Cisco ASA та декілька VLAN


9

Наразі я керую 6 пристроями Cisco ASA (2 пари 5510s та 1 пара 5550s). Всі вони працюють дуже приємно і стабільно, тому це скоріше питання щодо найкращої практики, а не "OMG це зламано, допоможіть мені це виправити".

Моя мережа розділена на кілька VLAN. Практично кожна роль служби має власну VLAN, тому сервери БД матимуть власні VLAN, APP-сервери, вузли Cassandra.

Управління трафіком здійснюється лише з дозволеними основами відмови від відпочинку (тому політика за замовчуванням - це скинути весь трафік). Я роблю це, створюючи два ACL на мережевий інтерфейс, наприклад:

  • список доступу dc2-850-db-in ACL, який застосовується до інтерфейсу dc2-850-db у напрямку "in"
  • ACL-список доступу dc2-850-db-out, який застосовується до інтерфейсу dc2-850-db у напрямку "out"

Це все досить тісно і працює, як очікувалося, проте мені було цікаво, чи це найкращий шлях? На даний момент я дійшов до точки, де у мене більше 30 VLAN, і я мушу сказати, що в деяких точках управління ними стає дещо заплутаним.

Можливо, щось подібне до спільних / спільних ACL допомогло б тут, що я міг би успадкувати від інших ACL, але AFAIK такого немає ...

Будь-яка порада дуже цінується.


3
Ви розглядали можливість вирівнювання адресного простору та використання private vlans? Іншою альтернативою може бути втручання бізнес-одиниць VRFs. Жоден із них може допомогти впоратися з деяким вибухом вимог ACL. Чесно кажучи, важко прокоментувати це питання, оскільки стільки залежить від ділових та технічних причин існуючого дизайну
Майк Пеннінгтон,

Спасибі Майку - я трохи почитаю про те, що ви згадали.
bart613

Вас вітає ... Основна ідея обох пропозицій полягає в тому, що ви будуєте природну межу рівня 2 або 3-шару, засновану на бізнес-потребах, що дозволяє здійснювати будь-яке спілкування між хостами в межах однієї бізнес-функції. У цей момент вам знадобиться брандмауер між інтересами бізнесу. Багато компаній будують окремі VPN для кожного бізнес-підрозділу в компанії; концепція схожа на ту, що я пропоную тут, але VPN буде локальним всередині вашого об'єкту (і базується на приватних вланах або VRF)
Майк Пеннінгтон,

Відповіді:


1

Для вас є пристрої Cisco ASA (2 пари 5510s та 1 пара 5550s). Це означає, що ви віддаляєтеся від фільтрації пакетів за допомогою acls і переходите до методів, заснованих на зоні брандмауера в ASA.

Створіть карти класів, карти політик та сервісні політики.

Мережеві об’єкти полегшать ваше життя.

Тенденція техніки брандмауера є

фільтрація пакетів - перевірка пакетів - ip Inspect (державна перевірка) - Zonebasedfirewall

Ці методи були зроблені для того, щоб вони були менш заплутаними в міру збільшення площ.

Є книга, ви можете прочитати.

Випадковий адміністратор - Мені дуже допомогли.

Погляньте на це і рухайтеся від аклів у двох різних напрямках.

З ASA у вас не повинно виникнути проблем.

Раніше я робив ip Inspection 800 серії та ZBF, потім порівнював там свої переваги, і вони використовували ту саму техніку в ASA, відходячи від фільтрації пакетів до розширеного інспектування ip.


Дон, я не бачу жодної глави, яка б обговорювала відхід від фільтрації за допомогою acls у (вашій?) книзі. Чи можете ви віднести мене до розділу та сторінки?
3molo

0

Одне дуже просте (і, правда, трохи чітке) рішення - присвоїти кожному інтерфейсу VLAN рівень безпеки, відповідний трафіку, який він повинен дозволити.

Потім можна встановити same-security-traffic permit inter-interface, тим самим усуваючи необхідність спеціально прокладати та захищати ту саму VLAN на кількох пристроях.

Він не зменшить кількість VLAN, але, ймовірно, вдвічі зменшить кількість ACL, необхідних для VLAN, що охоплюють усі 3 брандмауери.

Звичайно, для мене немає можливості знати, чи це має сенс у вашому оточенні.


0

Чому у вас є як вхідні, так і вихідні списки доступу? Вам слід спробувати зафіксувати трафік якомога ближче до джерела. Це означатиме лише вхідні списки доступу, удвічі зменшивши вашу загальну кількість ACL. Це допоможе зменшити сферу застосування. Якщо у вас буде лише один можливий список доступу в потоці, ваш ASA стане простішим у обслуговуванні та ще важливіше: легше усунути неполадки, коли все піде не так.

Також чи всі VLAN повинні пройти повз брандмауера, щоб дістатися один до одного? Це сильно обмежує пропускну здатність. Пам'ятайте: ASA - це брандмауер, а не (хороший) маршрутизатор.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.