Cisco ASA และ VLAN หลายตัว

9

ปัจจุบันฉันจัดการอุปกรณ์ Cisco ASA 6 เครื่อง (2 คู่ 5510 วินาทีและ 1 คู่ 5550 วินาที) พวกเขาทำงานค่อนข้างดีและมีความเสถียรดังนั้นนี่เป็นคำถามที่แนะนำการปฏิบัติที่ดีที่สุดมากกว่า "OMG มันเสียช่วยฉันแก้ไขได้"

เครือข่ายของฉันแบ่งออกเป็นหลาย VLAN บทบาทการให้บริการในแต่ละครั้งค่อนข้างมี VLAN ของตัวเองดังนั้นเซิร์ฟเวอร์ DB จะมี VLAN, เซิร์ฟเวอร์แอพ, โหนด Cassandra ของตัวเอง

ปริมาณการใช้ข้อมูลถูกจัดการโดยอนุญาตเฉพาะข้อมูลพื้นฐานที่เหลือเท่านั้น (ดังนั้นนโยบายเริ่มต้นคือปล่อยปริมาณข้อมูลทั้งหมด) ฉันทำได้โดยสร้าง ACL สองตัวต่ออินเตอร์เฟสเครือข่ายเช่น:

access-list dc2-850-db-in ACL ที่ถูกนำไปใช้กับอินเตอร์เฟส dc2-850-db ในทิศทาง "in"
access-list dc2-850-db-out ACL ที่ใช้กับอินเตอร์เฟส dc2-850-db ในทิศทาง "ออก"

มันค่อนข้างแน่นและทำงานได้ตามที่คาดหวัง แต่ฉันสงสัยว่านี่เป็นวิธีที่ดีที่สุดที่จะไปไหม? ในขณะที่ฉันได้มาถึงจุดที่ฉันมีมากกว่า 30 VLANs และฉันต้องบอกว่ามันกลายเป็นความสับสนเล็กน้อยในบางจุดเพื่อจัดการเหล่านั้น

อาจเป็นได้เหมือน ACL ทั่วไป / ที่ใช้ร่วมกันจะช่วยที่นี่ซึ่งฉันสามารถสืบทอดจาก ACL อื่น ๆ แต่ AFAIK ไม่มีสิ่งนั้น ...

คำแนะนำใด ๆ ที่ชื่นชมมาก

— bart613
แหล่งที่มา

3

คุณเคยดูพื้นที่ที่อยู่และการใช้งานแบบแบน ๆprivate vlansไหม? VRFsอีกหนึ่งทางเลือกที่อาจจะหมดลงในหน่วยธุรกิจ สิ่งเหล่านี้อาจช่วยจัดการการระเบิดของข้อกำหนด ACL บางอย่าง แม้ว่าจะเป็นเรื่องยากที่จะแสดงความคิดเห็นต่อคำถามนี้เพราะมันขึ้นอยู่กับเหตุผลทางธุรกิจและทางเทคนิคสำหรับการออกแบบที่มีอยู่ของคุณ

— Mike Pennington

ขอบคุณ Mike - ฉันจะอ่านทั้งสองเกี่ยวกับทั้งสองที่คุณได้กล่าวถึง

— bart613

ยินดีต้อนรับ ... แนวคิดพื้นฐานที่อยู่เบื้องหลังคำแนะนำทั้งสองคือคุณสร้างขอบเขตเลเยอร์ -2 หรือเลเยอร์ 3 ตามธรรมชาติตามความต้องการทางธุรกิจซึ่งอนุญาตการสื่อสารทั้งหมดระหว่างโฮสต์ภายในฟังก์ชันธุรกิจเดียวกัน ณ จุดนี้คุณจะต้องไฟร์วอลล์ระหว่างผลประโยชน์ทางธุรกิจ หลาย บริษัท กำลังสร้าง VPN แยกต่างหากสำหรับแต่ละหน่วยธุรกิจใน บริษัท แนวคิดนี้คล้ายกับสิ่งที่ฉันแนะนำที่นี่ แต่ VPN จะอยู่ในสถานที่ของคุณ (และขึ้นอยู่กับ vlans ส่วนตัวหรือ VRFs)

— Mike Pennington

1

สำหรับคุณที่มีอุปกรณ์ Cisco ASA (2 คู่ 5510 วินาทีและ 1 คู่ 5550 วินาที) ซึ่งหมายความว่าคุณกำลังย้ายออกจากการกรองแพ็คเก็ตด้วย acls และย้ายไปยังเทคนิคที่ใช้ไฟร์วอลล์โซนใน ASAs

สร้างแผนที่ชั้นนโยบายแผนที่และนโยบายบริการ

วัตถุเครือข่ายจะทำให้ชีวิตของคุณง่ายขึ้น

แนวโน้มของเทคนิคไฟร์วอลล์คือ

การกรองแพ็คเก็ต - การตรวจสอบแพ็คเก็ต - การตรวจสอบ ip (การตรวจสอบสถานะ) - Zonebasedfirewall

เทคนิคเหล่านี้ถูกสร้างขึ้นเพื่อให้เกิดความสับสนน้อยลงเมื่อพื้นที่เพิ่มขึ้น

มีหนังสือเล่มหนึ่งคุณอาจต้องการอ่าน

ผู้ดูแลระบบที่ไม่ตั้งใจ - มันช่วยฉันได้จริงๆ

ดูมันและย้ายจาก acls ในสองทิศทางที่แตกต่างกัน

ด้วย ASAs คุณไม่ควรมีปัญหา

ในอดีตฉันทำการตรวจสอบ 800 series ip และ ZBF จากนั้นเปรียบเทียบข้อดีและพวกเขาใช้เทคนิคเดียวกันใน ASAs ที่ย้ายออกจากการกรองแพ็คเก็ตไปจนถึงการตรวจสอบ ip ขั้นสูง

— ดอนที่ปรึกษาด้านไอที
แหล่งที่มา

ดอนฉันไม่เห็นบทใด ๆ ที่พูดถึงการย้ายออกจากการกรองโดยใช้ acls ในหนังสือ (ของคุณ) คุณสามารถอ้างอิงฉันถึงบทและหน้าได้หรือไม่?

— 3molo

0

หนึ่งในวิธีการที่ง่ายมาก (และเป็นที่ยอมรับว่าเป็นสูตรโกง) คือการกำหนดอินเตอร์เฟสความปลอดภัยระดับ VLAN ให้สอดคล้องกับปริมาณการใช้งานที่ต้องการ

จากนั้นคุณสามารถตั้งค่าsame-security-traffic permit inter-interfaceได้ดังนั้นจึงไม่จำเป็นต้องกำหนดเส้นทางและรักษาความปลอดภัย VLAN เดียวกันในอุปกรณ์หลายเครื่อง

มันจะไม่ลดจำนวน VLANs แต่มันอาจจะลดจำนวน ACLs ที่คุณต้องการสำหรับ VLAN ที่เข้าถึงผ่านไฟร์วอลล์ทั้ง 3 ตัว

แน่นอนว่าไม่มีทางที่ฉันจะรู้ว่าสิ่งนี้เหมาะสมในสภาพแวดล้อมของคุณหรือไม่

— adaptr
แหล่งที่มา

0

ทำไมคุณถึงมีทั้งรายการการเข้าถึงทั้งขาเข้าและขาออก? คุณควรพยายามที่จะจับภาพทราฟฟิกให้ใกล้กับแหล่งที่มามากที่สุด นั่นหมายถึงเฉพาะรายการการเข้าถึงขาเข้าลดจำนวน ACL ทั้งหมดของคุณ สิ่งนี้จะช่วยลดขอบเขตลง เมื่อมีรายการเข้าถึงที่เป็นไปได้เพียงหนึ่งรายการต่อโฟลว์ ASA ของคุณจะง่ายต่อการบำรุงรักษาและที่สำคัญกว่า: แก้ไขปัญหาได้ง่ายขึ้นเมื่อสิ่งผิดปกติ

นอกจากนี้ VLAN ทุกตัวยังต้องผ่านไฟร์วอลล์เพื่อไปถึงกันได้หรือไม่? สิ่งนี้ จำกัด ปริมาณงานอย่างรุนแรง ข้อควรจำ: ASA เป็นไฟร์วอลล์ไม่ใช่เราเตอร์ (ดี)

— JelmerS
แหล่งที่มา