Cisco ASA dan beberapa VLAN

9

Saat ini saya mengelola 6 perangkat Cisco ASA (2 pasang 5510-an dan 1 pasang 5550-an). Mereka semua bekerja dengan sangat baik dan stabil sehingga ini lebih merupakan pertanyaan saran praktik terbaik daripada "OMG rusak bantu saya memperbaikinya".

Jaringan saya terbagi menjadi beberapa VLAN. Hampir setiap peran layanan memiliki VLAN sendiri sehingga server DB akan memiliki VLAN, server APP, node Cassandra sendiri.

Lalu lintas dikelola dengan izin khusus, tolak dasar istirahat khusus (jadi kebijakan default adalah untuk menghapus semua lalu lintas). Saya melakukan ini dengan membuat dua ACL per antarmuka jaringan, misalnya .:

  • akses-daftar dc2-850-db-in ACL yang diterapkan pada antarmuka dc2-850-db dalam arah "in"
  • ACL akses-daftar dc2-850-db-out yang diterapkan pada antarmuka dc2-850-db dalam arah "keluar"

Semuanya cukup ketat dan berfungsi seperti yang diharapkan, namun saya bertanya-tanya apakah ini cara terbaik untuk dilakukan? Saat ini saya sampai pada titik di mana saya memiliki lebih dari 30 VLAN dan saya harus mengatakan itu menjadi sedikit membingungkan di beberapa titik untuk mengelola mereka.

Mungkin sesuatu seperti ACL umum / bersama akan membantu di sini yang dapat saya warisi dari ACL lain tetapi AFAIK tidak ada hal seperti itu ...

Setiap saran sangat dihargai.

Bart613
sumber
3
Sudahkah Anda melihat meratakan ruang alamat dan menggunakan private vlans? Alternatif lain mungkin memecah unit bisnis VRFs. Salah satu dari mereka mungkin membantu mengelola beberapa ledakan persyaratan ACL. Jujur saja, sulit untuk mengomentari pertanyaan ini karena sangat tergantung pada bisnis dan alasan teknis untuk desain yang ada
Mike Pennington
Terima kasih Mike - Saya akan membaca sedikit tentang kedua yang Anda sebutkan.
bart613
Sama-sama ... ide dasar di balik kedua saran tersebut adalah Anda membangun batas layer-2 atau layer-3 alami berdasarkan kebutuhan bisnis yang memungkinkan semua komunikasi antara host dalam fungsi bisnis yang sama. Pada titik itu, Anda perlu firewall di antara kepentingan bisnis. Banyak perusahaan membangun VPN terpisah untuk setiap unit bisnis di perusahaan; konsepnya mirip dengan apa yang saya sarankan di sini, tetapi VPN akan menjadi lokal di dalam fasilitas Anda (dan berdasarkan vlan pribadi atau VRF)
Mike Pennington

Jawaban:

1

Untuk Anda yang memiliki perangkat Cisco ASA (2 pasang 5510-an dan 1 pasang 5550-an). Ini berarti Anda menjauh dari penyaringan paket dengan ACL dan pindah ke teknik berbasis zona firewall di ASAs.

Buat peta kelas, peta kebijakan, dan kebijakan layanan.

Objek jaringan akan membuat hidup Anda mudah.

Tren teknik firewall adalah

packet filtering - inspeksi paket - ip inspect (stateful inspection) - Zonebasedfirewall

Teknik-teknik ini dibuat agar tidak membingungkan ketika area bertambah.

Ada sebuah buku, Anda mungkin ingin membaca.

Adminitrator yang tidak disengaja itu benar-benar membantu saya.

Lihat itu dan pindah dari ACL di dalam dua arah yang berbeda.

Dengan ASAs Anda seharusnya tidak memiliki masalah.

Di masa lalu, saya membuat 800 series ip inspect dan ZBF, kemudian membandingkan kelebihan yang ada dan mereka menggunakan teknik yang sama dalam ASA yang beralih dari packet filtering ke ip inspect lanjutan.

don Konsultan IT
sumber
don, saya tidak melihat bab membahas pindah dari menyaring menggunakan ACL dalam buku (Anda?). Bisakah Anda merujuk saya ke bab dan halaman?
bulan
0

Salah satu solusi yang sangat sederhana (dan, diakui, sedikit curang) adalah untuk menetapkan setiap antarmuka VLAN tingkat keamanan yang konsisten dengan lalu lintas yang diperlukan.

Anda kemudian dapat mengatur same-security-traffic permit inter-interface, sehingga menghindarkan kebutuhan untuk secara khusus merutekan dan mengamankan VLAN yang sama di beberapa perangkat.

Itu tidak akan mengurangi jumlah VLAN, tetapi mungkin akan mengurangi separuh jumlah ACL yang Anda butuhkan untuk VLAN yang menjangkau ketiga firewall.

Tentu saja, tidak ada cara bagi saya untuk mengetahui apakah ini masuk akal di lingkungan Anda.

adaptr
sumber
0

Mengapa Anda memiliki daftar akses masuk dan keluar? Anda harus mencoba untuk menangkap lalu lintas sedekat mungkin dengan sumbernya. Itu berarti hanya daftar akses masuk, mengurangi separuh jumlah total ACL Anda. Ini akan membantu menjaga cakupannya tetap rendah. Ketika hanya memiliki satu daftar akses yang memungkinkan per aliran, ASA Anda akan menjadi lebih mudah untuk dipertahankan dan yang lebih penting: lebih mudah untuk memecahkan masalah ketika terjadi kesalahan.

Juga, apakah semua VLAN harus melewati firewall untuk saling menjangkau? Ini sangat membatasi throughput. Ingat: ASA adalah firewall, bukan router (bagus).

JelmerS
sumber