoft Azure 云上的 ASAv 部署
Microsoft Azure 是一个使用专用 Microsoft Hyper V 虚拟机监控程序的公共云环境。ASAv 在 Hyper V 虚拟机监控程序的 Microsoft Azure 环境中充当访客。Microsoft Azure 上的 ASAv 支持一个实例类型,即标准 D3。标准 D3 可支持 4 个 vCPU、14 GB 内存和 4 个接口。
您可以采用以下两种方式之一在 Microsoft Azure 上部署 ASAv:使用 Azure 资源管理器部署为独立防火墙,或使用 Azure 安全中心部署为集成的合作伙伴解决方案。请参阅在 Microsoft Azure 上部署 ASAv。
ASAv 和 Azure 的先决条件和系统要求
- 在 Azure.com 上创建帐户。
在 Microsoft Azure 上创建帐户后,您可以登录并在 Microsoft Azure Marketplace 中选择 ASAv,然后部署 ASAv。
在您许可 ASAv 之前,ASAv 将在降级模式下运行,此模式仅支持 100 个连接和 100 Kbps 的吞吐量。请参阅 适用于 ASAv 的智能软件许可 。
注意: 对于边缘防火墙配置,管理接口也用作“外部”(outside) 接口。
注意: 在 Azure 中,最先定义的接口始终是管理接口。该接口是唯一一个具有关联的 Azure 公共 IP 地址的接口。由于这个原因,Azure 中的 ASAv 允许管理接口上存在直通数据流量。因此,管理接口的初始配置不包括 management-only 设置。
–
其他子网 (Additional subnet)(DMZ 或您选择的任何网络)
–管理接口 (Management interface) - 用于 SSH 访问以及将 ASAv 连接到 ASDM。
–内部接口 (Inside interface)(必需)- 用于将 ASAv 连接到内部主机。
–外部接口 (Outside interface)(必需)- 用于将 ASAv 连接到公共网络。
–DMZ 接口 (DMZ interface)(可选)- 在使用 Standard_D3 接口时,用于将 ASAv 连接到 DMZ 网络。
- 有关 ASAv 的系统要求,请参阅 思科 ASA 兼容性矩阵 。
ASAv 和 Azure 的准则和限制
注意:Azure 不提供可配置的第 2 层 vSwitch 功能。
注意:在路由防火墙模式下,ASAv 是网络中的传统第 3 层边界。此模式要求每个接口具有一个 IP 地址。由于 Azure 不支持 VLAN 标记的接口,因此必须在非标记、非中继的接口上配置 IP 地址。
- 控制台访问(使用 SSH 或 ASDM 通过网络接口执行管理操作)
- IPv6
- 用户实例接口上的 VLAN 标记
- 巨帧
- 设备不拥有的 IP 地址的代理 ARP(从 Azure 的角度看)
- 任何接口上的公共 IP 地址
只有“Management 0/0”接口可以具有关联的公共 IP 地址。
注意:Azure 策略阻止 ASAv 在透明防火墙模式下运行,因为它不允许接口在混合模式下运行。
小心: 如果您启用 FIPS 模式,则必须使用 ssh key-exchange group dh-group14-sha1 命令将 Diffie-Helman 密钥交换组更改为更强的密钥。如果您不更改 Diffie-Helman 组,将无法通过 SSH 连接到 ASAv,而这是初始管理 ASAv 的唯一方式。
Azure 上的 ASAv 网络拓扑示例
图 1 显示了在路由防火墙模式下建议用于 ASAv 的网络拓扑,在 Azure 中配置了三个子网(管理、内部、DMZ)。图中未显示第四个必需的接口(外部)。
在部署期间创建的资源
这些 NIC 分别映射到 ASAv 接口“Management 0/0”、“GigabitEthernet 0/0”、“GigabitEthernet 0/1”和“GigabitEthernet 0/2”。
安全组将附加到虚拟机的 Nic0,该 NIC 映射到 ASAv Management 0/0。
安全组包括允许将 SSH 和 UDP 端口 500 和 UDP 4500 用于 VPN 的规则。您可以在部署后修改这些值。
公共 IP 地址与虚拟机 Nic0 相关联,该 NIC 映射到 Management 0/0。Azure 仅允许一个公共 IP 地址与第一个 NIC 相关联。
注意: 您必须选择公共 IP 地址(新地址或现有地址);不支持“无”(NONE) 选项。
表命名为 subnet name -ASAv-RouteTable。
每个路由表包含通往其他三个子网的路由,ASAv IP 地址作为下一跳。如果流量需要到达其他子网或互联网,您可以选择添加默认路由。
Azure 路由
Azure 虚拟网络中的路由取决于虚拟网络的有效路由表。有效路由表是现有的系统路由表与用户定义路由表的组合。
您可以查看和编辑用户定义路由表。如果有效路由表是由系统表与用户定义表组合而成,系统会优先使用最具体的路由,并关联至用户定义路由表。系统路由表包括指向 Azure 虚拟网络互联网网关的默认路由 (0.0.0.0/0)。系统路由表还包括通往其他已定义子网的具体路由(下一跳指向 Azure 的虚拟网络基础设施网关)。
为了通过 ASAv 路由流量,ASAv 部署流程会在每个子网上添加通往其他三个子网的路由(将 ASAv 用作下一跳)。您可能还需要添加一个指向子网上的 ASAv 接口的默认路由 (0.0.0.0/0)。如果执行此操作,将通过 ASAv 发送来自子网的所有流量,这可能需要提前配置 ASAv 策略,以处理该流量(可能使用 NAT/PAT)。
由于系统路由表中存在现有的具体路由,因此您必须将具体的路由添加到用户定义路由表,以指向作为下一跳的 ASAv。否则,用户定义表中的默认路由将让步于系统路由表中更具体的路由,并且流量将绕过 ASAv。
虚拟网络中虚拟机的路由配置
Azure 虚拟网络中的路由取决于有效路由表,而非客户端上的特定网关设置。系统可能通过 DHCP 为虚拟网络中运行的客户端提供路由,即各个子网上最后一位为.1 的地址。这是一个占位符,仅用于将数据包传送到虚拟网络的基础设施虚拟网关。一旦数据包离开虚拟机,系统会根据有效路由表(由用户定义表修改)对数据包进行路由。有效路由表确定下一跳,无论客户端是具有配置为.1 还是 ASAv 地址的网关。
Azure 虚拟机 ARP 表将为所有已知主机显示相同的 MAC 地址 (1234.5678.9abc)。这可确保所有离开 Azure 虚拟机的数据包都将到达 Azure 网关,其中有效路由表将用于确定数据包的路径。
IP 地址
DNS
所有 Azure 虚拟网络都可以访问地址为 168.63.129.16 的内置 DNS 服务器,您可以按以下所述使用该服务器:
在 Microsoft Azure 上部署 ASAv
您可以采用以下两种方式之一在 Microsoft Azure 上部署 ASAv:
- 使用 Azure 资源管理器将 ASAv 部署为独立防火墙。请参阅在 Azure 资源管理器中部署 ASAv。
- 在 Azure 内使用 Azure 安全中心将 ASAv 部署为集成的合作伙伴解决方案。向有安全意识的客户提供 ASAv,作为保护 Azure 工作负载的防火墙选项。从单个集成控制面板中监控安全和运行状况事件。请参阅在 Azure 安全中心部署 ASAv。
在 Azure 资源管理器中部署 ASAv
以下操作程序概要列出了在 ASAv 上设置 Microsoft Azure 的步骤。如需了解详细的 Azure 设置步骤,请参阅 Azure 入门 。
在 Azure 中部署 ASAv 时,会自动生成各种配置,例如资源、公共 IP 地址和路由表。您可以在部署后进一步管理这些配置。例如,您可能需要更改超时值较低的“空闲超时”(Idle Timeout) 默认值。
1. 登录到 Azure 门户。
Azure 门户显示与当前帐户和订用相关联的虚拟要素,与数据中心位置无关。
2. 在 Marketplace 中搜索思科 ASAv,然后点击要部署的 ASAv。
a. 输入虚拟机的名称。此名称应在您的 Azure 订用中具有唯一性。
注意: 可用于 ASAv 的唯一大小是“标准 D3”(Standard D3)。
注意: 您可以使用现有的存储帐户,或创建新的存储帐户。存储帐户的位置应与网络和虚拟机的位置相同。
c. 请求一个公共 IP 地址,方法是在“名称”(Name) 字段中输入该 IP 地址的标签,然后点击 确定 (OK) 。
注意: 默认情况下,Azure 会创建一个动态的公共 IP,当虚拟机停止并重新启动时,该 IP 可能会发生变化。如果您更喜欢固定的 IP 地址,可以在门户中打开该公共 IP,将其从动态地址更改为静态地址。
注意: 完全限定域名等于 DNS 标签加上 Azure URL:<dnslabel>.<location>.cloupapp.azure.com
f. 配置 ASAv 将部署到的四个子网,然后点击 确定 (OK) 。
- 继续使用可通过 SSH 输入的 CLI 命令进行配置,或使用 ASDM。有关访问 ASDM 的说明,请参阅启动 ASDM。
在 Azure 安全中心部署 ASAv
Microsoft Azure 安全中心是 Azure 的安全解决方案,使客户能够保护其云部署并检测和降低其安全风险。从安全中心控制面板中,客户可以设置安全策略、监控安全配置并查看安全警报。
安全中心会分析 Azure 资源的安全状态,以识别潜在的安全漏洞。建议列表可指导客户完成配置所需控制措施的过程,这可以包括将 ASAv 作为防火墙解决方案向 Azure 客户部署。
您只需点击几下即可将 ASAv 部署为安全中心内的一个集成解决方案,然后从单个控制面板中监控安全和运行状况事件。以下操作程序概要列出了从安全中心部署 ASAv 的步骤。如需了解更多详细信息,请参阅 Azure 安全中心 。
1. 登录到 Azure 门户。
Azure 门户显示与当前帐户和订用相关联的虚拟要素,与数据中心位置无关。
2. 从 Microsoft Azure 菜单中,选择 安全中心 (Security Center) 。
如果您首次访问安全中心,会打开 欢迎 (Welcome) 边栏选项卡。选择 是!我想要启动 Azure 安全中心 (Yes! I want to Launch Azure Security Center) 以打开 安全中心 (Security Center) 边栏选项卡并启用数据收集。
3. 在 安全中心 (Security Center) 边栏选项卡上,选择 策略 磁贴。
4. 在 安全策略 (Security policy) 边栏选项卡上,选择 预防策略 (Prevention policy) 。
5. 在 预防策略 (Prevention policy) 边栏选项卡上,打开想要作为安全策略的一部分查看的建议。
a. 将 下一代防火墙 (Next generation firewall) 设置为 开 (On) 。这可以确保 ASAv 是安全中心内的建议解决方案。
6. 返回到 安全中心 (Security Center) 边栏选项卡上,然后选择 建议 (Recommendations) 磁贴。
安全中心会定期分析 Azure 资源的安全状态。安全中心识别到潜在的安全漏洞时,会在 建议 (Recommendations) 边栏选项卡上显示建议。
7. 选择 建议 (Recommendations) 边栏选项卡上的 添加下一代防火墙 (Add a Next Generation Firewall) 建议,以查看详细信息和/或采取行动解决问题。
8. 选择 新建 (Create New) 或 使用现有解决方案 (Use existing solution) ,然后点击要部署的 ASAv。
c. 输入虚拟机的名称。此名称应在您的 Azure 订用中具有唯一性。
注意: 可用于 ASAv 的唯一大小是“标准 D3”(Standard D3)。
注意: 您可以使用现有的存储帐户,或创建新的存储帐户。存储帐户的位置应与网络和虚拟机的位置相同。
c. 请求一个公共 IP 地址,方法是在“名称”(Name) 字段中输入该 IP 地址的标签,然后点击 确定 (OK) 。
注意: 默认情况下,Azure 会创建一个动态的公共 IP,当虚拟机停止并重新启动时,该 IP 可能会发生变化。如果您更喜欢固定的 IP 地址,可以在门户中打开该公共 IP,将其从动态地址更改为静态地址。
注意: 完全限定域名等于 DNS 标签加上 Azure URL:<dnslabel>.<location>.cloupapp.azure.com
反餽