Saat ini saya mengelola 6 perangkat Cisco ASA (2 pasang 5510-an dan 1 pasang 5550-an). Mereka semua bekerja dengan sangat baik dan stabil sehingga ini lebih merupakan pertanyaan saran praktik terbaik daripada "OMG rusak bantu saya memperbaikinya".
Jaringan saya terbagi menjadi beberapa VLAN. Hampir setiap peran layanan memiliki VLAN sendiri sehingga server DB akan memiliki VLAN, server APP, node Cassandra sendiri.
Lalu lintas dikelola dengan izin khusus, tolak dasar istirahat khusus (jadi kebijakan default adalah untuk menghapus semua lalu lintas). Saya melakukan ini dengan membuat dua ACL per antarmuka jaringan, misalnya .:
- akses-daftar dc2-850-db-in ACL yang diterapkan pada antarmuka dc2-850-db dalam arah "in"
- ACL akses-daftar dc2-850-db-out yang diterapkan pada antarmuka dc2-850-db dalam arah "keluar"
Semuanya cukup ketat dan berfungsi seperti yang diharapkan, namun saya bertanya-tanya apakah ini cara terbaik untuk dilakukan? Saat ini saya sampai pada titik di mana saya memiliki lebih dari 30 VLAN dan saya harus mengatakan itu menjadi sedikit membingungkan di beberapa titik untuk mengelola mereka.
Mungkin sesuatu seperti ACL umum / bersama akan membantu di sini yang dapat saya warisi dari ACL lain tetapi AFAIK tidak ada hal seperti itu ...
Setiap saran sangat dihargai.
sumber
private vlans
? Alternatif lain mungkin memecah unit bisnisVRFs
. Salah satu dari mereka mungkin membantu mengelola beberapa ledakan persyaratan ACL. Jujur saja, sulit untuk mengomentari pertanyaan ini karena sangat tergantung pada bisnis dan alasan teknis untuk desain yang adaJawaban:
Untuk Anda yang memiliki perangkat Cisco ASA (2 pasang 5510-an dan 1 pasang 5550-an). Ini berarti Anda menjauh dari penyaringan paket dengan ACL dan pindah ke teknik berbasis zona firewall di ASAs.
Buat peta kelas, peta kebijakan, dan kebijakan layanan.
Objek jaringan akan membuat hidup Anda mudah.
Tren teknik firewall adalah
packet filtering - inspeksi paket - ip inspect (stateful inspection) - Zonebasedfirewall
Teknik-teknik ini dibuat agar tidak membingungkan ketika area bertambah.
Ada sebuah buku, Anda mungkin ingin membaca.
Adminitrator yang tidak disengaja itu benar-benar membantu saya.
Lihat itu dan pindah dari ACL di dalam dua arah yang berbeda.
Dengan ASAs Anda seharusnya tidak memiliki masalah.
Di masa lalu, saya membuat 800 series ip inspect dan ZBF, kemudian membandingkan kelebihan yang ada dan mereka menggunakan teknik yang sama dalam ASA yang beralih dari packet filtering ke ip inspect lanjutan.
sumber
Salah satu solusi yang sangat sederhana (dan, diakui, sedikit curang) adalah untuk menetapkan setiap antarmuka VLAN tingkat keamanan yang konsisten dengan lalu lintas yang diperlukan.
Anda kemudian dapat mengatur
same-security-traffic permit inter-interface
, sehingga menghindarkan kebutuhan untuk secara khusus merutekan dan mengamankan VLAN yang sama di beberapa perangkat.Itu tidak akan mengurangi jumlah VLAN, tetapi mungkin akan mengurangi separuh jumlah ACL yang Anda butuhkan untuk VLAN yang menjangkau ketiga firewall.
Tentu saja, tidak ada cara bagi saya untuk mengetahui apakah ini masuk akal di lingkungan Anda.
sumber
Mengapa Anda memiliki daftar akses masuk dan keluar? Anda harus mencoba untuk menangkap lalu lintas sedekat mungkin dengan sumbernya. Itu berarti hanya daftar akses masuk, mengurangi separuh jumlah total ACL Anda. Ini akan membantu menjaga cakupannya tetap rendah. Ketika hanya memiliki satu daftar akses yang memungkinkan per aliran, ASA Anda akan menjadi lebih mudah untuk dipertahankan dan yang lebih penting: lebih mudah untuk memecahkan masalah ketika terjadi kesalahan.
Juga, apakah semua VLAN harus melewati firewall untuk saling menjangkau? Ini sangat membatasi throughput. Ingat: ASA adalah firewall, bukan router (bagus).
sumber