我很想知道在ASA上设置限制和策略的最佳做法是什么,以保护设备在用作多租户防火墙时保持服务。 例如,在最近发生几起服务器受到攻击的事件之后,我们现在在所有接口上都有带宽监pipe和连接限制。
在这种情况下,由于超载或许可证限制,单个租户最好打墙,而不是所有租户都离线。
编辑
有问题的ASA是故障转移HA中的一对5525-X,运行ASA9.0(1),但是对于任何ASA平台来说,一般的答案都是很好的。
在多上下文模式(你没有说,但多租户=>多上下文将是合理的),你可以分配每个上下文的资源。 它们可以是百分比,也可以是绝对限制,涵盖了各种资源 – 并发连接,ipsec会话…
在某些时候,防火墙花费在决定租户是否超出他们的分配的时间足以让每个人都放慢速度,不过,有很多入站连接。