我想知道在 ASA 上设置限制和策略以保护设备在用作多租户防火墙时维持服务的最佳做法是什么。例如,在最近发生几起服务器被入侵事件后,我们现在在所有接口上实施了带宽监管和连接限制。
在这种情况下,宁愿单个租户遇到困难,也不愿所有租户由于过载或许可证限制而离线。
编辑
有问题的 ASA 是一对处于故障转移 HA 中的 5525-X,运行 ASA9.0(1),但了解任何 ASA 平台的一般答案都是有益的。
答案1
在多上下文模式下(您没有说,但多租户=>多上下文是合理的),您可以为每个上下文分配资源。它们可以是百分比或绝对限制,并涵盖各种资源 - 并发连接、ipsec 会话...
在某些时候,防火墙花费时间来决定租户是否超出了其分配,但是,由于传入连接数量确实非常多,因此足以减慢所有人的速度。