Obecnie zarządzam 6 urządzeniami Cisco ASA (2 pary urządzeń 5510 i 1 para urządzeń 5550). Wszystkie działają całkiem nieźle i są stabilne, więc jest to raczej pytanie z najlepszymi praktykami, a nie „OMG to zepsute, pomóż mi to naprawić”.
Moja sieć jest podzielona na wiele sieci VLAN. Prawie każda rola usługi ma własną sieć VLAN, więc serwery DB miałyby swoje własne sieci VLAN, serwery APP i węzły Cassandra.
Ruch jest zarządzany na zasadzie „tylko zezwól”, odmawiaj podstaw odpoczynku (więc domyślną zasadą jest odrzucanie całego ruchu). Robię to, tworząc dwie listy ACL na interfejs sieciowy, np .:
- lista dostępu dc2-850-db-in ACL, która jest stosowana do interfejsu dc2-850-db w kierunku „in”
- lista dostępu dc2-850-db-out ACL, która jest stosowana do interfejsu dc2-850-db w kierunku „out”
Wszystko jest dość ciasne i działa zgodnie z oczekiwaniami, ale zastanawiałem się, czy to najlepszy możliwy sposób? W tej chwili doszedłem do tego, że mam ponad 30 sieci VLAN i muszę powiedzieć, że w niektórych momentach zarządzanie nimi jest nieco mylące.
Prawdopodobnie pomogłoby tu coś takiego jak wspólne / wspólne ACL, które mógłbym odziedziczyć po innych ACL, ale AFAIK nie ma czegoś takiego ...
Wszelkie porady bardzo mile widziane.
źródło
private vlans
? Inną alternatywą może być włamanie się do jednostek biznesowychVRFs
. Każdy z nich może pomóc w zarządzaniu eksplozją wymagań ACL. Szczerze mówiąc, trudno jest skomentować to pytanie, ponieważ tak wiele zależy od biznesowych i technicznych powodów twojego obecnego projektuOdpowiedzi:
Dla posiadających urządzenia Cisco ASA (2 pary 5510s i 1 para 5550s). Oznacza to, że odchodzisz od filtrowania pakietów za pomocą acls i przechodzisz na techniki oparte na strefie zapory w ASA.
Twórz mapy klas, mapy polityk i polityki usług.
Obiekty sieciowe ułatwią ci życie.
Trend w technice zapory ogniowej jest
filtrowanie pakietów - kontrola pakietów - kontrola ip (kontrola stanowa) - Zonebasedfirewall
Techniki te zostały opracowane, aby były mniej mylące wraz ze wzrostem obszarów.
Jest książka, którą możesz przeczytać.
Przypadkowy administrator - naprawdę mi pomógł.
Spójrz na to i przejdź od acls w dwóch różnych kierunkach.
Z ASA nie powinieneś mieć problemu.
W przeszłości dokonywałem inspekcji IP serii 800 i ZBF, a następnie porównywałem zalety i stosowałem tę samą technikę w ASA, odchodząc od filtrowania pakietów do zaawansowanej inspekcji IP.
źródło
Jednym bardzo prostym (i co prawda trochę oszustem) rozwiązaniem byłoby przypisanie każdemu interfejsowi VLAN poziomu bezpieczeństwa zgodnego z ruchem, który musi zezwolić.
Następnie można ustawić
same-security-traffic permit inter-interface
, eliminując w ten sposób potrzebę specjalnego kierowania i zabezpieczania tej samej sieci VLAN na wielu urządzeniach.Nie zmniejszyłoby to liczby sieci VLAN, ale prawdopodobnie zmniejszyłoby o połowę liczbę list ACL potrzebnych dla sieci VLAN, które docierają do wszystkich 3 zapór ogniowych.
Oczywiście nie mogę wiedzieć, czy ma to sens w twoim środowisku.
źródło
Dlaczego masz zarówno listy dostępu przychodzącego, jak i wychodzącego? Powinieneś spróbować złapać ruch jak najbliżej źródła. Oznaczałoby to tylko listy dostępu przychodzącego, zmniejszając o połowę całkowitą liczbę list ACL. Pomogłoby to ograniczyć zakres. Mając tylko jedną możliwą listę dostępu na przepływ, ASA stanie się łatwiejsza w utrzymaniu, a co ważniejsze: łatwiej będzie rozwiązać problemy, gdy coś pójdzie nie tak.
Ponadto, czy wszystkie sieci VLAN muszą przejść przez zaporę ogniową, aby się ze sobą połączyć? To poważnie ogranicza przepustowość. Pamiętaj: ASA to zapora ogniowa, a nie (dobry) router.
źródło