Cisco ASA i wiele sieci VLAN

9

Obecnie zarządzam 6 urządzeniami Cisco ASA (2 pary urządzeń 5510 i 1 para urządzeń 5550). Wszystkie działają całkiem nieźle i są stabilne, więc jest to raczej pytanie z najlepszymi praktykami, a nie „OMG to zepsute, pomóż mi to naprawić”.

Moja sieć jest podzielona na wiele sieci VLAN. Prawie każda rola usługi ma własną sieć VLAN, więc serwery DB miałyby swoje własne sieci VLAN, serwery APP i węzły Cassandra.

Ruch jest zarządzany na zasadzie „tylko zezwól”, odmawiaj podstaw odpoczynku (więc domyślną zasadą jest odrzucanie całego ruchu). Robię to, tworząc dwie listy ACL na interfejs sieciowy, np .:

  • lista dostępu dc2-850-db-in ACL, która jest stosowana do interfejsu dc2-850-db w kierunku „in”
  • lista dostępu dc2-850-db-out ACL, która jest stosowana do interfejsu dc2-850-db w kierunku „out”

Wszystko jest dość ciasne i działa zgodnie z oczekiwaniami, ale zastanawiałem się, czy to najlepszy możliwy sposób? W tej chwili doszedłem do tego, że mam ponad 30 sieci VLAN i muszę powiedzieć, że w niektórych momentach zarządzanie nimi jest nieco mylące.

Prawdopodobnie pomogłoby tu coś takiego jak wspólne / wspólne ACL, które mógłbym odziedziczyć po innych ACL, ale AFAIK nie ma czegoś takiego ...

Wszelkie porady bardzo mile widziane.

networking  security  cisco  cisco-asa  best-practices 
bart613
źródło
3
Czy zastanawiałeś się nad spłaszczeniem przestrzeni adresowej i używaniem private vlans? Inną alternatywą może być włamanie się do jednostek biznesowych VRFs. Każdy z nich może pomóc w zarządzaniu eksplozją wymagań ACL. Szczerze mówiąc, trudno jest skomentować to pytanie, ponieważ tak wiele zależy od biznesowych i technicznych powodów twojego obecnego projektu
Mike Pennington
Dzięki Mike - Przeczytam trochę o obu wspomnianych przez ciebie.
bart613,
Nie ma za co ... podstawową ideą obu sugestii jest zbudowanie naturalnej granicy warstwy 2 lub warstwy 3 w oparciu o potrzeby biznesowe, co umożliwia całą komunikację między hostami w ramach tej samej funkcji biznesowej. W tym momencie musisz zapory ogniowej między interesami biznesowymi. Wiele firm buduje osobne sieci VPN dla każdej jednostki biznesowej w firmie; koncepcja jest podobna do tej, którą tutaj sugeruję, ale VPN byłby lokalny w twoim obiekcie (i oparty na prywatnych sieciach lub VRF)
Mike Pennington

Odpowiedzi:

1

Dla posiadających urządzenia Cisco ASA (2 pary 5510s i 1 para 5550s). Oznacza to, że odchodzisz od filtrowania pakietów za pomocą acls i przechodzisz na techniki oparte na strefie zapory w ASA.

Twórz mapy klas, mapy polityk i polityki usług.

Obiekty sieciowe ułatwią ci życie.

Trend w technice zapory ogniowej jest

filtrowanie pakietów - kontrola pakietów - kontrola ip (kontrola stanowa) - Zonebasedfirewall

Techniki te zostały opracowane, aby były mniej mylące wraz ze wzrostem obszarów.

Jest książka, którą możesz przeczytać.

Przypadkowy administrator - naprawdę mi pomógł.

Spójrz na to i przejdź od acls w dwóch różnych kierunkach.

Z ASA nie powinieneś mieć problemu.

W przeszłości dokonywałem inspekcji IP serii 800 i ZBF, a następnie porównywałem zalety i stosowałem tę samą technikę w ASA, odchodząc od filtrowania pakietów do zaawansowanej inspekcji IP.

don Konsultant IT
źródło
don, nie widzę żadnego rozdziału omawiającego odejście od filtrowania za pomocą acls w (twojej?) książce. Czy możesz skierować mnie do rozdziału i strony?
3molo
0

Jednym bardzo prostym (i co prawda trochę oszustem) rozwiązaniem byłoby przypisanie każdemu interfejsowi VLAN poziomu bezpieczeństwa zgodnego z ruchem, który musi zezwolić.

Następnie można ustawić same-security-traffic permit inter-interface, eliminując w ten sposób potrzebę specjalnego kierowania i zabezpieczania tej samej sieci VLAN na wielu urządzeniach.

Nie zmniejszyłoby to liczby sieci VLAN, ale prawdopodobnie zmniejszyłoby o połowę liczbę list ACL potrzebnych dla sieci VLAN, które docierają do wszystkich 3 zapór ogniowych.

Oczywiście nie mogę wiedzieć, czy ma to sens w twoim środowisku.

adapttr
źródło
0

Dlaczego masz zarówno listy dostępu przychodzącego, jak i wychodzącego? Powinieneś spróbować złapać ruch jak najbliżej źródła. Oznaczałoby to tylko listy dostępu przychodzącego, zmniejszając o połowę całkowitą liczbę list ACL. Pomogłoby to ograniczyć zakres. Mając tylko jedną możliwą listę dostępu na przepływ, ASA stanie się łatwiejsza w utrzymaniu, a co ważniejsze: łatwiej będzie rozwiązać problemy, gdy coś pójdzie nie tak.

Ponadto, czy wszystkie sieci VLAN muszą przejść przez zaporę ogniową, aby się ze sobą połączyć? To poważnie ogranicza przepustowość. Pamiętaj: ASA to zapora ogniowa, a nie (dobry) router.

JelmerS
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.