Estou interessado em saber quais são as práticas recomendadas para definir limites e políticas em um ASA para proteger o dispositivo para manter o serviço quando usado como um firewall de vários locatários. Por exemplo, após vários incidentes recentes de servidores comprometidos, agora temos limites de policiamento e conexão de largura de banda em todas as interfaces.
Nesse cenário, é preferível que um único locatário atinja uma parede, em vez de todos os locatários ficarem offline devido a limitações de sobrecarga ou de licença.
Editar
O ASA em questão é um par de 5525-Xs no HA de failover, rodando o ASA9.0 (1), mas seria bom saber respostas gerais para qualquer plataforma ASA.
No modo multi-contexto (você não disse, mas multi-tenant = > multi-contexto seria razoável), você pode alocar recursos por contexto. Eles podem ser porcentagens ou limites absolutos e cobrir uma variedade de recursos - conexões simultâneas, sessões ipsec ...
Em algum momento, o tempo que o firewall gasta decidindo se um locatário excedeu sua alocação será suficiente para desacelerar para todos, com um número realmente sério de conexões de entrada.
Tags cisco-asa