В настоящее время я управляю 6 устройствами Cisco ASA (2 пары из 5510 и 1 пара из 5550). Все они работают довольно хорошо и стабильны, так что это скорее вопрос рекомендаций, а не «OMG, он сломан, помогите мне это исправить».
Моя сеть разделена на несколько VLAN. Практически каждая роль службы имеет свою собственную VLAN, поэтому у серверов БД будут свои VLAN, серверы APP, узлы Cassandra.
Управление трафиком осуществляется только на определенных основах, запрещающих отдых (поэтому политика по умолчанию - отбрасывать весь трафик). Я делаю это путем создания двух списков ACL для каждого сетевого интерфейса, например:
- список доступа dc2-850-db-in ACL, применяемый к интерфейсу dc2-850-db в направлении "in"
- ACL-список доступа dc2-850-db-out, который применяется к интерфейсу dc2-850-db в направлении "out"
Это все довольно плотно и работает, как и ожидалось, однако мне было интересно, это лучший способ пойти? На данный момент я дошел до того, что у меня более 30 сетей VLAN, и я должен сказать, что в некоторых моментах управление ими становится немного запутанным.
Вероятно, что-то вроде общих / общих ACL-списков могло бы помочь здесь, которое я мог бы унаследовать от других ACL-списков, но AFAIK такого не существует ...
Любой совет высоко ценится.
private vlans? Другой альтернативой может быть разбивка бизнес-единиц наVRFs. Любой из них может помочь справиться с некоторыми требованиями ACL. Хотя, честно говоря, трудно прокомментировать этот вопрос, потому что многое зависит от деловых и технических причин существующего дизайнаОтветы:
Для вас есть устройства Cisco ASA (2 пары 5510-х и 1 пара 5550-х). Это означает, что вы отказываетесь от фильтрации пакетов с помощью acls и переходите на методы на основе зон межсетевого экрана в ASA.
Создание карт классов, политик и сервис-политик.
Сетевые объекты сделают вашу жизнь проще.
Тенденция в технике межсетевого экрана
фильтрация пакетов - проверка пакетов - проверка ip (проверка с учетом состояния) - Zonebasedfirewall
Эти методы были сделаны для того, чтобы он был менее запутанным, поскольку области увеличиваются.
Есть книга, которую вы можете прочитать.
Случайный администратор - мне это действительно помогло.
Посмотрите на это и двигайтесь от acls в двух разных направлениях.
С ASAs у вас не должно быть проблем.
В прошлом я выполнял ip inspect 800-й серии и ZBF, затем сравнивал их преимущества и использовал ту же технику в ASA, переходя от фильтрации пакетов к расширенной ip-проверке.
источник
Одним из очень простых (и, правда, немного хитрых) решений было бы назначить каждому интерфейсу VLAN уровень безопасности, соответствующий трафику, который ему необходимо разрешить.
Затем вы можете установить
same-security-traffic permit inter-interface, устраняя тем самым необходимость специально маршрутизировать и защищать одну и ту же VLAN-сеть на нескольких устройствах.Это не сократит количество VLAN, но, вероятно, сократит вдвое количество ACL, необходимых для VLAN, которые охватывают все 3 брандмауэра.
Конечно, у меня нет возможности узнать, имеет ли это смысл в вашей среде.
источник
Почему у вас есть как входящие, так и исходящие списки доступа? Вы должны попытаться поймать трафик как можно ближе к источнику. Это будет означать только входящие списки доступа, уменьшая вдвое ваше общее количество ACL. Это поможет сохранить прицел. При наличии только одного возможного списка доступа на поток ваш ASA станет проще в обслуживании и, что более важно, будет легче устранять неполадки, если что-то пойдет не так.
Кроме того, все ли VLAN должны проходить через межсетевой экран, чтобы достигать друг друга? Это серьезно ограничивает пропускную способность. Помните: ASA - это брандмауэр, а не (хороший) маршрутизатор.
источник